TỔNG HỢP TIN AN NINH MẠNG TRONG TUẦN

Chào mừng các bạn đến với bài tổng hợp tin tức an ninh mạng hàng tuần được biên soạn bởi Cyber Space, trong tuần vừa qua, chúng ta có thể thấy một số tin tức nổi bật sau:

Tin thế giới:

  • MXH Truth Social của Trump sử dụng trái phép mã nguồn của Mastodon, bị doạ tước giấy phép phần mềm nếu không công khai mã nguồn
  • Kẻ lừa đảo chiếm đoạt SIM moi thông tin và bán đứng đồng nghiệp cho SWAT
  • Báo cáo: Quân Giải phóng Nhân dân Trung Quốc (PLA) đã có ‘bước tiến đột phá’ trong việc mua sắm các hệ thống AI trong chiến đấu
  • Tin tặc hiện đang đánh cắp dữ liệu để bẻ khoá bằng máy tính lượng tử trong vòng một thập kỷ tới
  • MITRE chia sẻ danh sách các điểm yếu phần cứng nguy hiểm nhất
  • Hoa Kỳ trừng phạt bốn công ty bán công cụ hacking, bao gồm NSO Group & Candiru
  • Europol bắt giữ các nghi phạm đứng sau các cuộc tấn công bằng ransomware LockerGoga, MegaCortex và Dharma
  • Kẻ lừa đảo tiền mã hóa dựa trên bộ phim ‘Trò chơi con mực’ tẩu thoát với 3.3 triệu USD
  • Ukraine tiết lộ danh tính của các thành viên Gamaredon, liên kết với FSB của Nga
  • Tin tặc gởi lời xin lỗi tới các gia đình hoàng gia Ả rập do làm rò rỉ dữ liệu của họ
  • Băng nhóm tội phạm mạng tạo lập công ty giả để thuê các chuyên gia bảo mật hỗ trợ các cuộc tấn công bằng mã độc tống tiền
  • Các cơ quan chức trách bắt giữ 150 nghi phạm bán hàng cấm trên dark web
  • Người phụ nữ bị cáo buộc xâm nhập vào trường đào tạo bay, xoá sạch các máy bay có vấn đề bảo trì

Tin về hoạt động của Cyber Space:

  • Cookie Arena CTF Season 1 – Webs Writeup

TIN TỨC THẾ GIỚI

MXH Truth Social của Trump sử dụng trái phép mã nguồn của Mastodon, bị doạ tước giấy phép phần mềm nếu không công khai mã nguồn

Link: https://www.theverge.com/2021/10/29/22752850/mastodon-trump-truth-social-network-open-source-gab-legal-notice

Kẻ lừa đảo chiếm đoạt SIM moi thông tin và bán đứng đồng nghiệp cho SWAT

Tin tặc này đã phản bội lại đồng nghiệp cũ của hắn, cáo buộc tên này đánh cắp khoản ăn chia trị giá 16 nghìn đô la Mẽo.
Điều này cho ta thấy không hề có cái gọi là danh dự trong giới trộm cắp, bao gồm cả những kẻ đánh cắp tiền mã hoá.

Link: https://www.vice.com/en/article/jgmep7/sim-swapper-doxes-and-swats-his-accomplice

Báo cáo: Quân Giải phóng Nhân dân Trung Quốc (PLA) đã có ‘bước tiến đột phá’ trong việc mua sắm các hệ thống AI trong chiến đấu

Center for Security and Emerging Technology, (CSET) tại Đại học Georgetown đã nghiên cứu 10 ngàn bản ghi mua sắm của PLA và đã liệt kê ra những phát hiện của họ trong một bản báo cáo có tên ‘Harnessed Lightning: How the Chinese Military is Adopting Artificial Intelligence’. Kết luận của họ: Trung Quốc đang chuyển mình nhanh chóng để khiến AI trở thành một phần không thể thiếu trong các nỗ lực hiện đại hoá quân đội của họ.
Nghiên cứu này phát hiện ra rằng PLA đang áp dụng AI trong 7 lĩnh vực riêng biệt:

  • Các phương tiện thông minh và tự động (đặc biệt là các phương tiện trên không và dưới nước)
  • Dự đoán bảo trì và hậu cần
  • Tình báo, giám sát và trinh sát (ISR)
  • Chiến tranh thông tin và tác chiến điện tử
  • Giả lập và huấn luyện
  • Chỉ huy và điều khiển
  • Nhận diện mục tiêu tự động

