Hoạt động của chiến dịch APT
Các chuyên gia của Kaspersky đã phát hiện chiến dịch APT này khi theo dõi lưu lượng mạng của Wi-Fi công ty bằng nền tảng phân tích và giám sát hợp nhất của Kaspersky (Kaspersky Unified Monitoring and Analysis Platform - KUMA). Sau khi phân tích sâu hơn, các nhà nghiên cứu phát hiện tác nhân đe dọa đã nhắm mục tiêu vào thiết bị iOS của hàng chục nhân viên công ty.
Không dừng lại ở đó, phần mềm gián điệp lặng lẽ truyền thông tin cá nhân đến các máy chủ từ xa, bao gồm bản ghi âm, ảnh từ ứng dụng nhắn tin nhanh, định vị địa lý và dữ liệu về một số hoạt động khác của chủ sở hữu thiết bị bị nhiễm.
Trong quá trình phân tích, chuyên gia Kaspersky xác nhận không có tác động nào đến các sản phẩm, công nghệ và dịch vụ của công ty cũng như không có dữ liệu khách hàng nào của Kaspersky hoặc các quy trình quan trọng của công ty bị ảnh hưởng. Những kẻ tấn công chỉ có thể truy cập dữ liệu được lưu trữ trên các thiết bị bị nhiễm. Kaspersky là công ty đầu tiên phát hiện ra tấn công này, nhưng có thể sẽ không là mục tiêu duy nhất.
Igor Kuznetsov, Trưởng đơn vị EEMEA tại Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) nhận xét: “Khi nói đến an ninh mạng, ngay cả những hệ điều hành an toàn nhất cũng có thể bị xâm phạm. Vì những kẻ tấn công APT không ngừng phát triển các chiến thuật của chúng và tìm kiếm những điểm yếu mới để khai thác, nên các doanh nghiệp phải ưu tiên bảo mật hệ thống của mình. Điều này liên quan đến việc ưu tiên giáo dục và nâng cao nhận thức cho nhân viên, đồng thời cung cấp cho họ thông tin thám báo về mối đe dọa và các công cụ mới nhất để nhận biết và bảo vệ hiệu quả trước các mối đe dọa tiềm ẩn".
Ông Igor cho biết thêm cuộc điều tra về hoạt động của Triangulation vẫn tiếp tục. Chúng tôi hy vọng thông tin chi tiết về nó sẽ sớm được chia sẻ, vì có thể có các mục tiêu của hoạt động gián điệp này bên ngoài Kaspersky.
Đề xuất giải pháp để ngăn chặn tác nhân độc hại
Các nhà nghiên cứu Kaspersky đưa ra khuyến nghị nhằm giúp người dùng tránh trở thành nạn nhân của tấn công có chủ đích bởi những tác nhân đã biết hoặc chưa biết thì cần điều tra và phản hồi kịp thời ở mức độ điểm cuối, sử dụng giải pháp bảo mật đáng tin cậy dành cho doanh nghiệp, chẳng hạn như Kaspersky Unified Monitoring and Analysis Platform (KUMA); Cập nhật hệ điều hành Microsoft Windows và phần mềm của bên thứ ba càng sớm càng tốt, và việc này cần thực hiện thường xuyên;
Bên cạnh đó, cần cung cấp quyền truy cập vào thám báo mối đe dọa (Threat Intelligence - TI) mới nhất cho đội ngũ SOC. Kaspersky Threat Intelligence là nguồn truy cập đơn giản cho TI của công ty, cung cấp dữ liệu về tấn công mạng và những thông tin, báo cáo trong suốt 20 năm qua từ Kaspersky.
Nhóm an ninh mạng cần được trang bị kỹ năng mạng để giải quyết những mối đe dọa có chủ đích mới nhất bằng khóa đào tạo trực tuyến của Kaspersky, được phát triển bởi chuyên gia tại GReAT
Vì nhiều cuộc tấn công có chủ đích bắt đầu bằng lừa đảo hoặc những chiến thuật kỹ thuật xã hội, hãy cung cấp khóa đào tạo về nhận thức bảo mật và hướng dẫn các kỹ năng cần thiết cho nhân viên như Kaspersky Automated Security Awareness Platform./.