Theo phân tích của các chuyên gia bảo mật đến từ ESET, các công chức đang làm việc cho Bộ này đã nhận được một email lạ với file đính kèm là một tài liệu có định dạng Microsoft Word. Hiện tại, Bộ Tài nguyên & Môi trường vẫn sử dụng dịch vụ webmail để liên lạc công việc giữa các nhân viên, do đó, những người nhận được email đã không ngần ngại download file Word đính kèm nói trên về máy tính của họ, thay vì xem trước nội dung của nó trên trình duyệt web.
Khi mở file, tài liệu này sẽ lập tức khai thác một lỗ hổng bên trong Word để thả một file có tên payload.exe lên máy tính nạn nhân. Bản thân file này lại chứa ba file exe phụ khác mà ta sẽ đề cập kỹ hơn dưới đây.
Sau khi kích hoạt, mã độc sẽ kiểm tra xem trong máy tính nạn nhân có cài phần mềm diệt virus của BKAV hay không. Nếu tìm thấy, file payload.exe sẽ lập tức kích hoạt “BkavFirewallEngine.dll” trong bộ nhớ, thông qua chức năng FreeLibrary. Mục đích của hành động này là để ngăn cản sự can thiệp từ phía BKAV, ESET cho biết.
Ba file exe phụ mà mã độc thả tiếp vào máy có tên Framework.dll, StartExe.exe, W7e1.tmp và sẽ được lưu bên trong thư mục %temp%. Tuy nhiên, các chuyên gia ESET đã xác định chúng chính là loại mã độc cực kỳ nguy hiểm có tên Win32/Agent.VXU từng làm mưa làm gió thời gian trước. Một điểm đáng chú ý nữa là thời gian khởi tạo file khá gần đây, vào ngày 24/4/2014. Mặc dù dữ liệu này có thể làm giả song các chuyên gia ESET tin rằng hacker không có lý do gì để phải ngụy tạo mốc thời gian đó cả.
Tin khá mừng cho người dùng Windows XP trở về trước là có vẻ như file độc chính (payload.exe) không triển khai được các file phụ trên những máy tính cài hệ điều hành này. Theo nhận định của ESET thì có vẻ như mã của chúng bị lỗi và không thể chạy được file startexe.dll thay cho file startexe.exe. Tuy nhiên, với các phiên bản từ Windows Vista trở đi thì việc thả file độc diễn ra hoàn toàn không gặp phải bất cứ trở ngại nào.
File Framework.dll sẽ kết nối tới 31.170.167.168:443 (USA) hoặc www.google.zzux.com:443, một máy chủ được đặt tại Hàn Quốc.
Hiện chưa rõ động cơ của vụ tấn công là gì, song các chuyên gia bảo mật nhấn mạnh rằng bất cứ Bộ, ngành chính phủ nào cũng lưu trữ rất nhiều thông tin mật liên quan đến vấn đề kinh tế và chiến lược quốc gia. Trong trường hợp của Bộ Tài nguyên & Môi trường thì những dữ liệu như bản đồ, khảo sát, nghiên cứu là những tài sản số hết sức có giá trị.
Khi phải đối mặt với những vụ tấn công có tính mục tiêu rất cao kiểu này, các website cần phải đảm bảo rằng họ đã cài đặt miếng vá mới nhất một cách định kỳ, ESET khuyến cáo. Toàn bộ hệ điều hành, ứng dụng và tiện ích trình duyệt đều phải được nâng cấp đều đặn. Không kém phần quan trọng là việc giáo dục nhận thức về bảo mật thông tin cho người dùng cuối, chẳng hạn như không bao giờ mở các file đính kèm hoặc click vào đường link bên trong email nếu không biết đích xác nội dung của file/đường link đó, kể cả khi chúng được gửi đi từ một người mà bạn quen biết và tin tưởng.
Trong trường hợp bạn cảm thấy "bắt buộc" phải mở file đính kèm, hãy trả lời những câu hỏi sau: - Hệ điều hành, ứng dụng, phần mềm bảo mật của bạn đã được cập nhật đầy đủ hay chưa?; Bạn có thể liên lạc với người gửi bằng một hình thức nào khác ngoài email hay không (gọi điện, nhắn tin, gặp trực tiếp) để xác thực nội dung hoặc email nhận được trước khi mở nó ra hoặc click vào đường link? Bạn có nắm rõ file đính kèm hoặc đường link này cụ thể là gì?
Đồng thời, lực lượng kỹ thuật của các cơ quan, tổ chức cần phải khuyến khích nhân viên báo cáo lại những hoạt động bất thường, đáng khả nghi kiểu này cho nhân viên IT để kịp thời có hình thức xử lý.