1
Việt Nam đang là mục tiêu của các Hacker Sat May 15, 2010 6:03 pm
admin
Admin
EXP : 564
Points : 25389
Điểm vote topic : 393
ngày tham gia diễn đàn : 15/05/2010
Age : 33Đến từ : việt nam
nghề nghiệp : đang đi họcViệt Nam đang là mục tiêu của các Hacker vì mục đích chính trị
Bởi bây giờ, bạn có thể đã xem các bài đăng blog của Google nói về các cuộc tấn công nhắm mục tiêu chống lại các máy tính của người nói Việt Nam và những người khác. Các botnet, mà McAfee xác định trong khi điều tra hoạt động Aurora, có commandeered các máy tính trong những gì dường như là một cuộc tấn công có động cơ chính trị. McAfee đã được chia sẻ kết quả điều tra của mình với Google vì nó mở ra.
Kẻ tấn công tạo ra các botnet của người Việt Nam nhắm mục tiêu với phần mềm độc hại đã được ngụy trang như là phần mềm cho phép Windows để hỗ trợ các ngôn ngữ Việt Nam. Các trình điều khiển bàn phím được gọi là VPSKeys là phổ biến với người dùng Windows Việt và là cần thiết để có thể chèn dấu tại những vị trí thích hợp khi sử dụng Windows.
Mã bot giả mạo như là một trình điều khiển bàn phím tìm đường vào máy tính, một khi đã bị nhiễm bệnh, tham gia vào một botnet với lệnh và hệ thống điều khiển nằm trên toàn cầu được truy cập chủ yếu từ các địa chỉ IP bên trong Việt Nam.
Chúng tôi nghi ngờ các nỗ lực để tạo ra các botnet bắt đầu vào cuối năm 2009, trùng hợp ngẫu nhiên với các cuộc tấn công hoạt động Aurora. Trong khi McAfee Labs xác định các phần mềm độc hại trong quá trình điều tra của chúng tôi vào hoạt động Aurora, chúng tôi tin rằng các cuộc tấn công không liên quan. Mã bot là nhiều ít phức tạp hơn so với các cuộc tấn công hoạt động Aurora. Đây là mã bot phổ biến mà có thể sử dụng máy bị nhiễm để khởi động các cuộc tấn công từ chối dịch vụ phân phối, giám sát hoạt động trên các hệ thống bị xâm nhập bất chính và cho các mục đích khác.
Chúng tôi tin rằng những kẻ tấn công đầu tiên bị tổn hại [You must be registered and logged in to see this link.] , các trang web của Hội Chuyên Gia Việt Nam (VPS), và thay thế các trình điều khiển bàn phím chính đáng với một con ngựa Trojan. Những kẻ tấn công sau đó đã gửi một e-mail cho cá nhân chỉ được nhắm mục tiêu mà chúng trở lại đến trang web VPS, nơi họ tải về các Trojan thay thế.
Các trình điều khiển bàn phím rogue, gọi W32/VulcanBot của McAfee, kết nối các máy tính bị nhiễm tới một mạng các máy tính bị xâm nhập. Trong quá trình điều tra của chúng tôi vào mạng botnet, chúng tôi tìm thấy khoảng một chục câu lệnh và hệ thống điều khiển cho mạng máy tính bị tấn công. Các lệnh và kiểm soát được phần lớn các máy chủ đang được truy cập từ địa chỉ IP ở Việt Nam.
Trojan cài đặt các phần mềm độc hại này sau trên hệ thống bị nhiễm:
*% UserDir% Application \ Data \ Java \ jre6 \ bin \ jucheck.exe
*% UserDir% Application \ Data \ Java \ jre6 \ bin \ zf32.dll
*% UserDir% Application Data \ \ Launch Microsoft \ Internet Explorer \ Quick \ VPSKEYS 4.3.lnk
* Chương trình RootDir%% \ Files \ Adobe \ AdobeUpdateManager.exe
*% RootDir% \ Program Files \ Java \ jre6 \ bin \ jucheck.exe
* Chương trình RootDir%% \ Files \ Microsoft Office \ Office11 \ OSA.exe
*% SysDir% \ mscommon.inf
*% SysDir% \ msconfig32.sys
*% SysDir% \ zf32.dll
*% SysDir% \ Setup \ AdobeUpdateManager.exe
*% SysDir% \ Setup \ jucheck.exe
*% SysDir% \ Setup \ MPClient.exe
*% SysDir% \ Setup \ MPSvc.exe
*% SysDir% \ Setup \ OSA.exe
*% SysDir% \ Setup \ wuauclt.exe
*% SysDir% \ Setup \ zf32.dll
Những tập tin này, khi thực hiện, bắt đầu kết nối đến các lĩnh vực sau đây:
* Google.homeunix.com
* Tyuqwer.dyndns.org
* Blogspot.blogsite.org
* Voanews.ath.cx
* Ymail.ath.cx
Trong khi ban đầu một số trong những lĩnh vực và các tập tin đã được báo cáo được liên kết với hoạt động Aurora, chúng tôi đã từ đó tin rằng phần mềm độc hại này không liên quan đến Aurora và sử dụng một bộ khác nhau của Command & kiểm soát các máy chủ.
Chúng tôi tin rằng thủ phạm có thể có động cơ chính trị và có thể có một số trung thành với chính phủ của nước Cộng hoà xã hội chủ nghĩa Việt Nam. Điều lệ của Hội Chuyên Gia Việt Nam là tăng cường kiến thức và sự hiểu biết về điều kiện kinh tế xã hội tại quốc gia Đông Nam Á, theo Wikipedia.
McAfee phát hiện phần mềm độc hại nhất trong tháng một, xung quanh đồng thời chúng tôi cung cấp phần mềm độc hại bảo vệ cho các hoạt động liên quan Aurora. Botnet này vẫn đang hoạt động và tấn công từ botnet tiếp tục ngày hôm nay.
Sự việc này nhấn mạnh rằng không phải mọi cuộc tấn công là động cơ của hành vi trộm cắp dữ liệu hay tiền bạc. Việc này được ví dụ mới nhất của hacktivism và động cơ chính trị cyberattacks, được gia tăng và một chủ đề chúng tôi tại McAfee đã thường được thảo luận trong các ấn phẩm của chúng tôi. Trong một tuyệt vời trên giấy tội phạm mạng và Hacktivism công bố tháng này, nhà nghiên cứu Francois Paget thảo luận về những chủ đề thời gian dài. Nó cũng bao gồm trong gần đây nhất của chúng tôi quý Threat Report.
Khi những sự kiện này diễn ra, chúng tôi sẽ tiếp tục giữ cho bạn cập nhật.
Bạn có thể làm theo McAfee CTO George Kurtz trên Twitter
Bởi bây giờ, bạn có thể đã xem các bài đăng blog của Google nói về các cuộc tấn công nhắm mục tiêu chống lại các máy tính của người nói Việt Nam và những người khác. Các botnet, mà McAfee xác định trong khi điều tra hoạt động Aurora, có commandeered các máy tính trong những gì dường như là một cuộc tấn công có động cơ chính trị. McAfee đã được chia sẻ kết quả điều tra của mình với Google vì nó mở ra.
Kẻ tấn công tạo ra các botnet của người Việt Nam nhắm mục tiêu với phần mềm độc hại đã được ngụy trang như là phần mềm cho phép Windows để hỗ trợ các ngôn ngữ Việt Nam. Các trình điều khiển bàn phím được gọi là VPSKeys là phổ biến với người dùng Windows Việt và là cần thiết để có thể chèn dấu tại những vị trí thích hợp khi sử dụng Windows.
Mã bot giả mạo như là một trình điều khiển bàn phím tìm đường vào máy tính, một khi đã bị nhiễm bệnh, tham gia vào một botnet với lệnh và hệ thống điều khiển nằm trên toàn cầu được truy cập chủ yếu từ các địa chỉ IP bên trong Việt Nam.
Chúng tôi nghi ngờ các nỗ lực để tạo ra các botnet bắt đầu vào cuối năm 2009, trùng hợp ngẫu nhiên với các cuộc tấn công hoạt động Aurora. Trong khi McAfee Labs xác định các phần mềm độc hại trong quá trình điều tra của chúng tôi vào hoạt động Aurora, chúng tôi tin rằng các cuộc tấn công không liên quan. Mã bot là nhiều ít phức tạp hơn so với các cuộc tấn công hoạt động Aurora. Đây là mã bot phổ biến mà có thể sử dụng máy bị nhiễm để khởi động các cuộc tấn công từ chối dịch vụ phân phối, giám sát hoạt động trên các hệ thống bị xâm nhập bất chính và cho các mục đích khác.