Link: https://therecord.media/report-chinas-pla-has-made-extraordinary-progress-in-procuring-ai-for-combat/

Tin tặc hiện đang đánh cắp dữ liệu để bẻ khoá bằng máy tính lượng tử trong vòng một thập kỷ tới

Những kẻ tấn công đang thu thập dữ liệu nhạy cảm được mã hóa với hy vọng có thể mở khóa dữ liệu đó vào một lúc nào đó trong tương lai.
Trong khi máy tính lượng tử vẫn còn sơ khai, vô cùng đắt đỏ và đầy rẫy các vấn đề, các quan chức cho rằng các nỗ lực bảo vệ đất nước khỏi mối nguy hiểm lâu dài này cần phải bắt đầu ngay bây giờ.
Đối mặt với chiến lược “thu thập bây giờ và giải mã về sau”, các cơ quan chính phủ đang cố gắng phát triển và triển khai các thuật toán mã hóa mới để bảo vệ các bí mật trước một thế hệ máy móc mạnh mẽ mới. Các cơ quan đó bao gồm có Bộ An ninh Nội địa cho biết họ đang dẫn đầu một quá trình chuyển đổi lâu dài và khó khăn sang công nghệ được gọi là mật mã lượng tử.

Link: https://www.technologyreview.com/2021/11/03/1039171/hackers-quantum-computers-us-homeland-security-cryptography/

MITRE chia sẻ danh sách các điểm yếu phần cứng nguy hiểm nhất

MITRE đã chia sẻ một danh sách các lỗi lập trình, thiết kế và bảo mật kiến trúc nguy hiểm nhất ảnh hưởng đến phần cứng trong năm nay.
Những điểm yếu như vậy có thể được tìm thấy trong lập trình, thiết kế hoặc kiến ​​trúc phần cứng, dẫn đến các lỗ hổng có thể bị khai thác và khiến các hệ thống bị tấn công.
Danh sách này là kết quả của sự hợp tác của tổ chức phi lợi nhuận MITRE trong Hardware CWE Special Interest Group (SIG), một cộng đồng bao gồm các cá nhân đại diện cho các tổ chức từ “thiết kế phần cứng, sản xuất, nghiên cứu và các lĩnh vực bảo mật phần cứng, cũng như học viện và chính phủ”.

Link: https://www.bleepingcomputer.com/news/security/mitre-shares-list-of-most-dangerous-hardware-weaknesses/

Hoa Kỳ trừng phạt bốn công ty bán công cụ hacking, bao gồm NSO Group & Candiru

Hôm nay, Bộ Thương mại Hoa Kỳ đã thông báo rằng chính phủ Hoa Kỳ đã trừng phạt bốn công ty phát triển và bán phần mềm gián điệp và các công cụ hacking khác.
Bốn công ty bao gồm Tập đoàn NSO và Candiru của Israel, công ty bảo mật Positive Technologies của Nga và Security Initiative Consultancy có trụ sở tại Singapore.
Các quan chức Hoa Kỳ cho biết bốn công ty này đã tham gia vào “các hoạt động đối nghịch với an ninh quốc gia hoặc tổn hại lợi ích chính sách đối ngoại của Hoa Kỳ.”
Các quan chức của Bộ Thương mại cho biết NSO Group và Candiru “đã phát triển và cung cấp phần mềm gián điệp cho các chính phủ nước ngoài để họ sử dụng những công cụ này một cách độc hại nhắm vào các quan chức chính phủ, nhà báo, doanh nhân, nhà hoạt động, học giả và nhân viên đại sứ quán.”
Tương tự, Positive Technologies và CSIC đã bị cáo buộc tạo ra và bán “các công cụ không gian mạng” mà sau đó được sử dụng để thâm nhập các cá nhân và tổ chức trên toàn thế giới.

