Ông Rich Barger, giám đốc tình
báo của Cyber Squared nhận định: các băng đảng nổi tiếng trong giới bảo mật như
băng đảng DNSCalc, đã và đang sử dụng dịch vụ chia sẻ file Dropbox trong khoảng
12 tháng qua như một cơ chế phát tánphần mềm độc hại. Vì chiến thuật này không
phải là mới, nên nó vẫn trong phạm vi thăm dò của các công ty.
Băng đảng này là một trong 20 nhóm người Trung Quốc được công ty bảo mật Mandiant xác định dính lứu đến những cuộc tấn công nhằm đánh cắp thông tin. Trong trường hợp này, DNSCalc theo sau thu thập thông tin tình báo về các cá nhân hoặc chính phủ có liên hệ với khối các nước ASEAN.
Những tin tặc không hề lợi dụng bất
cứ lỗ hổng nào trong Dropbox hoặc WordPress, mà mở tài khoản tài khoản và sử dụng
như bình thường. Hành động của băng đảng này bắt đầu bằng việc upload lên
Dropbox một file đuôi .ZIP mang vỏ ngoài là của U.S.-ASEAN Business Council. Sau
đó những tin nhắn sẽ được gửi đến những cá nhân và tổ chức có thể có hứng thú với
bản dự thảo này.
Khi người nhận đã giải nén file .ZIP,
họ sẽ thấy tiếp một file tên là: '2013 US-ASEAN Business Council Statement
of Priorities in the US-ASEAN Commercial Relationship Policy Paper.scr.',
và nhấn vào đó sẽ hiện ra một bản PDF, đồng thời phần mềm độc hại sẽ được kích
hoạt, hoạt động tại nền máy chủ.
Một khi cánh cửa này mở ra, các
phần mềm độc hại sẽ tiếp cận đến một blog của WordPress do tin tặc lập ra. Blog
này chứa địa chỉ IP, số cổng lệnh và một server điều khiển để phần mềm có thể kết
nối và download thêm những phần mềm độc hại khác.
Dropbox là một công cụ hữu hiệu
nhất cho những cuộc tấn công như thế này vì nhân viên của các công ty, tập đoàn
lớn đều dùng dịch vụ này.
Đối với những công ty có hình thức
giao tiếp nội bộ riêng, thì phần mềm độc hại vào theo con đường Dropbox sẽ
không bị phát hiện bởi bất cứ hệ thống chống xâm nhập nào của công ty. Ngoài
ra, kết nối đến blog của WordPress cũng không bị theo dõi vì dùng blog cũng là
một kiểu kết nối Internet.
Trong cuộc tấn công vào The New
York Times, tin tặc xâm nhập hệ thống của một tờ báo vào tháng 9, 2012 và hoạt
động suốt 4 tháng sau đó cho đến khi bị phát hiện.
Nhìn chung, không có bất cứ công nghệ riêng lẻ nào có thể ngăn chặn cuộc tấn công như thế này. Việc cần làm nhất lúc này là việc chia sẻ thông tin khi các công ty bị đưa ra làm mục tiêu, như vậy các công ty khác sẽ có thể tìm được cách tự vệ cho riêng mình.
