Phát Hiện Chiến Dịch Tấn Công Mạng “Operation Distributed Dragons” Từ Trung Quốc

Hãng bảo mật Ý – Tiger Security vừa phát hiện một loạt các cuộc tấn công từ chối dịch vụ (DDoS), trong khuôn khổ một chiến dịch mang tên “Operation Distributed Dragons”, có nguồn gốc từ Trung Quốc và có vẻ như được điều hành bởi một tổ chức có kết cấu chặt chẽ. Chiến dịch này đã nhắm mục tiêu vào hàng ngàn máy tính trên thế giới với Canada, Hà Lan, Hungary và Đức là những quốc gia có số lượng máy tính bị tấn công nhiều nhất.

Các chuyên gia đến từ Tiger Security đặt tên cho hoạt động này là “Operation Distributed Dragons” và cho biết, những kẻ đứng sau các cuộc tấn công này là những kẻ có khả năng phát triển kỹ thuật, chiến thuật và quy trình (TTP).

Chiến dịch “Operation Distributed Dragons”

Theo các nhà nghiên cứu, những tin tặc này ban đầu nhắm mục tiêu vào các máy chủ Linux nhưng các cuộc tấn công cũng bao gồm các máy Windows và các thiết bị được nhúng cấu trúc ARM. Bằng cách này, các tin tặc có thể phát động các cuộc tấn công DDoS với lưu lượng truy cập vào lúc cao điểm đạt đến 200 Gb/s mà không cần sử dụng các kỹ thuật khuếch đại.
“Operation Distributed Dragons” đã nhắm vào hàng ngàn máy tính trên thế giới và Canada, Hà Lan, Hungary và Đức là những quốc gia có số lượng máy tính bị tấn công nhiều nhất.

“Mục tiêu cuối cùng của chiến dịch là các doanh nghiệp trong các lĩnh vực cung cấp dịch vụ Internet, lưu trữ đám mây và các doanh nghiệp thuộc ngành công nghiệp game và giải trí”, Tiger Security cho biết trong báo cáo về Operation Distributed Dragons.

Khu vực ảnh hưởng

Chuỗi tấn công gồm 3 bước chính:

- Trinh sát: Một loạt các địa chỉ IP bị các tin tặc quét để tìm ra những hệ thống dễ bị tấn công. Chúng sử dụng phương thức “brute force” để tấn công vào các máy tính, khai thác một số loại lỗ hổng, bao gồm thông tin đăng nhập yếu kém và các phiên bản phần mềm lỗi thời.

- Lây nhiễm mã độc: Các tin tặc lây nhiễm mã độc cho các máy tính, biến những máy tính này một phần trong mạng botnet (mạng máy tính ma) được kiểm soát bởi các máy chủ điều khiển và kiểm soát (C&C) đã được các nhà nghiên cứu phát hiện. Các máy chủ C&C có mặt tại nhiều quốc gia trên thế giới, bao gồm Trung Quốc, Hàn Quốc, Mỹ, Indonesia, Nga, Đức, Brazil, Pháp…

- Tấn công: Các máy tính đã bị lây nhiễm (lúc này là một bot trong botnet) thực hiện các cuộc tấn công DDoS. Các chuyên gia đã phát hiện nhiều hình thức tấn công, bao gồm: SYN Flood, DNS Flood, UDP Flood và ICMP Flood.

Các chuyên gia cho biết, trong nhiều trường hợp, các cuộc tấn công được phát động vào 9 giờ tối (giờ Bắc Kinh) và kéo dài khoảng 3 tiếng đồng hồ với các đỉnh lưu lượng mà không cần khuếch đại.
Những kẻ tấn công chuyên hoạt động trên các hệ thống và ứng dụng không được kiểm tra, cập nhật và nâng cấp thường xuyên bởi các quản trị viên.

Từ các thông tin chi tiết về kỹ thuật trong báo cáo, có thể thấy, tin tặc đã sử dụng các cửa hậu khác nhau cho các trang mạng khác nhau, bao gồm một số trang của Chính phủ Trung Quốc.
Tài liệu cho biết: “Các cửa hậu này, có thể sử dụng thông qua các webshell, bao gồm cả “China Chopper” khét tiếng, đã được đưa vào bằng các khai thác các lỗ hổng bảo mật, bao gồm các lỗ hổng zero-day”.

Ai là kẻ đứng sau các cuộc tấn này?

“Mục tiêu của toàn bộ hoạt động, ít nhất là vào giai đoạn này của cuộc điều tra, là khá mâu thuẫn. Các nạn nhân có vẻ rất khác nhau về mô hình kinh doanh, ngành nghề và lợi ích. Tất cả những điều này cho thấy, loạt tấn công này được thúc đẩy chỉ đơn thuần vì lý do kinh tế: kết luận này, nếu đúng, có vẻ như hỗ trợ cho luận điểm rằng, bọn tội phạm mạng này cung cấp một “dịch vụ” cho các “khách hàng” của họ để đạt được phần thưởng, có thể là tài chính, và có thể được thuê để theo đuổi các mục tiêu cụ thể của các “khách hàng” như trong các ngành kinh doanh hợp pháp”, báo cáo cho biết.
Trả lời phỏng vấn trang Security Affairs, Emanuele Genti, Giám đốc Điều hành Tiger Security cho biết: “Các máy được cấu hình nghèo nàn đã tạo điều kiện cho việc lây nhiễm mã độc trên quy mô lớn, cho phép những kẻ tấn công tạo ra một mạng botnet mạnh mẽ”.