Link: https://therecord.media/us-sanctions-four-companies-selling-hacking-tools-including-nso-group-candiru/

Europol bắt giữ các nghi phạm đứng sau các cuộc tấn công bằng ransomware LockerGoga, MegaCortex và Dharma

Các nghi phạm đã bị bắt giữ vào ngày 26 tháng 10, tại Ukraine và Thụy Sĩ.
Europol cho biết thêm trong một thông cáo báo chí vào hôm nay: “Một số tên tội phạm này đã cố gắng thâm nhập, sử dụng nhiều cơ chế để xâm phạm vào các mạng máy tính, bao gồm các cuộc tấn công brute force, SQL injection, đánh cắp thông tin đăng nhập và email phishing chứa các tệp đính kèm độc hại”.
Một khi ở trong mạng, Europol cho biết nhóm này sẽ dành ra hàng tháng trời để thăm dò các điểm yếu để có thể di chuyển sâu rộng hơn vào trong mạng và mở rộng truy cập.
Nhóm này thường triển khai mã độc TrickBot hoặc các post-exploitation framework như Cobalt Strike hoặc PowerShell Empire để không bị phát hiện và có thêm truy cập. Ngoài ra chúng còn sử dụng nhiều loại ransomware khác nhau, chẳng hạn như LockerGoga , MegaCortex và Dharma.
Europol cho biết một số vụ bắt giữ trong tuần này cũng bao gồm các cá nhân đã giúp nhóm này rửa tiền khi nạn nhân trả tiền chuộc.

Link: https://therecord.media/europol-detains-suspects-behind-lockergoga-megacortex-and-dharma-ransomware-attacks/

Kẻ lừa đảo tiền mã hóa dựa trên bộ phim ‘Trò chơi con mực’ tẩu thoát với 3.3 triệu USD

Các tiểu thương đằng sau tiền mã hóa Squid Game đã chính thức ‘pull the rug’ dự án này, tẩu thoát với số tiền được ước tính khoảng 3,38 triệu USD.
Đồng tiền mã hóa SQUID lên đỉnh tại mức giá 2,861 USD trước khi lao thẳng về mốc 0 USD vào khoảng 5:40 sáng, theo trang CoinMarketCap. Trò trộm cắp này thường được các nhà đầu tư tiền mã hóa gọi là “rug pull”, xảy ra khi người khởi tạo đồng mã hóa nhanh chóng rút đồng tiền của họ để lấy tiền thật, rút cạn liquidity pool khỏi sàn giao dịch.
Điều đáng bàn đó là vào buổi sáng thứ Sáu khi Gizmodo có bài viết nói về dự án này rõ ràng là lừa đảo? Rõ ràng bởi vì nhà đàu tư chỉ có thể mua đồng tiền mã hóa này chứ không thể bán. Tuy nhiên cực kỳ nhiều người không nhận được cảnh báo kịp thời.
Đồng coin mã hóa SQUID được phát hành mới cuối tuần trước và có hàng đống dấu hiệu lừa đảo (red flag), bao gồm trang web có tuổi đời 3 tuần đầy lỗi chính tả và ngữ pháp. Trang web được lưu trữ tại địa chỉ SquidGame[.]cash đã biến mất, cùng với đó là mọi sự hiện diện trên các nền tảng xã hội khác được thiết lập bởi những kẻ lừa đảo.
Các dấu hiệu lừa đảo khác bao gồm thực tế đó là kênh Telegram của đồng SQUID được dựng lên bởi những kẻ lừa đảo ẩn danh, không cho phép người ngoài vào bình luận. Và tài khoản Twitter thiết lập không cho phép bất kỳ ai có thể phản hồi các bài đăng.
Tuy nhiên dấu hiệu lớn nhất đó là không người nào mua vào đồng coin này có thể bán ra. Điều này không ngăn cản các hãng truyền thông lớn như BBC, Yahoo News, Business Insider, Fortune, và CNBC khỏi chạy các tiêu đề về đồng tiền mã hóa mới ăn theo Squid Game này đã tăng vọt lên 83,000% chỉ trong vài ngày.
Tương lai các nhà đầu tư mới có thể tránh được các vụ việc tương tự hay không? Hầu như là không.

Link: https://gizmodo.com/new-squid-game-cryptocurrency-launches-as-obvious-scam-1847961584
https://gizmodo.com/squid-game-cryptocurrency-scammers-make-off-with-2-1-m-1847972824

