(Không gian mạng) - Đội quân Điện tử Syria (SEA) là cái tên từng gây ra một loạt các vụ tấn công mạng nửa thập kỷ trước. Ngoài các vụ tấn công nhắm vào chính phủ Mỹ và những nhà xuất bản lớn như Forbes, 2 tin tặc thuộc lực lượng này thậm chí còn nằm trong danh sách truy nã của Cục Điều tra Liên bang (FBI).

960x0

Tuy nhiên, SEA không mấy nổi bật trong thời gian gần đây, phần lớn do nhóm đã chuyển hướng trọng tâm khỏi các mục tiêu phương Tây sang chính quê hương mình, để hỗ trợ chính phủ tổng thống Bashar Al-Assad. Và theo như nghiên cứu công bố tại hội nghị tin tặc Black Hat ở thủ đô London (Anh) tuần qua, nhóm đang dồn nguồn lực đáng kể vào một công cụ gián điệp trên Android, giúp duy trì liên tục các thanh công cụ trên điện thoại di động nạn nhân.

Phần mềm mã độc này là SilverHawk, được chèn vào bản cập nhật giả mạo của những ứng dụng liên lạc mang tính riêng tư và bảo mật khác nhau, trong đó có WhatsApp và Telegram. Nhóm SEA cũng tạo các bản Microsoft Word và YouTube giả mạo chứa mã độc gián điệp SilverHawk, với nỗ lực xâm nhập vào ứng dụng Google trên thiết bị chạy Android.

SilverHawk đang lây lan

Các thông tin trên dựa theo báo cáo của Kristin Del Rosso và Michael Flossman, 2 nhà nghiên cứu của hãng bảo mật di động Lookout (Mỹ). Họ đã phát hiện những ứng dụng giả mạo qua các website bị tấn công watering hole và email giả mạo. Mục tiêu dường như bị tiếp cận một cách trực tiếp và khuyến khích mở những website độc hại để tải về ứng dụng giả.

Một khi người dùng đồng ý các quyền trên ứng dụng giả mạo, bao gồm cả quyền truy cập thiết bị ở mức quản trị, mã độc SilverHawk sẽ truy cập vào mọi loại dữ liệu. Nó có thể kích hoạt microphone hoặc máy quay để thu thập thông tin tại chỗ, xóa thông tin liên lạc, hay đơn giản là đánh cắp tài liệu trên thiết bị.

Mã độc này đã xuất hiện từ đầu năm 2016, và đến nay thì nó đã được làm mới. Flossman cho biết, nhóm SEA đặc biệt quan tâm đến mục tiêu là người dùng WhapsApp và Telegram. “Trong số những ứng dụng mà chúng tôi phát hiện chứa mã độc thì tin tặc thật sự dành ưu ái cho bản cập nhật WhatsApp và Telegram”.

Trong giai đoạn phát triển trước đó, SilverHawk không mấy cố gắng che dấu hoạt động của mình. Ngoài ra, địa chỉ IP của máy chủ kiểm soát mã độc cũng nằm ngay trong mã code khiến ai cũng có thể thấy được. Gần 1 năm rưỡi trước, tin tặc đã cố gắng làm rối mã bằng việc thay những con số trên địa chỉ IP bởi các ký tự như @. Đó là những thay đổi đơn giản cho thấy SEA không nỗ lực che dấu mình. “Họ chỉ cần tạo ra vài thay đổi nhỏ để vẫn có thể dùng mã độc một cách thành công”, Del Rosso lưu ý.

Flossman nói với tờ Forbes rằng, họ không phát hiện bất kỳ mã độc SEA nào nhắm vào hệ điều hành iOS của Apple. Dù nhóm này vẫn tiếp tục nhắm vào máy tính để bàn dùng Microsoft Windows.

SEA có thành viên viên mới?

Del Rosso và Flossman đã tìm liên kết của công cụ gián điệp này với một trong các tin tặc hàng đầu của SEA là Th3 Pr0, người mà FBI cáo buộc là Ahmad Al Agha, một công dân ở Damascus, thủ đô Syria. Tài liệu và những mối nối liên quan đến người này được phát hiện trong code của mã độc.

Nghiên cứu của 2 nhà bảo mật trên cũng phát hiện thêm một vài cá nhân khác, với tên gọi là Medo CoDeR và Raddex. Chúng có thể là những thành viên ẩn danh trước đó của nhóm gián điệp mạng Syria này.

Lâm Quang Dũng (Lược dịch từ: Forbes)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Kết bạn với Nguyễn Thiện Nhân trên Facebook
Thích và chia sẻ bài này trên Facebook