NSA cảnh báo tin tặc Triều Tiên khai thác điểm yếu của chính sách DMARC
Cùng với Bộ Ngoại giao Hoa Kỳ, hai cơ quan này cảnh báo rằng những kẻ tấn công lạm dụng các chính sách DMARC bị cấu hình sai để gửi các email giả mạo đến từ các nguồn đáng tin cậy như nhà báo, học giả và các chuyên gia khác về các vấn đề Đông Á.
NSA cho biết: “CHDCND Triều Tiên tận dụng các chiến dịch lừa đảo này để thu thập thông tin tình báo về các sự kiện chính trị, chiến lược chính sách đối ngoại của đối thủ và bất kỳ thông tin nào ảnh hưởng đến lợi ích của CHDCND Triều Tiên bằng cách truy cập bất hợp pháp vào các tài liệu, nghiên cứu và liên lạc riêng tư với mục tiêu”.
Tổng cục Trinh sát (RGB) của Hoa Kỳ cho rằng chính Triều Tiên đứng đằng sau một loạt hoạt động thu thập thông tin tình báo và gián điệp được điều phối bởi nhóm đe dọa nhà nước APT43, cũng được theo dõi với tên gọi là Kimsuky, Emerald Sleet, Velvet Chollima, Black Banshee và hoạt động ít nhất từ năm 2012.
Mục đích là để lưu giữ thông tin tình báo cập nhật về Hoa Kỳ, Hàn Quốc và các quốc gia quan tâm khác nhằm hỗ trợ các mục tiêu tình báo quốc gia của Triều Tiên và cản trở mọi mối đe dọa chính trị, quân sự hoặc kinh tế đối với an ninh và ổn định của chế độ.
Như NSA và FBI tiết lộ lần đầu tiên vào năm ngoái, các tin tặc thuộc nhóm APT43 đã mạo danh các nhà báo và học giả để thực hiện các chiến dịch lừa đảo, nhắm mục tiêu vào các tổ chức tư vấn, trung tâm nghiên cứu, tổ chức học thuật và tổ chức truyền thông ở Hoa Kỳ, Châu Âu, Nhật Bản và Hàn Quốc kể từ năm 2018 .
Trong các cuộc tấn công này, chúng khai thác các chính sách DMARC bị thiếu hoặc các chính sách DMARC có cấu hình "p=none", thông báo cho máy chủ nhận không thực hiện hành động nào đối với các thư không vượt qua quá trình kiểm tra DMARC. Điều này cho phép các email lừa đảo giả mạo của APT43 và nội dung đã bị xâm phạm trước đó tiếp cận hộp thư của mục tiêu.
Để giảm thiểu mối đe dọa này, FBI, Bộ Ngoại giao Hoa Kỳ và NSA khuyến cáo các cá nhân, tổ chức nên cập nhật chính sách bảo mật DMARC để sử dụng cấu hình "v=DMARC1; p=quarantine;" or "v=DMARC1; p=reject;".
Cấu hình cũ hướng dẫn máy chủ email cách ly các email không đạt tiêu chuẩn DMARC và gắn thẻ chúng là thư rác tiềm ẩn, trong khi cấu hình cập nhật yêu cầu chúng chặn tất cả các email không đạt kiểm tra DMARC.
Bá Phúc