Hé lộ mạng lưới gián điệp "Operation Red October"

Một chiến dịch gián điệp ảo khó nắm bắt nhằm vào mục tiêu ngoại giao, cơ quan chính phủ và các tổ chức nghiên cứu khoa học ở một số nước trong ít nhất 5 năm qua vừa được công bố.

Chiến dịch này nhắm vào các quốc gia ở Đông Âu, các nước cộng hòa Liên Xô cũ và các nước ở Trung Á, mặc dù nạn nhân có thể ở bất cứ đâu, bao gồm cả Tây Âu và Bắc Mỹ. Mục tiêu chính của những kẻ tấn công là thu thập các tài liệu nhạy cảm từ các tổ chức bị xâm nhập, trong đó bao gồm tình báo địa chính trị, các thông tin bảo mật để truy cập vào hệ thống máy tính phân loại, và dữ liệu từ các thiết bị di động cá nhân và thiết bị mạng.

Theo báo cáo phân tích của Kaspersky Lab, chiến dịch có tên gọi Operation Red October, gọi tắt là “ROCRA” vẫn còn hoạt động đến tháng Giêng năm 2013, là chiến dịch kéo dài từ năm 2007.

Mạng lưới gián điệp mạng nâng cao

Những kẻ tấn công đã hoạt động ít nhất là từ năm 2007, tập trung vào các cơ quan ngoại giao và chính phủ của các quốc gia khác nhau trên toàn thế giới, bên cạnh các tổ chức nghiên cứu, nhóm năng lượng hạt nhân và mục tiêu thương mại cũng như hàng không vũ trụ.

Các kẻ tấn công của Red October thiết kế phần mềm độc hại của riêng chúng, được xác định là "Rocra", có kiến trúc mô-đun độc đáo riêng bao gồm các phần mở rộng độc hại các đoạn mã đánh cắp thông tin cũng như các chương trình mã độc chạy ẩn.

Những kẻ tấn công thường sử dụng các thông tin từ các mạng bị nhiễm để xâm nhập vào các hệ thống bổ sung. Ví dụ, các thông tin bảo mật bị đánh cắp được biên soạn trong một danh sách và được sử dụng khi những kẻ tấn công cần đoán mật khẩu hay các cụm từ để đạt được quyền truy cập vào hệ thống bổ sung.

Để kiểm soát mạng lưới các máy tính bị nhiễm, những kẻ tấn công đã tạo ra hơn 60 tên miền và một số máy chủ lưu trữ ở các quốc gia khác nhau, chủ yếu là ở Đức và Nga. Theo phân tích của Kaspersky Lab về cơ sở hạ tầng của Rocra’s Command & Control (C2) cho thấy rằng chuỗi các máy chủ đã được thay  đổi thông tin xác thực nhằm giấu vị trí của trung tâm đầu não.

Thông tin bị đánh cắp từ các hệ thống bị nhiễm bao gồm các tài liệu có phần mở rộng: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Đặc biệt, các tập tin “acid*” mở rộng xuất hiện để chỉ phần mềm phân loại “Acid Cryptofiler”, được sử dụng bởi một số các thực thể, từ Liên minh châu Âu của NATO.

Để lây nhiễm hệ thống, những kẻ tấn công gửi một email lừa đảo đến nạn nhân và đính kèm phần mềm độc hại (Trojan Dropper). Để cài đặt các phần mềm độc hại và lây nhiễm sang hệ thống, các email độc hại bao gồm nhiều lỗ hổng đã được dựng lên nhằm vào các lỗ hổng bảo mật bên trong Microsoft Office và Microsoft Excel.

