Ký sự Hellsing: Gián điệp và câu chuyện gián điệp

Vào năm 2014, Hellsing, một nhóm gián điệp mạng không mấy danh tiếng chuyên tấn công vào chính phủ và các tổ chức ngoại giao ở châu Á, trở thành một mục tiêu tấn công theo phương pháp “Spear-phising - tấn công giả mạo” từ một nguồn khác và Hellsing quyết định đáp trả.
Các chuyên gia tại Kaspersky Lab đã phát hiện ra vụ việc này khi đang nghiên cứu hoạt động của Naikon, một nhóm gián điệp mạng. Các chuyên gia đã phát hiện rằng một trong những mục tiêu của Naikon đã cố gắng tấn công giả mạo bằng email có chứa phần mềm độc hại vào hệ thống của Naikon.
Mục tiêu đã truy vấn tính xác thực của email và không đọc email đó, sau đó đáp trả bằng việc gửi lại một email có kèm mã độc khác. Từ đó, Kaspersky Lab bắt đầu điều tra và phát hiện ra nhóm Hellsing. Phương pháp phản tấn công chỉ ra rằng Hellsing muốn nhận dạng Naikon và thu thập thông tin tình báo.

Các bài nghiên cứu chuyên sâu hơn về Hellsing đã phát hiện được dấu vết của các email tấn công giả mạo chứa kèm file độc được thiết kế để lan truyền phần mềm gián điệp trong các tổ chức khác nhau. Nếu một nạn nhân mở file đính kèm có chứa mã độc, hệ thống của họ sẽ bị nhiễm độc backdoor (Đây là khái niệm để chỉ một loại Trojan, sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra) giúp cho kẻ tấn công có thể tải xuống hoặc đăng lên, tự nâng cấp và gỡ bỏ tập tin. Theo khảo sát của Kaspersky Lab, gần 20 tổ chức bị Hellsing nhắm vào.

Mục tiêu của Hellsing
Kaspersky đã phát hiện và ngăn chặn phần mềm độc hại của Hellsing tại Malaysia, Philippines, Ấn Độ, Indonesia và Mỹ, đa số tổ chức bị tấn công tập trung ở Malaysia và Philippines. Hellsing cũng rất kén chọn thể loại tổ chức sẽ tấn công, chủ yếu là chính phủ và cơ quan ngoại giao.
“Việc Hellsing nhắm vào Naikon như là một hành động trả thù khá thú vị. Trong quá khứ, các nhóm APT vô tình va chạm với nhau khi trộm danh sách địa chỉ liên lạc từ nạn nhân và sau đó gửi email hàng loạt đến những địa chỉ đó. Tuy nhiên, việc lên trước kế hoạch rõ ràng về mục tiêu tấn công có vẻ là cách tấn công lẫn nhau của các nhóm APT” ông Costin Raiu, Giám đốc nghiên cứu toàn cầu và bộ phận phân tích tại Kaspersky Lab phát biểu. Theo phân tích của Kaspersky Lab, Hellsing đã hoạt động từ 2012 đến bây giờ.
Bảo vệ
Để phòng tránh những cuộc tấn công của Hellsing, Kaspersky Lab có khuyến nghị nên thực hiện những biện pháp bảo mật cơ bản sau:
• Không được mở những tập tin đính kèm từ những người bạn không quen biết.
• Cẩn trọng việc lưu trữ mật khẩu có chứa SCR hoặc các tập tin có thể thực thi bên trong.
• Nếu cảm thấy không chắc về tập tin đính kèm, hãy mở tập tin đó trong sandbox.
• Hãy cài phiên bản hệ điều hành mới nhất để đảm bảo không bị lỗi.
• Cập nhật các phần mềm từ bên thứ ba như Microsoft Office, Java, Adobe Flash Player và Adobe Reader.

Đọc thêm