Chủ đề

(Chuyên đề) - 2014 là một năm hoạt động vô cùng tích cực của tội phạm mạng. Các phần mềm gián điệp tài chính ngày càng trở nên phức tạp và nguy hiểm hơn. Hai mạng máy tinh ma lớn chuyên tấn công các hệ thống ngân hàng Gameover Zeus (GOZ) và Shylock hoạt động thống trị nửa đầu năm 2014.

Tội Phạm (kỳ 1)

77809f8b19e24b9efa6b5cc2f8ae12db

Mục lục
[ẩn]

Các xu hướng tội phạm năm 2014

2014 là một năm hoạt động vô cùng tích cực của tội phạm mạng. Các phần mềm gián điệp tài chính ngày càng trở nên phức tạp và nguy hiểm hơn. Hai mạng máy tinh ma lớn chuyên tấn công các hệ thống ngân hàng Gameover Zeus (GOZ) và Shylock hoạt động thống trị nửa đầu năm 2014. Tính năng phát triển của hai loại mã độc này tập trung vào khả năng tiêm các đoạn mã độc phức tạp vào web nhằm qua mặt bước xác thực hai yếu tố và các biện pháp an ninh ngân hàng trực tuyến.

Hai vụ tấn công gây gián đoạn lớn mà CrowdStrike phát hiện xảy ra vào giữa năm 2014, một được thực hiện bởi GOZ vào tháng 06 và một được thực hiện bởi Shylock vào tháng 07. Với nhiều dịch vụ phục vụ cho GOZ và Shylock hiện vẫn đang hoạt động, như vậy chắc chắn các mạng máy tính ma khác sẽ được hình thành.

CrowdStrike hiện đang giám sát hai ứng cử viên mới và nguy hiểm đó là Dyreza và Dridex, hay còn được gọi là Bugat. Dyzera sử dụng phương pháp tiếp cận đơn giản hơn để trển khai các hoạt động gian lận ngân hàng, hành động để ngăn chặn các thông tin đăng nhập và thực hiện các hoạt động độc hại bằng cách thu thập dữ liệu trong giao thức HTTP POST từ các phiên giao dịch ngân hàng dựa trên SSL.

Dridex sử dụng chiến thuật phần mềm gián điệp ngân hàng cũ hơn, dựa vào việc tiêm các đoạn mã JavaScript phức tạp vào web nhắm mục tiêu vào các cơ quan mà chúngmuốn đánh cắp dữ liệu. Cả hai mối đe dọa này đều dựa trên cùng hệ sinh thái tội phạm của những hệ thống mã độc tiền nhiệm.

Upatre, một trình tải về trước đó được sử dụng để phát tán GOZ, hiện được sử dụng để phát tán Dyreza và những trình tải về đã được biết đến như Andromeda, Smoke Loader và Pony Loader tiếp tục được phát triển để phát tán những trình tải về quan trọng. Các mạng máy tính ma Cutwail và Pushdo trước đó có nhiệm vụ phân phối các trình tải về cho GOZ, kể từ khi nhận lại nhiệm vụ này cùng với các mạng máy tính ma chuyên phát tán thư rác khác, hiện đang phát tán một số mồi nhử, mà cuối cùng sẽ lây nhiễm vào các trình tải về. Ví dụ, Dridex chuyên hướng đến các tài liệu Word với các ngôn ngữ lập trình khó hiểu. Những ngôn ngữ này nếu được cho phép thực hiện sẽ phát hiện ra và tải về các trình tải về ở giai đoạn đầu tiên mà sau đó sẽ tự động cài đặt trình tải về Dridex vào thiết bị của nạn nhân.

Cùng với những thay đổi về cảnh quan các phần mềm gián điệp ngân hàng, mã độc tống tiền cũng trải qua một sự thay đổi đáng kể suốt năm 2014 – đặc biệt được triển khai một cách chuyên nghiệp hơn rất nhiều. Thành công của công cụ tống tiền CryptoLocker đã đưa nó trở thành biến thể mã độc tống tiền đầu tiên. Thành công của nó một phần do việc được phát tán rộng, họat động như một nguồn thu thập thay thế cho các hoạt động của GOZ. Khi GOZ bị dỡ bỏ, CryptoLocker cũng bị gỡ xuống, nhưng hiện trên hệ thống của nó có nhiều họ mã độc tống tiền được nhân bản đang cố gắng để nhân rộng tầm ảnh hưởng của nó, chẳng hạn như CryptoWall và TorrentLocker.

