Gần 10 năm kể từ khi các chuyên gia của Kasperky đưa ra ánh sáng một chiến dịch gián điệp mạng hoạt động chủ yếu nhắm vào các tổ chức, viện chính sách của Hàn Quốc, tới nay nhóm tin tặc được cho hậu thuẫn bởi chính phủ có tên Kimsuky tiếp tục cho thấy các hoạt động mới, cập nhật công cụ và chiến thuật để tấn công các mục tiêu.
Chuyên gia cao cấp của Kaspesky đã tiết lộ thêm những phát hiện về nhóm Kimsuky trong sự kiện An ninh mạng cuối tuần được hãng tổ chức lần thứ 8, trong số đó có khả năng nhóm mở rộng hoạt động với năng lực cao hơn. Kimsuky, hay còn được biết đến với những cái tên khác như Thallium, Black Banshee, Velvet Chollima đã vào tầm ngắm của Kaspersky từ năm 2013 và đang nhanh chóng cập nhật các công cụ để che giấu cơ sở hạ tầng của mình, cũng như khiến các nhà nghiên cứu bảo mật khó tìm kiếm dấu vết hơn.
Seongsu Park – Trưởng bộ phận Nghiên cứu Bảo mật thuộc nhóm Phân tích và Nghiên cứu Toàn cầu (GReAT) tại Kaspersky phát hiện nhóm tin tặc khét tiếng đã liên tục cấu hình các máy chủ điều khiển và kiểm soát (C2) với nhiều dịch vụ hosting thương mại khắp nơi trên thế giới. C2 có thể hiểu là máy chủ giúp các tác nhân đe dọa kiểm soát phần mềm khả nghi của chúng và gửi những lệnh độc hại tới các thành viên, điều chỉnh phần mềm gián điệp…
“Từ dưới 100 máy chủ C2 vào năm 2019, tới tháng 7.2022, Kimsuky đã có tới 603 trung tâm độc hại, một bằng chứng rõ ràng cho thấy tác nhân này đang lên kế hoạch cho nhiều cuộc tấn công hơn, nhiều khả năng nhắm vào Hàn Quốc. Qua những gì từng biết về nhóm này, các tổ chức ngoại giao, cơ quan truyền thông, doanh nghiệp tiền điện tử ở châu Á – Thái Bình Dương (APAC) nên cảnh giác cao độ trước các mối đe dọa”, ông Park khuyến nghị.
Sự gia tăng chóng mặt về số lượng máy chủ C2 là một phần trong chiến dịch không ngừng của Kimsuky tại APAC và có thể rộng hơn. Đầu năm 2022, nhóm chuyên gia bảo mật của Kaspersky phát hiện một làn sóng tấn công nhắm vào các cơ quan báo chí, ngoại giao và tổ chức học thuật ở Hàn Quốc.
Được mệnh danh là GoldDragon, nhóm này đã bắt đầu chuỗi lây nhiễm bằng cách gửi email phân tích có chứa tài liệu dạng Word được nhúng macro. Có nhiều ví dụ về các tài liệu Word khác nhau được sử dụng cho cuộc tấn công mới bị phát hiện, mỗi tài liệu lại cho thấy những nội dung “mồi nhử” khác nhau liên quan đến vấn đề địa chính trị ở bán đảo Triều Tiên.
Một kỹ thuật đáng chú ý mà nhóm Kimsuky sử dụng là quy trình xác minh của khách hàng nhằm xác nhận nạn nhân chính là “con mồi” mà chúng muốn tấn công. Các chuyên gia của Kaspersky thậm chí còn tìm thấy nội dung của tài liệu giả có nhiều chủ đề khác nhau, bao gồm chương trình nghị sự của Hội nghị các nhà lãnh đạo châu Á 2022, một biểu mẫu yêu cầu thù lao không ràng buộc pháp lý, và bản sơ yếu lý lịch của một nhà ngoại giao Úc.
Để bảo vệ hệ thống và mạng lưới khỏi chiến lược và kỹ thuật tấn công bí mật của Kimsuky, các chuyên gia của Kaspersky đề xuất:
· Bảo vệ dựa trên ngữ cảnh đầy đủ là chìa khóa.
· Các phương thức phòng vệ theo kiểu chớp nhoáng không hữu dụng.
· Nhóm an ninh và các chuyên gia phải hiểu đầy đủ về mối đe dọa: nên có các dịch vụ cung cấp báo cáo và phân tích chuyên sâu theo thời gian thực như Kaspersky Threat Intelligence Portal.
· Đa dạng hóa các điểm phòng vệ bảo mật.