Chủ đề

(Không gian mạng) - Một nhóm tin tặc Iran chuyên thực hiện các chiến dịch gián điệp mạng vừa xây dựng 1 website giả mạo công ty ClearSky, hãng bảo mật Israel từng công bố hoạt động của nhóm trước đó không lâu.

DhBmeadWsAAk2rQ

Nhóm gián điệp mạng APT35, hay còn được gọi là NewsBeef, Newscaster, và Charming Kitten, hoạt động ít nhất từ năm 2011 và lần đầu bị tiết lộ trong báo cáo cách đây nhiều năm.

Tháng 12/2017, hãng bảo mật ClearSky công bố báo cáo chi tiết hoạt động của nhóm trong suốt khoảng thời gian 2016 – 2017. ClearSky không những mô tả cơ sở hạ tầng của tin tặc, mà còn cung cấp thông tin về loại mã độc DownPaper do nhóm sử dụng.

Hãng bảo mật này từng công khai mối liên hệ giữa nhóm với Behzad Mesri, được biết với tên gọi Skote Vahshat, người đã bị buộc tội vào tháng 11/2017 vì tấn công kênh truyền hình cáp HBO. Ngoài ra, các chuyên gia cũng cố gắng tìm ra danh tính của 2 tin tặc trong nhóm.

Gần nửa năm sau khi công bố báo cáo, hãng đã thông báo trên kênh Twitter của mình rằng nhóm tin tặc này đã tạo 1 site riêng của chúng, giả mạo website ClearSky.

“#CharmingKitten đã tạo ra 1 website giả mạo website công ty chúng tôi. Website giả mạo là clearskysecurity.net (trang web đúng là http://clearskysec.com)”, ClearSky thông báo.

Nhóm APT này dường như đã sao chép mọi thứ từ website hợp pháp, và còn thay đổi 1 trang để gắn lựa chọn đăng nhập với nhiều dịch vụ. Bất cứ ai nhập thông tin đăng nhập vào đó sẽ khiến cho chúng bị gửi đến tin tặc thay vì hãng bảo mật.

“Những trang đăng nhập này đều là giả mạo và sẽ gửi thông tin đăng nhập của nạn nhân đến tin tặc. Trang web hợp pháp của chúng tôi không có bất kỳ trang lựa chọn đăng nhập nào. Dường như website giả mạo vẫn đang còn được xây dựng vì nhiều trang của nó hiện thông báo lỗi”, hãng ClearSky cho biết.

Các chuyên gia bảo mật phát hiện, 1 trong số những trang trên website giả có nội dung liên quan đến 1 chiến dịch Charming Kitten mà ClearSky công bố chỉ mới vài tuần trước, dù vậy, nó không bị tùy chỉnh để trông giống với website thật.

Trang web giả mạo đã nhanh chóng bị đánh dấu “lừa đảo” ngay khi ClearSky phát hiện ra. Hãng bảo mật này cho biết nhân viên, dịch vụ và khách hàng của hãng không bị ảnh hưởng.

Trong nhiều năm qua, các chuyên gia bảo mật đã cố gắng liên kết nhiều nhóm tin tặc khác nhau với Iran, trong đó có nhóm APT33, Rocket Kitten, Magic Hound và CopyKittens, và thậm chí công khai việc các nhóm này dự định chia sẻ cơ sở hạ tầng và mã code phần mềm độc cho nhau.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên