Chủ đề

(Chuyên đề) - Các vụ xâm nhập nhắm mục tiêu liên quan đến các lợi ích quốc gia dân tộc đã gia tăng trong nhiều năm qua. Các hoạt động liên quan đến quốc gia khác thường phản ánh các lợi ích quốc gia của họ hoặc các chương trình nghị sự hoặc các mối quan tâm sâu sắc.

Nhà nước (kỳ 2)

usa chine 040915 (1)

Mục lục
[ẩn]

Các vụ xâm nhập nhắm mục tiêu liên quan đến các lợi ích quốcn gia dân tộc đã gia tăng trong nhiều năm qua. Các hoạt động liên quan đến quốc gia khác thường phản ánh các lợi ích quốc gia của họ hoặc các chương trình nghị sự hoặc các mối quan tâm sâu sắc.

Ví dụ, các tin tặc Trung Quốc dường như đã lên kế hoạch rõ ràng về các hoạt động nhằm hỗ trợ cho các hoạt động xảy ra ngoài đời thực trong vụ Giàn khoan 981. Trong phong trào Umbrella Revolution, thống trị các đường phố ở Hong Kong trong suốt mùa hè và mùa thu năm 2014, các nhóm tin tặc ủng hộ Trung Quốc đã theo dõi rộng khắp và nhắm mục tiêu tất cả các tổ chức liên quan đến tình trạng bất ổn dân sự trong một nỗ lực nhằm thu thập thông tin tình báo về những người biểu tình và phong trào của họ.

Trong suốt năm 2014, CrowdStrike đã quan sát sự phát triển liên tục của các hoạt động xâm nhập nhắm mục tiêu. Các quốc gia đều hiểu được giá trị của việc thu thập thông tin tình báo trong lĩnh vực thông tin và đã huy động các nguồn lực để đầu tư vào những cơ hội tình báo có thể có.

Trong khi nhóm Tình báo của CrowdStrike xác định và phân tích hàng tá nhóm tội phạm mạng mới trên thế giới vào năm 2014, vẫn có một số nhóm nhắm tới các lợi ích chung.

FLYING KITTEN

GLO_final_nha nuoc

Flying Kitten là một nhóm được cho là hoạt động bên ngoài nước Cộng hòa Hồi giáo Iran. Nhóm này lần đầu tiên tiến hành hoạt động xâm nhập nhắm mục tiêu vào cuối năm 2013, và đã liên tục hoạt động vào suốt năm 2014.

Vào tháng 01/2014, CrowdStrike đã phát hiện ra một hoạt động đang được tiến hành bởi nhớm tin tặc này, nhắm mục tiêu vào một công ty thuộc lĩnh vực quốc phòng tại Mỹ. Chiến dịch này tận dụng các trang mạng giả mạo để lừa người dùng cung cấp các thông tin đăng nhập đồng thời lừa tung ra các mã độc dưới dạng cập nhật các ứng dụng. Sau một thời gian ngắn, hoạt động này đã bị phát hiện, các chiến dịch khác nhằm chống lại các mục tiêu khác trong lĩnh vực quốc phòng và hàng không vũ trụ cũng được theo dõi. Các bằng chứng cho thấy Flying Kitten nhắm vào Iran cũng được các 18nhà nghiên cứu của CrowdStrike phát hiện, mã độc này nhắm mục tiêu những người  bất đồng chính kiến Iran tại Iran và ở nước ngoài.