Chúng tôi tin rằng những kẻ tấn công đầu tiên bị tổn hại [You must be registered and logged in to see this link.] , các trang web của Hội Chuyên Gia Việt Nam (VPS), và thay thế các trình điều khiển bàn phím chính đáng với một con ngựa Trojan. Những kẻ tấn công sau đó đã gửi một e-mail cho cá nhân chỉ được nhắm mục tiêu mà chúng trở lại đến trang web VPS, nơi họ tải về các Trojan thay thế.
Các trình điều khiển bàn phím rogue, gọi W32/VulcanBot của McAfee, kết nối các máy tính bị nhiễm tới một mạng các máy tính bị xâm nhập. Trong quá trình điều tra của chúng tôi vào mạng botnet, chúng tôi tìm thấy khoảng một chục câu lệnh và hệ thống điều khiển cho mạng máy tính bị tấn công. Các lệnh và kiểm soát được phần lớn các máy chủ đang được truy cập từ địa chỉ IP ở Việt Nam.
Trojan cài đặt các phần mềm độc hại này sau trên hệ thống bị nhiễm:
*% UserDir% Application \ Data \ Java \ jre6 \ bin \ jucheck.exe
*% UserDir% Application \ Data \ Java \ jre6 \ bin \ zf32.dll
*% UserDir% Application Data \ \ Launch Microsoft \ Internet Explorer \ Quick \ VPSKEYS 4.3.lnk
* Chương trình RootDir%% \ Files \ Adobe \ AdobeUpdateManager.exe
*% RootDir% \ Program Files \ Java \ jre6 \ bin \ jucheck.exe
* Chương trình RootDir%% \ Files \ Microsoft Office \ Office11 \ OSA.exe
*% SysDir% \ mscommon.inf
*% SysDir% \ msconfig32.sys
*% SysDir% \ zf32.dll
*% SysDir% \ Setup \ AdobeUpdateManager.exe
*% SysDir% \ Setup \ jucheck.exe
*% SysDir% \ Setup \ MPClient.exe
*% SysDir% \ Setup \ MPSvc.exe
*% SysDir% \ Setup \ OSA.exe
*% SysDir% \ Setup \ wuauclt.exe
*% SysDir% \ Setup \ zf32.dll
Những tập tin này, khi thực hiện, bắt đầu kết nối đến các lĩnh vực sau đây:
* Google.homeunix.com
* Tyuqwer.dyndns.org
* Blogspot.blogsite.org
* Voanews.ath.cx
* Ymail.ath.cx
Trong khi ban đầu một số trong những lĩnh vực và các tập tin đã được báo cáo được liên kết với hoạt động Aurora, chúng tôi đã từ đó tin rằng phần mềm độc hại này không liên quan đến Aurora và sử dụng một bộ khác nhau của Command & kiểm soát các máy chủ.
Chúng tôi tin rằng thủ phạm có thể có động cơ chính trị và có thể có một số trung thành với chính phủ của nước Cộng hoà xã hội chủ nghĩa Việt Nam. Điều lệ của Hội Chuyên Gia Việt Nam là tăng cường kiến thức và sự hiểu biết về điều kiện kinh tế xã hội tại quốc gia Đông Nam Á, theo Wikipedia.
McAfee phát hiện phần mềm độc hại nhất trong tháng một, xung quanh đồng thời chúng tôi cung cấp phần mềm độc hại bảo vệ cho các hoạt động liên quan Aurora. Botnet này vẫn đang hoạt động và tấn công từ botnet tiếp tục ngày hôm nay.
Sự việc này nhấn mạnh rằng không phải mọi cuộc tấn công là động cơ của hành vi trộm cắp dữ liệu hay tiền bạc. Việc này được ví dụ mới nhất của hacktivism và động cơ chính trị cyberattacks, được gia tăng và một chủ đề chúng tôi tại McAfee đã thường được thảo luận trong các ấn phẩm của chúng tôi. Trong một tuyệt vời trên giấy tội phạm mạng và Hacktivism công bố tháng này, nhà nghiên cứu Francois Paget thảo luận về những chủ đề thời gian dài. Nó cũng bao gồm trong gần đây nhất của chúng tôi quý Threat Report.
Khi những sự kiện này diễn ra, chúng tôi sẽ tiếp tục giữ cho bạn cập nhật.
Bạn có thể làm theo McAfee CTO George Kurtz trên Twitter
