Một chiến dịch tấn công mới đã xuất hiện dưới cái tên "TetrisPhantom", và nó tiếp tục xâm phạm vào các USB mã hóa (secure USB) được sử dụng để đảm bảo an toàn cho dữ liệu lưu trữ. Hoạt động gián điệp này nhằm vào các tổ chức chính phủ trong khu vực châu Á - Thái Bình Dương (APAC). Sự phát hiện này đã được Kaspersky đưa ra trong báo cáo mới nhất về mối đe dọa APT (Advanced Persistent Threat) trong quý III năm 2023.
Theo thông tin từ Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky, đã phát hiện một chiến dịch gián điệp kéo dài được thực hiện bởi một kẻ tấn công chưa từng được phát hiện trước đây. Kẻ tấn công đã thực hiện việc theo dõi và thu thập dữ liệu nhạy cảm từ các tổ chức chính phủ APAC bằng cách khai thác USB mã hóa, dùng mã hóa phần cứng để bảo vệ việc lưu trữ và truyền dữ liệu an toàn giữa các hệ thống máy tính.
Các chuyên gia tại Kaspersky đã cảnh báo rằng việc các tổ chức chính phủ trên khắp thế giới sử dụng những ổ USB này sẽ làm tăng nguy cơ các tổ chức này sẽ trở thành nạn nhân của các cuộc tấn công trong tương lai.
Chiến dịch sử dụng nhiều mô-đun độc hại khác nhau, qua đó kẻ tấn công có thể chiếm toàn bộ quyền kiểm soát trên thiết bị của nạn nhân. Điều này cho phép chúng thực thi các lệnh, thu thập tệp và thông tin từ các máy bị xâm nhập, đồng thời lây nhiễm sang các máy khác bằng cách sử dụng cùng hoặc một loại ổ USB mã hóa khác. Ngoài ra, APT còn thành thạo trong việc triển khai các tệp độc hại khác trên hệ thống bị nhiễm.
Nghiên cứu của chúng tôi đã cho thấy cuộc tấn công sử dụng các công cụ và kỹ thuật mang tính phức tạp, bao gồm mã hóa phần mềm dựa trên ảo hóa, truyền thông cấp thấp với ổ USB thông qua lệnh SCSI trực tiếp và sao chép tự động thông qua USB kết nối đã được mã hóa. Những hoạt động này được thực hiện bởi một kẻ tấn công chuyên nghiệp và có khả năng tinh vi, đặc biệt quan tâm đến các hoạt động gián điệp trong các mạng lưới chính phủ nhạy cảm và được bảo vệ. Noushin Shabab - nhà nghiên cứu bảo mật cấp cao của Kaspersky chia sẻ.
Theo các nhà nghiên cứu của Kaspersky, cuộc tấn công này không tương tự với bất kỳ tác nhân đe dọa nào hiện có. Tuy nhiên, vì chiến dịch tấn công vẫn đang lưu thông, các chuyên gia phải tiếp tục theo dõi gắt gao và dự đoán rằng sẽ có nhiều cuộc tấn công tinh vi hơn từ chúng trong thời gian sắp tới.
Để đề phòng nguy cơ trở thành nạn nhân của một cuộc tấn công có chủ đích, nhóm nghiên cứu tại Kaspersky đề nghị thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống virus để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật. Thêm vào đó, cần cẩn trọng với các email, tin nhắn hoặc cuộc gọi yêu cầu thông tin nhạy cảm; trước khi chia sẻ dữ liệu cá nhân hoặc nhấp vào các liên kết đáng ngờ, cần xác minh danh tính người yêu cầu thông tin.