Ukraine tiết lộ danh tính của các thành viên Gamaredon, liên kết với FSB của Nga

Mật vụ Ukraine (SSU) hôm nay đã tiết lộ danh tính thực của 5 thành viên của nhóm gián điệp mạng Gamaredon, liên kết các thành viên của nhóm này với chi nhánh Crimea của Cơ quan An ninh Liên bang Nga (FSB).
Các cơ quan chức năng cho biết nhóm gián điệp mà SSU theo dõi nội bộ với cái tên Armageddon nhưng được biết đến rộng rãi hơn trong giới an ninh mạng với cái tên Gamaredon — được điều hành từ thành phố Sevastopol, Crimea, nhưng hoạt động theo lệnh của Trung tâm An toàn Thông tin FSB (còn được gọi là “Trung tâm 18”) Ở Moscow, một trung tâm được biết đến bởi các hoạt động không gian mạng của FSB.
“Họ là các sĩ quan tại chi nhánh Crimea của FSB, cũng là những tên phản bội đã đứng về phía kẻ thù trong quá trình chiếm đóng bán đảo này vào năm 2014,” SSU hôm nay cho biết trong một thông cáo báo chí.
Để hỗ trợ phần nào cho các tuyên bố này, SSU cũng công bố đoạn trao đổi bị nghe lén giữa 2 thành viên Gamaredon về các cuộc tấn công mà họ đang thực hiện và các phàn nàn về lương lậu của họ với phía FSB.

Link: https://therecord.media/ukraine-discloses-identity-of-gamaredon-members-links-it-to-russias-fsb/
Đoạn nghe lén: https://www.youtube.com/watch?v=Rci5xiyMv7k

Tin tặc gởi lời xin lỗi tới các gia đình hoàng gia Ả rập do làm rò rỉ dữ liệu của họ

Vào tháng 10, nhóm ransomware Conti tai tiếng đã công bố hàng ngàn tệp tin bị đánh cắp từ cửa hàng trang sức Graff.
Hiện giờ, những tin tin tặc này muốn thế giới biết rằng họ hối hận với quyết định đó, có lẽ là do họ đã công bố các tệp tin thuộc về những người cực kỳ quyền lực.
Trong số dữ liệu mà Conti rò rỉ ra, có nhiều tệp tin nhạy cảm thuộc về những người nổi tiếng như David Beckham, Oprah Winfrey, và Donald Trump, theo tờ Daily Mail. Theo lời chính những hacker này, trong đó cũng có thông tin thuộc về các gia đình hoàng gia UAE, Qatar, và Saudi.
Allan Liska, một nhà nghiên cứu có theo dõi ransomware tại hãng bảo mật Recorded Future cho biết rằng các tin tặc này có vẻ như đã sợ hãi khả năng bị trả thù từ các quốc gia Ả rập.
“Nói trắng ra, UAE gởi các nhóm ám sát để xử lý những người mà họ không thích. Mỹ và Anh không thực hiện điều này nữa. Thậm chí các nhóm ransomware cũng chịu áp lực chính trị. Dự đoán của tôi đó là họ đã có một cuộc trao đổi với ai đó ở Kremlin cho họ biết rằng đây là một ý tưởng tồi tệ, do vậy họ đã loại bỏ dữ liệu đó.” Liska chia sẻ với Motherboard trong một cuộc trò chuyện trực tuyến.

Link: https://www.vice.com/en/article/n7nw8m/conti-ransomware-hackers-apologize-to-arab-royal-families-for-leaking-their-data

Băng nhóm tội phạm mạng tạo lập công ty giả để thuê các chuyên gia bảo mật hỗ trợ các cuộc tấn công bằng mã độc tống tiền

Một nhóm tội phạm mạng được biết đến với tên gọi là FIN7 đã tạo ra một công ty bảo mật giả mạo vào đầu năm nay, sử dụng công ty đó để thuê các nhà nghiên cứu bảo mật, sau đó lừa họ tham gia vào các cuộc tấn công sử dụng ransomware.
Được đặt tên là Bastion Secure, công ty này tuyên bố cung cấp dịch vụ kiểm thử thâm nhập cho các công ty tư nhân và các tổ chức khu vực công trên toàn thế giới.
Nhưng theo một cuộc điều tra của Gemini Advisory, một bộ phận của Recorded Future, công ty này là bình phong cho nhóm FIN7, đã sử dụng trang web Bastion Secure làm bình phong để đăng quảng cáo trên các cổng thông tin tìm kiếm việc làm của Nga nhằm tìm cách thuê các chuyên gia an ninh mạng cho các vị trí khác nhau.
Quảng cáo trên trang web của công ty này cho thấy FIN7 đã tuyển dụng các chuyên viên dịch ngược, quản trị hệ thống, lập trình viên C++, Python và PHP.
Hơn nữa, các đại diện của Bastion Secure cũng dặn các ứng viên chỉ sử dụng các công cụ nhất định để không bị phát hiện bởi phần mềm bảo mật và để tìm kiếm các bản sao lưu và các hệ thống lưu trữ tệp tin một khi ở bên trong mạng máy tính của một công ty.
Theo Gemini Advisory, về lý do tại sao một nhóm tội phạm như FIN7 phải vất vả điều hành một công ty bảo mật giả mạo không chỉ một mà đến hai lần, câu trả lời đơn giản và liên quan đến chi phí vận hành và tiền bạc.
Thực tế việc thuê một chuyên gia bảo mật rẻ hơn so với khi FIN7 làm việc với các nhóm hacking hoặc tin tặc khác được thuê từ các diễn đàn ngầm.
Một chuyên gia bảo mật tại Nga thường kiếm từ 800 đến 1200 USD một tháng, trong khi các tin tặc muốn khoản chia trực tiếp từ tiền chuộc, khoản tiền mà trong một số trường hợp có thể dễ dàng đạt đến hàng triệu USD.

