Các chuyên gia an ninh mạng từ Lookout vừa phát hiện bốn biến thể mới của phần mềm độc hại DCHSpy, một công cụ gián điệp tinh vi trên nền tảng Android được cho là do nhóm tin tặc MuddyWater phát triển. Nhóm này có liên hệ chặt chẽ với Bộ Tình báo và An ninh Iran (MOIS). Sự xuất hiện của những biến thể mới này trùng với thời điểm căng thẳng giữa Iran và Israel leo thang, cho thấy phần mềm độc hại này liên tục được điều chỉnh để đáp ứng tình hình địa chính trị đang thay đổi.

DCHSpy lần đầu tiên được phát hiện vào năm 2024 và hoạt động như một mô-đun cấy ghép để đánh cắp dữ liệu toàn diện từ thiết bị của nạn nhân. Phần mềm này có khả năng thu thập thông tin đăng nhập, danh bạ, tin nhắn SMS, tệp lưu trữ, vị trí địa lý, nhật ký cuộc gọi, ghi âm âm thanh và ảnh từ camera. Đáng chú ý, DCHSpy còn có khả năng thu thập dữ liệu từ ứng dụng WhatsApp, tăng mức độ xâm nhập vào quyền riêng tư của người dùng.

MuddyWater là một nhóm tin tặc nổi tiếng với các hoạt động nhắm vào các tổ chức viễn thông, quốc phòng, năng lượng và chính phủ ở Trung Đông, Châu Á, Châu Phi, Châu Âu và Bắc Mỹ. DCHSpy được cho là công cụ chủ lực của nhóm này trong các chiến dịch gián điệp nhằm vào các quốc gia và lực lượng đối địch với Iran.

Các phân tích của Lookout chỉ ra rằng cơ sở hạ tầng của DCHSpy chia sẻ địa chỉ IP chỉ huy và kiểm soát với phần mềm gián điệp Android SandStrike, cũng như trojan truy cập từ xa PowerShell do MuddyWater sử dụng. Nhóm này thường áp dụng các chiến thuật phát tán phần mềm độc hại qua URL độc hại, thường được chia sẻ qua ứng dụng Telegram.

Phiên bản mới nhất của DCHSpy không chỉ thu thập dữ liệu WhatsApp mà còn nâng cao khả năng nhận dạng và trích xuất tệp mục tiêu. Dữ liệu bị đánh cắp sẽ được nén, mã hóa bằng mật khẩu từ máy chủ điều khiển và tải lên thông qua giao thức SFTP, giúp kẻ tấn công duy trì sự bí mật.

Kiến trúc mô-đun của DCHSpy cho phép nó được tùy chỉnh dễ dàng để theo kịp tình hình thời sự và khai thác các sự kiện nóng hổi cho các chiến dịch tấn công lừa đảo.

Mồi nhử StarLink và các ứng dụng giả mạo trên Telegram

Sau các vụ tấn công làm gián đoạn internet tại Iran, các phiên bản DCHSpy mới đã sử dụng mồi nhử dưới dạng ứng dụng VPN có chủ đề StarLink. Một tệp độc hại được ngụy trang như một VPN hợp pháp, đánh lừa người dùng bằng lời mời gọi truy cập internet qua vệ tinh.

Chiến lược quen thuộc của MuddyWater là giả dạng các ứng dụng phổ biến như VPN hoặc phần mềm ngân hàng để phát tán mã độc. Chúng quảng bá thông qua Telegram, lợi dụng các dịch vụ như EarthVPN, ComodoVPN với nội dung chống chế độ bằng tiếng Anh và tiếng Ba Tư, nhắm vào nhà báo, nhà hoạt động và những người bất đồng chính kiến.

Những liên kết dẫn đến các trang web đơn giản chứa tệp APK độc hại, sử dụng thông tin giả như địa chỉ doanh nghiệp tại Canada hoặc Romania để tạo lòng tin. Đây là phương pháp từng được sử dụng trong chiến dịch HideVPN vào tháng 7/2024.

DCHSpy là một phần trong xu hướng rộng hơn mà Lookout đang theo dõi, với ít nhất 17 nhóm phần mềm độc hại di động liên quan đến hơn 10 chiến dịch APT của Iran trong hơn một thập kỷ. Những chiến dịch này thường kết hợp các công cụ mã nguồn mở như Metasploit, AndroRat, AhMyth trong chiến dịch theo dõi từ xa.