Như vậy, cảnh quan tội phạm mạng năm 2015 sẽ thế nào?

CrowdStrike dự đoán, trong năm 2015, các phần mềm gián điệp ngân hàng như Dyreza và Dridex sẽ tiếp tục phát triển. Gần đây vào tháng 11, Dridex đã bổ sung thêm chức năng ngang hàng (P2P) vào kho vũ khí của mình nhằm tăng cường khả năng mạnh mẽ hơn và đó là những cơ hội nằm trong khả năng có thể thực hiện được. Ngoài ra đó giống như các mối đe dọa mới có khả năng triển khai theo mô hình sử dụng mồi nhử lừa đảo được phát tán bởi các trạm thư rác sử dụng hàng loạt các trình tải về để theo dõi hoạt động tải về của chúng dưới sự quan sát của radar. Mã độc tống tiền sẽ tiếp tục trở thành một mối đe dọa, tiếp tục được nhân rộng và trở thành thống lĩnh trong thị trường tiếp theo

GAMEOVERZEUSTAKEDOWN

Gameover Zeus (GOZ) là một mạng máy tính ma ngang hàng phức tạp, là một trong những mối đe dọa mạng phổ biến nhất trong suốt gần 4 năm. Nó ra đời sau mã độc khét tiếng Zeus, mà mã nguồn của Zeus bị rò rỉ vào mùa xuân năm 2011, chỉ vài tháng trước khi xuất hiện phiên bản GOZ đầu tiên. GOZ được sử dụng rộng rãi trong các vụ lừa đảo ngân hàng và trong các chiến dịch phát tán mã độc khác như phần mềm tống tiền CryptoLocker, và được tin rằng đã gây thiệt hại hơn 100 triệu USD.

Mạng máy tính ma GOZ từ lâu đã được tin rằng có thể chống lại mọi nỗ lực gỡ bỏ bởi cơ sở hạ tầng phức tạp theo từng cấp của nó: Các máy bị nhiễm cấu thành nên một mạng lưới ngang hàng được phân cấp với một số hoạt động ngang hàng như các trạm trung gian (trạm kết nối giữa các mạng lưới và các tầng kế tiếp). Tầng trên này lại một lần nữa bao gồm các máy chủ trung gian che giấu vị trí của các điểm cuối. Việc sử dụng công nghệ ngang hàng sẽ loại bỏ các điểm tĩnh và cho phép các nhà khai thác mạng máy tính ma này công bố các thành phần chủ chốt mới bất cứ lúc nào, điều mà khiến cho các nỗ lực chống lại mạng máy tính ma này trở nên vô nghĩa. Ngay từ đầu, một cơ chế dự phòng đã tạo ra một tập hợp 1.000 tên miền xác định và thay đổi hàng tuần, có thể đăng ký để phục vụ cho các danh sách ngang hàng mới. Các mạng máy tính mà không thiết lập kết nối với mạng ngang hàng sẽ sử dụng Thuật toán Sinh tên miền (DGA) để lấy ra một tập hợpmới các tên miền ngang hàng. Cuối cùng, tất cả các thông tin liên lạc trong mạng máy tính ma này đều được mã hóa.

Vào tháng 06/2014, mạng máy tính ma này đã bị gián đoạn trong một nỗ lực phối hợp có tên gọi là Operation Tovar. Giai đoạn này là đỉnh điểm của các tháng điều tra kỹ thuật và tranh cãi pháp lý. Mạng máy tính ma đã bị gián đoạn bởi việc tiếp quản cơ sở hạ tầng của nó và đồng thời ngăn chặn truy cập của những kẻ điều hành mạng máy tính ma. Trong khi nỗ lực này cần xem xét đến và ngăn chặn tất cả các kênh truyền thông khác, nó chủ yếu tập trung vào mạng lưới ngang hàng, bởi vì đó là thành phần phức tạp nhất. Bằng cách truyền bá thông điệp đặc biệt trong mạng lưới, cơ sở hạ tầng của nó đã trở nên thoái hóa và các mạng lưới của nó được chuyển đến các máy chủ nhận kết nối chuyển hướng.