Các lỗ hổng có trong các email lừa đảo được tạo ra bởi những kẻ tấn công khác và sử dụng trong các cuộc tấn công mạng khác nhau bao gồm cả các nhà hoạt động tại Tây Tạng cũng như các mục tiêu khu vực quân sự và năng lượng ở châu Á. Điều duy nhất được thay đổi trong các tài liệu được sử dụng bởi Rocra là tập tin thực thi được gài vào, nơi mà những kẻ tấn công thay thế nó bằng mã riêng của chúng. Đáng lưu ý, một trong những lệnh của Trojan Dropper đã thay đổi hệ thống mặc định mã của lệnh nhắc phiên thành 1251, rất cần thiết để đưa ra phông chữ Cyrillic.

Mạng gián điệp có kiến trúc và chức năng độc đáo

Những kẻ tấn công tạo ra một nền tảng tấn công đa chức năng bao gồm các phần mở rộng và một số các tập tin độc hại được thiết kế để nhanh chóng điều chỉnh cấu hình hệ thống khác nhau và thu hoạch tình báo từ các máy tính bị nhiễm. Nền tảng của Rocra là duy nhất và đã không được Kaspersky Lab xác định trong các chiến dịch gián điệp mạng trước đó. Đặc điểm đáng chú ý bao gồm:

Mô-đun phục hồi: Một mô-đun duy nhất cho phép kẻ tấn công khôi phục lại máy tính bị nhiễm. Mô-đun này được chèn vào như một phần hỗ trợ giúp kết nối hệ thống được thiết lập trong việc cài đặt Adobe Reader và Microsoft Office và cung cấp cho những kẻ tấn công một cách rõ ràng để lấy lại quyền truy cập vào một mục tiêu hệ thống nếu phần chính của phần mềm độc hại được phát hiện và loại bỏ, hoặc nếu hệ thống được vá lỗi. Một khi các C2s hoạt động trở lại, những kẻ tấn công gửi một tập tin tài liệu chuyên ngành (PDF hoặc tài liệu Office) cho các máy tính của nạn nhân qua e-mail và sẽ kích hoạt các phần mềm độc hại một lần nữa.

Tổ hợp gián điệp mã hóa cao cấp: Mục đích chính của các mô-đun gián điệp là ăn cắp thông tin. Tổ hợp này bao gồm các tập tin từ hệ thống mật mã khác nhau, chẳng hạn như Acid Cryptofiler, được biết là sẽ được sử dụng trong các tổ chức của NATO, Liên minh châu Âu, Nghị viện châu Âu và Ủy ban châu Âu kể từ mùa hè năm 2011 để bảo vệ các thông tin nhạy cảm.

Thiết bị điện thoại di động: Ngoài nhắm mục tiêu đến các máy truyền thống, phần mềm độc hại có khả năng đánh cắp dữ liệu từ các thiết bị di động, chẳng hạn như các loại smartphone (iPhone, Nokia và Windows Mobile). Phần mềm độc hại cũng có khả năng ăn cắp thông tin cấu hình từ các thiết bị mạng doanh nghiệp chẳng hạn như các thiết bị định tuyến và chuyển mạch, cũng như các tập tin đã bị xóa từ ổ đĩa di động.

Xác định và tiêu diệt

Dựa trên các dữ liệu đăng ký máy chủ C2 và rất nhiều các dấu vết còn lại trong các tập tin thực thi của phần mềm độc hại, có bằng chứng kỹ thuật rõ ràng cho thấy những kẻ tấn công có nguồn gốc là người nói tiếng Nga. Ngoài ra, các tập tin thực thi được sử dụng bởi những kẻ tấn công chưa được biết cho đến gần đây, và không được xác định bởi các chuyên gia của Kaspersky Lab trong khi phân tích các cuộc tấn công gián điệp mạng trước.

Kaspersky Lab đang tiếp tục điều tra về Rocra bằng cách cung cấp các nguồn lực về các thủ tục khắc phục và giảm thiểu thiệt hại và chuyên môn kỹ thuật của mình để hợp tác với các tổ chức quốc tế, các cơ quan thực thi pháp luật và trung tâm ứng cứu khẩn cấp máy tính (CERTs).  Kaspersky Lab muốn gửi lời cảm ơn đến: US-CERT, Romanian CERT và Belarusian CERT cho sự hỗ trợ của các cơ quan này trong việc điều tra.

