Mới đây, các nhà nghiên cứu an ninh mạng từ công ty bảo mật ESET (Slovakia) đã phát hiện ra một chiến dịch gián điệp mạng tinh vi có tên “Jacana” nhắm mục tiêu vào Chính phủ Guyana. Chiến dịch này được xác định là một mối đe dọa an ninh mạng nghiêm trọng, hiện chưa có thông báo chính thức về nhóm tin tặc cụ thể nào đứng sau thực hiện chiến dịch.
Quy trình xâm nhập của chiến dịch Jacana
Theo các nhà nghiên cứu, chiến dịch Jacana bắt đầu bằng một chiến dịch lừa đảo trực tuyến nhắm vào cơ quan chính phủ Guyana. Những kẻ tấn công đã gửi những email được soạn thảo chi tiết với dòng chủ đề liên quan đến các vấn đề công cộng của Guyana, điều này cho thấy rằng chúng đang theo dõi chặt chẽ tình hình chính trị ở quốc gia này.
Các email lừa đảo có chứa một liên kết mà khi nạn nhân nhấp vào sẽ tự động tải xuống tệp ZIP từ “https://fta.moit.gov[.]vn/file/people.zip”. Vì tên miền kết thúc bằng gov.vn biểu thị một trang web của Chính phủ Việt Nam nên các nhà nghiên cứu tin rằng những kẻ tấn công có thể xâm nhập vào một thực thể chính phủ khác và sử dụng nó để lưu trữ các mẫu phần mềm độc hại của chúng. Sau khi nạn nhân giải nén tệp ZIP (không có mật khẩu) và khởi chạy tệp thực thi có trong đó, phần mềm độc hại DinodasRAT sẽ hoạt động và bắt đầu tiến hành xâm nhập.
Các nhà nghiên cứu của ESET xác định rằng công cụ cốt lõi được những kẻ đe dọa sử dụng trong chiến dịch Jacana là một cửa hậu được viết bằng C không có giấy tờ trước đây và phần mềm độc hại được sử dụng có tên là DinodasRAT. Trojan truy cập từ xa này có nhiều khả năng bao gồm: lọc tệp, thao tác đăng ký Windows, thực thi lệnh CMD,… DinodasRAT sử dụng Thuật toán mã hóa nhỏ (TEA) để mã hóa thông tin trước khi nó gửi đến máy chủ C