Đội Tình báo của CrowdStrike đã cung cấp chuyên môn kỹ thuật, cho phép thực hiện một Lệnh Cấm Tạm thời (TRO), đã phá vỡ phành công không chỉ mạng GOZ khét tiếng mà còn mã độc CryptoLocker. Ngoài gián đoạn về kỹ thuật này, Bộ Tư pháp Mỹ còn nộp một bản cáo trạng chống lại một đối tượng có tên là Mikhailovich Bogachev, người bịnghi đứng sau mạng máy tính ma GOZ cũng như một số đồng phạm chưa rõ tên khác

Mã độc tấn công các hệ thống bán lẻ, các vụ xâm phạm liên quan

Gian lận thẻ tín dụng từ lâu đã phổ biến trong giới tội phạm mạng. Trong trường hợp dữ liệu thẻ tín dụng bị đánh cắp thông qua các vụ xâm phạm trang mạng, các dữ liệu bị xâm phạm thường bao gồm số thẻ, ngày hết hạn, tên chủ thẻ, mã bảo mật thẻ. Tuy nhiên, với chỉ riêng các dữ liệu này, không phải luôn có thể tái tạo chính xác lại những gì có thể tìm thấy trên một dải từ của thẻ. Trong các vụ tấn công hình sự, dữ liệu thẻ thường được đánh giá có giá trị hơn so với thông tin được đề cập ở trên vởi vì nó có thể sử dụng trong nhiều cách, bao gồm cả việc sản xuất thẻ tín dụng giả.

Trong suốt năm 2014, đội Tình báo của CrowdStrike đã điều tra được một số vụ xâm phạm lớn vào các công ty của Mỹ trong lĩnh vực bán lẻ. Những vụ xâm phạm liên quanđến các hệ thống bán lẻ (PoS) để đánh cắp thông tin thẻ tín dụng của người dùng. Bằng cách lây nhiễm thiết bị với mã độc được thiết kế để đánh cắp các thông tin thẻ tín dụngcũng như các thẻ quẹt của khách hàng, những kẻ tấn công có thể thu thập dữ liệu của hàng nghìn thẻ tín dụng. Chạy trong một thiết bị đầu cuối, mã độc sẽ liên tục quét bộ 14nhớ để tìm kiếm các mô hình độc đáo trên một dải từ và những dữ liệu kết nối đến một máy chủ điều khiển bởi tin tặc.

Hầu hết các họ mã độc PoS đều nỗ lực để xác nhận dữ liệu phù hợp với các mô hình tìm kiếm bằng các sử dụng Thuật toán Luhn. Thuật toán này, ban đầu được phát triển bởi IBM vào những năm 1950, cho phép xác nhận số thẻ bằng cách thực hiện phép toánsố học đối với chúng. Mặc dù được phát hiện trong thời đại tin học chưa được hiệnđại, nhưng thuật toán này vẫn được sử dụng rộng khắp trên nhiều hệ thống hiện đại bao gồm cả các số điện thoại di động imei, số thẻ tín dụng và số chứng minh nhân dân.

Vụ xâm nhập vào TARGET

Vào 19/12/2013, hãng bán lẻ của Mỹ Target đã phát hành tuyên bố xác nhận vụ xâm phạm dữ liệu và đưa ra ước tính phạm vi xâm nhập tổng thể. Theo thông báo, các tin tặc có thể đã đánh cắp dữ liệu của khoảng 40 triệu thẻ tín dụng, và xâm nhập vào 70 triệu hồ sơ cá nhân có các thông tin nhận dạng cá nhân. Theo báo cáo về hành vi vi phạm, các tin tặc đã có thể truy cập vào mạng lưới thông qua những dữ liệu chứng thư đánh cắp được từ một nhà thầu HVAC ở bang Pennsylvania chuyên cung cấp các dịch vụ cho Target.