Phần mềm độc hại Rocra bị phát hiện, tiêu diệt và khắc phục thành công bởi các sản phẩm của Kaspersky Lab và được phân loại là Backdoor.Win32.Sputnik.

Wendy Nguyễn

11 lưu ý về An ninh - Bảo mật trong năm 2013

Dựa trên những sự kiện về bảo mật công nghệ thông tin năm 2012, các chuyên gia Kaspersky Lab đã đưa ra những dự đoán về các vấn đề nóng bỏng sẽ chiếm lĩnh hệ thống an ninh mạng trong năm 2013: tấn công có chủ đích; công nghệ điện toán đám mây và cơ hội cho phần mềm độc hại; phần mềm độc hại trên Mac OS; phần mềm độc hại trên điện thoại di động; tống tiền qua mạng…

Những cuộc tấn công có chủ đích và gián điệp mạng

Lượng thông tin khổng lồ được chia sẻ trực tuyến và sự phát triển của mạng xã hội trong kinh doanh chính là môi trường màu mỡ cho tin tặc. Gián điệp mạng sẽ còn phát triển không chỉ trong năm 2013 mà còn cả về sau. Đối tượng của các cuộc tấn công có chủ đích kahông chỉ là một tổ chức nào đó mà còn cả những hệ thống thông tin dữ liệu của một quốc gia. Một doanh nghiệp hay tổ chức không chỉ là nạn nhân của tin tặc mà còn có thể bị biến thành một bước đệm hữu ích cho việc xâm nhập của tin tặc vào các doanh nghiệp, tổ chức khác.

Tin tặc không ngừng hoành hành

Năm 2012 đã chứng kiến rất nhiều những cuộc tấn công nhằm vào mục đích chính trị và xã hội. Có thể kể đến như vụ tấn công DDoS được thực hiện bởi nhóm tin tặc Anynomous nhắm vào chính phủ Phần Lan với tuyên bố của chính phủ nước này về việc ủng hộ ACTA (Hiệp ước Thương mại chống hàng giả, hàng nhái); cuộc tấn công vào website chính thức F1 để phản đối việc trừng tị những người phản đối chính phủ ở Bahrain; cuộc tấn công vào nhiều công ty dầu ở Bắc Cực nhằm phản đối việc khai thác mỏ dầu ở đây; vụ tấn công ở Ả rập Aramco,…

Việc phụ thuộc ngày càng tăng vào internet sẽ khiến các tổ chức dễ dàng trở thành những lỗ hổng tiềm năng cho các cuộc tấn công của tin tặc tiếp tục trong năm 2013 và về sau.

Những cuộc tấn công được tài trợ bởi chính phủ

Stuxnet đã đi tiên phong trong việc sử dụng những đoạn mã độc tinh vi cho các cuộc tấn công có chủ đích nhằm vào các nhà máy sản xuất chính. Nhìn vào tương lai, chúng ta có thể đoán được rằng sẽ ngày càng nhiều nước phát triển loại vũ khí mạng này - được thiết kế để ăn cắp thông tin hay phá hoại các hệ thống - không phải là ít bởi vì mức khởi đầu cho việc phát triển các vũ khí này lại thấp hơn so với các loại vũ khí truyền thống khác. Có thể chúng ta sẽ thấy phiên bản tấn công sao y của các bang phi chính phủ, với một mối nguy hiểm về hủy diệt hàng loạt ngoài tầm kiểm soát những nạn nhân bị tấn công. Mục đích của các cuộc tấn công mạng này bao gồm nguồn nhiên liệu, trang thiết bị kiểm soát giao thông vận tải, hệ thống tài chính và truyền thông cũng như các cơ sở trang thiết bị hạ tầng quan trọng khác.