Chiến thuật phổ biến của Flying Kitten là thiết lập các trang mạng đăng nhập giả mạo trên các tên miền gần giống với những tên miền hợp pháp được các mục tiêu thường sử dụng. Những trang mạng giả mạo này được sử dụng với hai mục đích: Chúng đăng nhập các thông tin của người dùng, những người mà tin rằng trang này là cơ chế chứng thực hợp pháp, và sau đó chuyển hướng đến một trang khác nhắc nhở việc tải về một bản vá hoặc một bản cập nhật ứng dụng, trên thực tế đó là một bản sao của công cụ truy cập từ xa. Công cụ này được sử dụng để đăng nhập các tổ hợp phím, chụp màn hình và các hoạt động khác của người dùng trên các hệ thống bị lây nhiễm, đồng thời trích xuất dữ liệu này đến một máy chủ kiểm soát của tin tặc. Công cụ truy cập từ xa được sử dụng bởi Flying Kitten là một trình thả được viết bằng ngôn ngữ C#.NeT và thường sử dụng tên tập tin giống nhau. Các tập tin được thả xuống sẽ được lưu trữ trong các nguồn tài nguyên .NeT được nhúng vào khi thực thi. Khi được thực thi, nó sẽ trích xuất và triển khai một phần mềm gián điệp cửa hậu, một tập tin cấu hình và một mồi nhử tùy chọn (một hình ảnh hoặc lệnh thực thi hợp pháp). Tương tự như vậy, việc thực thi cửa hậu cũng được viết bằng ngôn ngữ C#, có nghĩa là nó có thể được dịch ngược trở lại với một đại diện mã nguồn gốc. Mã nguồn này liệt kê một số các lớp với tên gọi như Stealer.Browser, Stealer.Keylogger, hoặc Stealer.Messenger. Hơn nữa, các mã có chứa bản dịch của các ứng dụng tạo ngôn ngữ Farsi (Ba Tư), ví dụ như, HavijeBaba và salam! *% #, Như hình dưới đây.

GLO_final_3 nhanuoc 2

Ngoài các mục tiêu bất đồng chính kiến, các lĩnh vực hàng không, quốc phòng, dường như Flying Kitten còn nhắm vào các mục tiêu rộng hơn thông qua trang mạng parmanpower.com vốn là trang của một doanh nghiệp chuyên tuyển dụng, đào tạo và phát triển ở Erbil, I-Rắc. Các hoạt động trên trang mạng này cũng giống như một số 19tên miền khác có liên quan đến các hoạt động được thảo luận ở trên, trong đó chỉ ra rằng nó cũng được sử dụng bởi kẻ thù, nhưng mục đích thực sự của trang mạng này hiện vẫn chưa rõ.

Email đăng ký mà hiện xuất hiện nhiều trong các hồ sơ củ Whois về nhiều tên miền
là info@usa.gov.us. Tuy nhiên, các ghi chép lịch sử hoạt động cho thấy rằng, những tên miền này ban đầu được đăng ký theo địa chỉ email keyvan.ajaxtm@gmail.com, có liên quan chặt chẽ đến một nhóm tin tặc Iran là Ajax Security Team. Nhóm này được biết đến với hoạt động đánh sập trang web ở mức độ thấp và thực hiện các cuộc tấn công tiêm câu truy vấn độc hại SqL. Cho đến đầu năm 2014, Ajax Security đã hiện diện trên Internet, cụ thể là trên trang mạng của riêng họ và các trang Facebook có liên quan. Sự hiện diện trên Internet này giảm đáng kể, có thể do mong muốn để lại thông tin ít hơn về việc nhóm này đang tham gia các hoạt động xâm nhập nhắm mục tiêu.

CHARMING KITTEN

Vào cuối tháng 05, các báo cáo công khai đã được phát hành về một nhóm tin tặc Iran kêu gọi người dùng trên các trang mạng xã hội thực hiện các cuộc tấn công nhắm mục tiêu và các cuộc tấn công sử dụng kỹ thuật lừa đảo xã hội chống lại một số mục tiêu. Nhóm này có tên CHARMING KITTEN, được đội Tình báo của CrowdStrike phát hiện từ tháng 01/2014 khi đang theo dõi các đối tượng nhắm mục tiêu vào các khu vực chính phủ và quốc phòng của Mỹ.

CHARMING KITTEN tham gia cả hoạt động thu thập thông tin và sử dụng mã độc. Hoạt động thu thập thông tin được thực hiện thông qua các trang web giả mạo các trang hợp pháp như Youtube. Khi các nạn nhân nhấp chuột vào đường link đăng nhập, họ sẽ được chuyển hướng đến một trang mạng khác nhắc nhở họ đăng nhập thông tin cá nhân, mà sau đó nhóm tin tặc này sẽ thu thập thông tin này.

Mã độc được sử dụng bởi nhóm tin tặc này là một biến thể mã độc dựa trên ứng dụng trò chuyện trực tuyến (Internet Relay Chat – IRC) gọi là Parastoo bởi vì nó sử dụng mật khẩu IRC. Mã độc này sở hữu một lệnh mở rộng, thiết lập khả năng tiến hành trinh sát các máy tính của nạn nhân, xóa tập tin, tải tập tin và trích xuất dữ liệu.