Link: https://therecord.media/cybercrime-gang-sets-up-fake-company-to-hire-security-experts-to-aid-in-ransomware-attacks/

Các cơ quan chức trách bắt giữ 150 nghi phạm bán hàng cấm trên dark web

Đây là một phần của một chiến dịch hiệp đồng được gọi là “DarkHunTOR”, các nghi phạm đã bị bắt giữ tại Mỹ, Anh, Hà Lan, Úc, Bulgaria, Pháp, Đức, Ý và Thụy Sĩ.
Các cơ quan chức năng cho biết các cuộc bắt giữ này bắt nguồn từ cuộc điều tra mở rộng sau khi triệt hạ DarkMarket, một thị trường buôn bán hàng cấm trên web đen lớn nhất thế giới.
Monaco cho biết hầu hết các nghi phạm bị bắt đều là những kẻ buôn ma túy hoặc mua bán các loại thuốc giảm đau có chứa opioid và thuốc giả từ DarkMarket.
Sau vụ bắt giữ, các nhà chức trách đã thu giữ hơn 26,7 triệu euro (31 triệu USD) tiền mặt và tiền ảo, 234 kg ma túy và 45 khẩu súng. Các quan chức cho biết số ma túy bị thu giữ bao gồm 152 kg amphetamine, 27 kg opioid và hơn 25.000 viên thuốc lắc.

Link: https://therecord.media/authorities-arrest-150-suspects-who-sold-illegal-goods-on-the-dark-web/

Người phụ nữ bị cáo buộc xâm nhập vào trường đào tạo bay, xoá sạch các máy bay có vấn đề bảo trì

Một phụ nữ bị cáo buộc đã xâm nhập vào các hệ thống của một trường đào tạo bay ở Florida để xóa và chỉnh sửa thông tin liên quan đến các máy bay của trường. Theo báo cáo của cảnh sát, trong một số trường hợp, những chiếc máy bay trước đây từng có vấn đề về bảo trì đã bị “xóa bỏ” để có thể bay. Theo Giám đốc điều hành của trường, vụ xâm nhập này có thể khiến các phi công gặp nguy hiểm.
Lauren Lide, một người phụ nữ 26 tuổi từng làm việc cho trường Đào tạo Bay Melbourne, đã từ chức Điều hành Chuyến bay vào cuối tháng 11 năm 2019, sau khi công ty này sa thải cha cô. Nhiều tháng sau, cô ấy bị cáo buộc đã xâm nhập vào hệ thống của công ty cũ, xóa và thay đổi các hồ sơ, trong một nỗ lực có vẻ như là để trả thù người chủ cũ của mình, theo hồ sơ tòa án mà Motherboard thu được.

Link: https://www.vice.com/en/article/bvzwv5/woman-allegedly-hacked-flight-school-cleared-planes-with-maintenance-issues-to-fly

TIN VỀ HOẠT ĐỘNG CỦA CYBER SPACE

Người hàng xóm Cookie Hân Hoan gần đây đã tổ chức một kỳ CTF rất xịn xò mang tên Cookie Arena kéo dài từ ngày 31/10 đến hết ngày 3/11. Cyber Space rất hân hạnh được tham gia và writeup cho một số thử thách về Web trong kỳ CTF này. Ad gà lắm, các bạn đừng ném đá nha!

Link: https://cyberlances.wordpress.com/2021/11/04/cookie-arena-ctf-season-1-webs-writeup/

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s