Khi căng thẳng ở Trung Đông tiếp diễn sau lệnh ngừng bắn, Lookout tiếp tục theo dõi sự tiến hóa của DCHSpy và cam kết cung cấp thông tin tình báo cập nhật cho cộng đồng an ninh mạng.

Diễn đàn Trí thức trẻ Việt Nam toàn cầu lần thứ VI: Khai thác hiệu quả ‘mỏ vàng’ dữ liệu trong chuyển đổi số quốc gia

Trong bối cảnh hiện nay, việc xác định dữ liệu là tài nguyên số quan trọng đã trở thành một vấn đề cấp thiết. Tại Diễn đàn Trí thức trẻ Việt Nam toàn cầu lần thứ VI, các chuyên gia đã tập trung thảo luận về việc ứng dụng trí tuệ nhân tạo (AI) và các công nghệ mới để nâng cao hiệu suất lao động, đặc biệt là trong lĩnh vực chuyển đổi số quốc gia.

Ông Trần Quang Hưng, Ủy viên Ban Chấp hành, Trưởng Ban Đoàn – Hiệp hội Dữ liệu Quốc gia, đã chủ trì phiên thảo luận và nhấn mạnh tầm quan trọng của việc xây dựng ‘bệ đỡ thị trường’ cho đổi mới sáng tạo. Với dân số hơn 100 triệu người và hệ thống dữ liệu ngày càng được hoàn thiện, Việt Nam đang sở hữu lợi thế lớn để phát triển các mô hình kinh tế dựa trên dữ liệu.

Tuy nhiên, ông Hưng cũng chỉ ra rằng dữ liệu quốc gia hiện nay vẫn còn phân tán, thiếu sự liên kết giữa các lĩnh vực như thuế, bảo hiểm, nhân khẩu, ngành nghề… Điều này đã gây ra khó khăn cho việc khai thác và sử dụng dữ liệu một cách hiệu quả.

Các chuyên gia cũng cho rằng, Việt Nam cần làm rõ khái niệm dữ liệu trong bối cảnh hiện nay, những thuộc tính nào cần lưu trữ lâu dài và đâu là thông tin nên được loại bỏ. Điều cốt lõi của dữ liệu là phải ‘đúng, đủ, sạch, sống’. Tuy nhiên, phần lớn phần mềm không được cập nhật dữ liệu thường xuyên, dẫn đến giá trị thông tin giảm theo thời gian.

Để xây dựng hệ thống dữ liệu liên tục, cần phát triển các nền tảng thực sự hữu ích để người dân sử dụng thường xuyên trong đời sống hằng ngày. Đặc biệt, toàn bộ dữ liệu thu thập từ người dùng cần được bảo mật tuyệt đối và tuân thủ các quy chuẩn chặt chẽ.

Tại Việt Nam, bước tiến lớn là việc tích hợp số định danh cá nhân với hệ thống bảo hiểm, tuy nhiên vẫn còn khoảng cách rất lớn đến mục tiêu liên thông dữ liệu y tế quốc gia. Các chuyên gia cho rằng cần bắt đầu từ dữ liệu cá nhân sau đó tiến tới dữ liệu ngành, chuẩn hóa định danh cá nhân là bước đầu tiên, cần một mã số duy nhất được dùng xuyên suốt cho tất cả dịch vụ công và dịch vụ tư nhân.

Mỗi ngành cần xây dựng bộ chuẩn dữ liệu riêng (cấu trúc, chuẩn định dạng) để dữ liệu có thể phân tích, lưu trữ và chia sẻ. Tạo hành lang pháp lý cho chia sẻ dữ liệu y tế ẩn danh, đặc biệt phục vụ nghiên cứu khoa học.

Tóm lại, việc khai thác hiệu quả ‘mỏ vàng’ dữ liệu trong chuyển đổi số quốc gia là một vấn đề cấp thiết. Các chuyên gia đã đưa ra nhiều giải pháp để xây dựng hệ thống dữ liệu liên tục, chuẩn hóa định danh cá nhân và tạo hành lang pháp lý cho chia sẻ dữ liệu y tế ẩn danh.

Xem thêm: https://www.vietnamnet.vn/dien-dan-tri-thuc-tre-viet-nam-toan-cau-lan-thu-vi-khai-thac-hieu-qua-mo-vang-du-lieu-trong-chuyen-doi-so-quoc-gia-204825.html