Vào tháng 01/2014, đội Tình báo của CrowdStrike đã phân tích một số tập tin trong sự cố này. Một trong những tập tin này là một mã độc PoS có tên là Kaptoxa (hay còn gọi là mmon), được sử dụng như một thành phần trong một mã độc PoS khác là BlackPoS. Bản sao này của Kaptoxa liên tục quét bộ nhớ ổn định của các hệ thống bị nhiễm để tìm kiếm các mẫu giống như các số thẻ tín dụng và ghi chúng vào một tập tin được chuyển giao cho một mạng lưới chia sẻ nội bộ đều đặn. Một tiện ích khác được triển khai vào các mạng lưới này để thực hiện các bước xâm nhập mà trong đó dữ liệu được chuyển đến các máy chủ FTP bên ngoài.

Vào tháng 01/2014 CrowdStrike đã xác nhận được một trang chứa mã độc có lưu trữ một phiên bản mã nguồn BlackPoS. Trong khi người ta tin rằng trang mạng này không liên quan đến vụ xâm nhập vào hãng bán lẻ Target, việc phân tích mã nguồn này đã cung cấp một cái nhìn rõ nét hơn về những công cụ này. So sánh với các họ mã độc khác, hầu hết mã độc PoS có thiết kế và chức năng khá đơn giản. Mã độc này được sử dụng không cấp nhận các lệnh từ bộ điều khiển hoặc các hệ thống bên ngoài.

Chức năng duy nhất của nó là để quét, đăng nhập và trích xuất dữ liệu được tìm thấy. 15Mặc dù các công cụ này hết sức đơn giản, nhưng kẻ xâm nhập đằng sau Target đã chứng minh được sự tinh vi trong một chiến dịch xâm nhập thành công, chủ yếu là bằng cách tận dụng đầy đủ các thông tin đánh cắp được ban đầu để di chuyển khắp từ mạng lưới bị nhắm mục tiêu đến các hệ thống PoS.

Gia tăng hệt thống POS

Năm 2014, trong khi một số công ty lớn phải đối mặt các vụ xâm phạm hệ thống PoS, rất nhiều hãng bán lẻ nhỏ hơn cũng phải đối mặt với các mối đe dọa tương tự từ các nhóm tấn công ít có tổ chức hơn. Trong thị trường chợ đen, các bộ công cụ mã độc PoS đã sẵn sàng sử dụng ngày càng trở nên phổ biến hơn.

Mã độc như BlackPoS yêu cầu một chút về chiến lược tấn công mục tiêu. Đối với các nhóm tấn công ít có tổ chức và kỹ năng kém hơn, bộ công cụ lập sẵn như Dexter PoS có thể cho phép khai thác và cung cấp các khả năng tấn công tưởng như không thể có được.

Mã độc Dexter mà đội Tình báo của CrowdStrike báo cáo vào năm 2013, đã trở thành một trong những bộ mã độc PoS được biết đến nhiều nhất trên thị trường. Vào cuối năm 2014, mã nguồn của Dexter đã được công khai trên một số diễn đàn tội phạm mạng. Mã độc này quét bộ nhớ ở bộ nhớ 1 và bộ nhớ 2 của thẻ tín dụng, và trích xuất thông tin phát hiện được về máy chủ điều khiển theo các yêu cầu từ giao thức HTTP.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Thông điệp (Kỳ 4)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Thông điệp (Kỳ 4)

Trong năm 2014, CrowdStrike Intelligence đã quan sát các hoạt động đáng chú ý từ 39 băng nhóm tin tặc được chính phủ bảo trợ và theo chủ nghĩa dân tộc nhắm mục tiêu vào nhiều lĩnh vực...
(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Những phát hiện chính (Kỳ 3)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Những phát hiện chính (Kỳ 3)

Những hoạt động phá hủy mã độc của tội phạm tài chính trong năm 2014 • Những hoạt động phá hủy mã độc của tội phạm tài chính trong năm 2014 đã làm thay đổi...
(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Giới Thiệu (Kỳ 2 )

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Giới Thiệu (Kỳ 2 )

Tại CrowdStrike, “Thông tin tình báo hỗ trợ mọi việc chúng ta làm”. Đây không phải là một khẩu hiệu của công ty và cũng không phải là một chủ đề tiếp thị. Đây là sự nhận thức...
Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net