Sử dụng các công cụ giám sát hợp pháp

Trong những năm gần đây, sự tinh vi ngày càng tăng của tội phạm mạng tạo nên những thử thách mới cho các nhà nghiên cứu những phần mềm độc hại, cũng như các cơ quan thực thi pháp luật trên thế giới. Nỗ lực của các cơ quan để bắt kịp với công nghệ tiên tiến được sử dụng bởi tội phạm mạng dẫn đến việc can thiệp vào việc thực thi pháp luật.

Ví dụ, việc sử dụng công nghệ để giám sát các hoạt động của những người bị nghi ngờ phạm pháp: cuộc tranh luận xung quanh báo cáo rằng một công ty Anh cung cấp phần mềm giám sát “Finfisher” cho chính phủ Ai Cập và báo cáo rằng chính phủ Ấn Độ đã yêu cầu các công ty (bao gồm cả Apple, Nokia, và RIM) truy cập bí mật vào các thiệt bị di động. Rõ ràng, việc sử dụng các công cụ giám sát hợp pháp có ý nghĩa rộng lớn hơn đối với sự riêng tư và tự do dân sự. Các cơ quan thực thi pháp luật và chính phủ đang cố gắng đi trước bọn tội phạm một bước; có khả năng rằng việc sử dụng các công cụ này và các cuộc tranh luận xung quanh việc sử dụng chúng sẽ vẫn tiếp tục.

Công nghệ điện toán đám mây và cơ hội cho phần mềm độc hại

Khái niệm về công nghệ điện toán đám mây nghe có vẻ dễ dàng và thoải mái, nhưng đừng quên rằng các dữ liệu được lưu trữ trên máy chủ thực sự trong thế giới thực.

Hãy nhìn từ quan điểm của một tội phạm mạng, chúng có thể nắm giữ số lượng lớn các dữ liệu cá nhân nếu nhà cung cấp trở thành nạn nhân của cuộc tấn công. Thứ hai, tội phạm mạng có thể sử dụng dịch vụ dữ liệu điện toán đám mây để lưu trữ và phát tán các phầm mềm độc hại của chúng - thường là thông qua các tài khoản bị đánh cắp. Thứ ba, các dữ liệu được lưu trữ trong dữ liệu điện toán đám mây được truy cập từ một thiết bị không nằm trong thế giới điện toán đám mây.

Vì vậy, nếu tội phạm mạng có thể xâm nhập vào thiết bị, chúng có thể truy cập vào dữ liệu ở bất cứ nơi nào nó được lưu trữ. Việc sử dụng các thiết bị di động, với lợi ích to lớn cho công việc, cũng làm tăng nguy cơ dữ liệu đám mây có thể bị truy cập từ các thiết bị mà có thể không được bảo mật như các thiết bị truyền thống. Đặc biệt, khi cùng một thiết bị được sử dụng cho cả mục đích cá nhân và công việc, rủi ro sẽ càng tăng.

Sự riêng tư đang dần bị mất đi

Internet tràn ngập cuộc sống và nhiều người có thói quen giao dịch ngân hàng, mua sắm và giao tiếp trên mạng. Mỗi khi đăng ký một tài khoản trực tuyến, người dùng được yêu cầu phải tiết lộ thông tin về bản thân và các công ty trên khắp thế giới tích cực thu thập thông tin về khách hàng của họ. Các mối đe dọa đến sự riêng tư có hai hình thức. Thứ nhất, dữ liệu cá nhân sẽ gặp rủi ro nếu có bất cứ cuộc tấn công nhằm đến các nhà cung cấp hàng hóa và dịch vụ cho người dùng.

Hầu như không có tuần nào trôi qua mà không xuất hiện thêm một trường hợp về một công ty trở thành nạn nhân để của hacker, để lộ dữ liệu cá nhân của khách hàng. Thứ hai, các công ty tổng hợp và sử dụng các thông tin mà họ nắm giữ về người dùng cho mục đích quảng cáo, khuyến mãi mà đôi khi người dùng hoàn toàn không biết về nó và làm cách nào để thoát khỏi việc này. Giá trị của dữ liệu cá nhân đối với các tội phạm mạng và các doanh nghiệp hợp pháp sẽ phát triển trong tương lai, và do đó các mối đe dọa tiềm tàng đến sự riêng tư của người dùng cũng tăng lên.