Một số yếu tố cho thấy mối quan hệ của CHARMING KITTEN với Iran. Đầu tiên, mật khẩu “parastoo” được sử dụng bởi mã độc là một từ tiếng Iran, được sử dụng để chỉ một loại chim nhỏ. Ngoài ra, nhóm tin tặc này cũng sử dụng các nhà cung cấp dịch vụ lưu trữ web ở Iran và các cơ sở hạ tầng ở Iran để lưu trữ các tên miền độc hại. Cuối 20cùng một trong những trình tải về có liên quan đến các biến thể Parastoo thả xuống một tài liệu mồi nhử bằng ngôn ngữ Persia (Ba Tư) dường như từ Bộ Nội vụ Iran.

PlUGX – Lựa chọn của các nhóm tin tặc Trung Quốc.

CrowdStrike đã phát hiện xu hướng gia tăng sử dụng mã độc truy cập từ xa (RAT) PlugX trong năm 2014. Nhiều nhóm tội phạm đã sử dụng PlugX để nhắm mục tiêu một số khu vực tại các nước xung quanh chịu ảnh hưởng từ Trung Quốc, đặc biệt là các khu vực khoa học công nghệ, chính phủ và quốc phòng. Hơn thế nữa, PlugX đã được sử dụng trong các chiến dịch chống lại các tổ chức thương mại tại Mỹ cũng như nhắm mục tiêu các tổ chức có liên quan đến chống khủng bố hoặc triển khai các nỗ lực chính trị trên toàn thế giới.

Các cuộc tấn công có liên quan đến GOBLIN PANDA đã được phát hiện ngày càng gia tăng trong suốt nửa cuối năm 2014, trong khi cũng vào những tháng cuối này, CrowdStrike đã điều tra ra một số hoạt động sử dụng PlugX liên quan đến các nhóm tin tặc như Hurricane Panda và Pale Panda. Các nhóm tin tặc Trung Quốc khác được phát hiện sử dụng PlugX trong các chiến dịch của chúng bao gồm AURORA PANDA, NIGHTSHADE PANDA, PREDATOR PANDA, EMISSARY PANDA và WET PANDA. Xu hướng gia tăng sử dụng PlugX cũng cho thấy tin tặc ngày càng tin tưởng vào việc sử dụng nền tảng này, bằng chứng là mã độc này được sử dụng trong nhiều chiến dịch nhằm vào nhiều khu vực và quốc gia.

GLO_final_3 nhanuoc 2

PlugX đã tồn tại trong một số mẫu từ năm 2008 và đã phát triển qua thời gian để cung cấp các khả năng và cơ chế kiểm soát mới, được hỗ trở bởi một chương trình phát triển tích cực. Nó cung cấp cho kẻ tấn công một loạt các tính năng bao gồm cả khả năng ghi tổ hợp phím, chỉnh sửa và sao chép tập tin, chụp ảnh màn hình hoặc quay video lại các hoạt động của người dùng; và thực hiện các nhiệm vụ khác như chấm dứt quá trình, đăng xuất người dùng và khởi động lại máy tính nạn nhân.

Một lệnh đầy đủ cũng được cung cấp trong suốt quá trình truy cập vào một tiến trình cmd.exe, mà sẽ gửi thông tin cho PlugX thông qua các đường đi được đặt tên để làm theo các máy chủ Điều khiển và Kiểm soát (C2).

Mặc dù những khả năng này không phải là bất thường đối với một mã độc RAT và được so sánh với những công cụ được cung cấp bởi Poison Ivy và các công cụ khác, PlugX còn cung cấp một loạt các giao thức C2 và các tùy chọn thực hiện giúp giảm 21nguy cơ bị phát hiện bởi các biện pháp phòng thủ mạng lưới. Theo thời gian, những khả năng này đã được tăng cường với các phiên bản bổ sung, trong đó lần lượt được triển khai bởi các nhóm tội phạm trong các chiến dịch hoạt động tích cực và liên tục.

Ví dụ, GOBLIN PANDA đã được phát hiện sử dụng PlugX với một số phiên bản nội bộ 20140101 trong các chiến dịch kể từ quý 2 năm 2014, thay đổi để chuyển sang sử dụng phiên bản 20140606 trong nửa cuối năm 2014.

