Suckfly - Nhóm hacker thích nghỉ cuối tuần

(PCWorldVN) Cuối năm 2015, Symantec phát hiện một khách hàng của mình bị tấn công bằng công cụ lạ và đáng chú ý nhất là kẻ tấn công chỉ thực hiện trong các ngày làm việc trong tuần.

• Mạng xã hội lớn nhất tại Nga bị tấn công
• Nga bắt giữ 50 hacker đánh cắp 25,5 triệu USD
• Malware tấn công tài khoản ngân hàng trực tuyến
• Thủ thuật từ một hacker siêu hạng
• Nguy cơ bị đánh cắp dữ liệu khi sạc smartphone bằng máy tính

Sau một thời gian điều tra, Symantec đã phát hiện ra cả một nhóm hacker tấn công APT với những công cụ, mã độc được ký bằng các chứng thực số bị đánh cắp và đặt tên cho nhóm này là Suckfly.

Sau khi đánh cắp chứng thực số từ các doanh nghiệp Hàn Quốc, nhóm hacker này đã dùng chúng để "hợp pháp hóa" các công cụ hack và mã độc rồi từ đó tấn công một loạt tổ chức chính phủ và thương mại trên nhiều lục địa trong 2 năm liền.

Công cụ hack đầu tiên của Suckfly mà Symantec phát hiện được ký số bởi chứng thực của một nhà phát triển phần mềm cho điện thoại di động ở Hàn Quốc.

Tiếp đó, các chuyên gia Symantec phát hiện thêm 3 công cụ hack khác cũng được ký bẳng chứng thực đó. Các công cụ phá hoại trên được dùng để tấn công chi nhánh Ấn Độ của một nhà cung cấp dịch vụ chăm sóc sức khỏe Hoa Kỳ và Symantec đã làm việc với chủ của chứng thực số để xác nhận họ không liên quan đến các công cụ đó.

Việc điều tra sâu hơn của các nhà nghiên cứu đã dẫn họ tới địa chỉ gốc và các chứng cứ bổ sung cho thấy các cuộc tấn công đều xuất phát từ cùng một hạ tầng. Các cuộc tấn công đều xuất phát từ 3 địa chỉ khác nhau ở Thành Đô, Trung Quốc.

Các tổ chức bị đánh cắp chứng thực số thuộc về 4 ngành công nghiệp khác nhau (xem biểu đồ dưới đây).

Biểu đồ 4 ngành công nghiệp khác nhau bị đánh cắp chứng thực số.

Ba trong chín chứng thực số bị sử dụng cho các hành vi đen tối từ đầu năm 2014. Những chứng thực còn lại chỉ được sử dụng năm 2015 nên nhiều khả năng là chúng chưa bị đánh cắp trước đó. Và trong năm 2015 thì cả 9 chứng thực số bị đánh cắp đều được dùng để "ký" các công cụ phá hoại.

Rất nhiều tổ chức bị tấn công nằm ở Ấn Độ, trong đó bao gồm một trong những tổ chức tài chính lớn nhất Ấn Độ, một công ty thương mại điện tử lớn, đối tác vận chuyển hàng chính của công ty thương mại điện tử, một trong năm công ty CNTT hàng đầu Ấn Độ, chi nhánh Ấn Độ của một nhà cung cấp dịch vụ chăm sóc sức khỏe Hoa Kỳ, hai tổ chức chính phủ.

Điều kỳ lạ là nhóm hacker Suckfly chỉ hoạt động từ thứ Hai đến  thứ Sáu, và không có bất kỳ hoạt động nào vào dịp cuối tuần.

Biểu đồ dưới đây mô tả hoạt động của nhóm hacker theo số liệu mà Symantec theo dõi được trong các ngày trong tuần.

Biểu đồ dưới đây mô tả hoạt động của nhóm hacker Suckfly.