PlugX thường nhắm các mục tiêu thông qua một cuộc tấn công lừa đảo chứa một tài liệu word hoặc RTF nhằm khai thác lỗ hổng phổ biến CVe-2012-0158. Một số nhóm tội phạm còn nỗ lực khai thác lỗ hổng CVe-2014-1761 nhằm tối đa hóa cơ hội khai thác đối với những hệ thống được vá gần đây, với mức độ thành công khác nhau.

Các cuộc tấn công cũng đã được xác định bằng cách sử dụng các mồi nhử định dạng excel hoặc powerpoint cũng như các tập tin tự giải nén đuôi .rar và các tập tin thực thi đơn giản như các tập tin đính kèm email. Tuy nhiên PlugX được cài đặt lên các máy tính của nạn nhân, thường 3 tập tin được thả xuống hệ thống tập tin sau khi khai thác để có thể khởi động mã độc: một ứng dụng chữ ký số hợp pháp; một tập tin được mã hóa có chứa các gói PlugX; và một thư viện liên kết động đọc hại được sử dụng để tải mã độc bằng cách sử dụng kỹ thuật tải Dynamic Link Library (DLL) khi ứng dụng hợp pháp được thực thi. Phương pháp này có thể cung cấp một mức độ bảo vệ chống lại các kỹ thuật phát hiện mối đe dọa được sử dụng bởi các gói phần mềm chống virus.

Thông thường, một công cụ bảo mật máy tính như một thành phần trong ứng dụng chống virus thương mại sẽ được sử dụng cho mục đích này, nhiều khả năng để tận dụng lợi thế của các chiến lược hoạt động trên một mạng lưới.

Lệnh điều khiển và kiểm soát của công cụ PlugX được đưa ra bằng cách sử dụng một loạt các giao thức, bao gồm HTTP, và một kênh nhị phân qua giao thức ICMP. Trong suốt năm 2014, CrowdStrike đã phát hiện sự gia tăng đáng kể việc sử dụng một mô 22đun DNS C2 mới hơn, có thể truyền dữ liệu, như các truy vấn DNS, đến cơ sở hạ tầng được kiểm soát bởi các nhóm tin tặc.

Trong khi cơ chế này không giống với một số giao thức thông thường hơn, nhưng việc sử dụng mô đun này có thể làm tăng cơ hội phát hiện thông qua việc chủ động phân tích lưu lượng truy cập trên một mạng lưới.

GLO_final_3 nhanuoc 2

Chứng minh thêm sự phát triển liên tục của công cụ này, CrowdStrike đã quan sát những thay đổi với với các yêu cầu về giao thức HTTP và DNS trong PlugX trong suốt năm 2014. Tuy nhiên, trong khi một số nhóm tin tặc đã đăng ký các tên miền trong năm 2014 để sử dụng trong máy chủ điều khiển và kiểm soát PlugX (ví dụ, proxyme. net), tin tặc vẫn tiếp tục sử dụng những tên miền đã hoạt động trong nhiều năm, điều này cho thấy hiệu quả hoạt động của cơ sở hạ tầng này trong thời gian dài.

Sự phát triển liên tục của PlugX cung cấp cho những kẻ tấn công khả năng linh hoạt, đòi hỏi các biện pháp phòng thủ phải liên tục đổi mới để có thể phát hiện. Hiện nay chưa có bằng chứng rõ ràng cho thấy việc các nhóm tin tặc ngoài Trung Quốc gia tăng sử dụng PlugX; sự gia tăng trong việc triển khai công cụ này trong năm qua có thể là một bước đi trước để sử dụng công cụ này trên toàn thế giới trong tương lai, như mã độc Poison Ivy.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 5)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 5)

2014 là một năm hoạt động vô cùng tích cực của tội phạm mạng. Các phần mềm gián điệp tài chính ngày càng trở nên phức tạp và nguy hiểm hơn. Hai mạng máy tinh ma lớn chuyên...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Thông điệp (Kỳ 4)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Thông điệp (Kỳ 4)

Trong năm 2014, CrowdStrike Intelligence đã quan sát các hoạt động đáng chú ý từ 39 băng nhóm tin tặc được chính phủ bảo trợ và theo chủ nghĩa dân tộc nhắm mục tiêu vào nhiều lĩnh vực...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Những phát hiện chính (Kỳ 3)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Những phát hiện chính (Kỳ 3)

Những hoạt động phá hủy mã độc của tội phạm tài chính trong năm 2014 • Những hoạt động phá hủy mã độc của tội phạm tài chính trong năm 2014 đã làm thay đổi...

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net