Bạn có thể tin tưởng vào ai?

Chúng ta thường tin tưởng các trang web có chứng chỉ bảo mật được cấp bởi nhà cấp chứng chỉ số tin cậy (Certificate Authority - CA), hoặc một ứng dụng với giấy chứng nhận kỹ thuật số hợp lệ. Tuy nhiên, tội phạm mạng không những có thể cấp giấy chứng nhận giả mạo cho các phần mềm độc hại của chúng mà còn có thể xâm nhập thành công các hệ thống CA khác nhau và sử dụng giấy chứng nhận bị đánh cắp để đăng nhập mã của chúng.

Bên cạnh đó, tội phạm mạng (hoặc nhân viên bên trong công ty) có thể truy cập đến các thư mục hoặc cơ sở dữ liệu nắm giữ các danh sách trắng và thêm phần mềm độc hại vào danh sách. Một người được tin cậy bên trong tổ chức - cho dù trong thế giới thực hay thế giới ảo - luôn là nơi phá hoại an ninh bảo mật lý tưởng nhất.

Tống tiền trên mạng

Năm 2012, số lượng Trojan ngày càng tăng, được thiết kế để tống tiền những nạn nhân của chúng bằng cách mã hóa dữ liệu trên đĩa hoặc chặn truy cập vào hệ thống. Tuy loại tội phạm mạng này đã được hạn chế phần lớn ở Nga và các quốc gia Liên Xô cũ nhưng chúng đã trở thành một hiện tượng trên toàn thế giới, đôi khi với phương thức hơi khác nhau.

Các tin nhắn giả mạo xuất hiện trên màn hình từ các cơ quan thực thi pháp luật tuyên bố đã tìm thấy nội dung khiêu dâm trẻ em hoặc các nội dung bất hợp pháp khác trên máy tính. Thông báo này luôn đi kèm với một yêu cầu phải trả tiền phạt. Các kiểu tấn công như vậy rất dễ dàng để phát triển, và cùng với các cuộc tấn công lừa đảo, dường như không bao giờ thiếu các nạn nhân tiềm năng. Kết quả dẫn đến sự tăng trưởng liên tục của loại hình tấn công này trong tương lai.

Phần mềm độc hại trên hệ điều hành Mac OS

Mặc dù có nhận thức phòng thủ tốt, hệ điều hành Mac cũng không miễn nhiễm với phần mềm độc hại. Tất nhiên, khi so sánh với khối lượng lớn phần mềm độc hại nhắm vào hệ điều hành Windows, khối lượng của phần mềm độc hại dựa trên hệ điều hành Mac là nhỏ. Tuy nhiên, những phần mềm độc hại này đã được phát triển đều đặn trong vòng hai năm qua, và sẽ rất ngây thơ khi bất cứ ai sử dụng hệ điều hành Mac nghĩ rằng họ không thể là nạn nhân của tội phạm mạng. Nó không chỉ là các cuộc tấn công đại trà - chẳng hạn như 700.000 botnet Flashfake, mà còn là các cuộc tấn công nhắm mục tiêu vào các nhóm cụ thể hoặc cá nhân biết sử dụng máy Mac. Các mối đe dọa cho máy Mac là có thực và có khả năng tiếp tục phát triển.

Phần mềm độc hại trên Điện thoại di động

Phần mềm độc hại trên điện thoại di động đã bùng nổ trong hơn 18 tháng qua với hơn 90% phần mềm nhắm đến hệ điều hành Android. Đây là hệ điều hành được sử dụng rộng rãi, dễ dàng nâng cấp, và người sử dụng nó cũng có thể dễ dàng tải các phần mềm kể cả các chương trình độc hại từ bất cứ nguồn nào.

Ngược lại với Android, iOS là một hệ điều hành khép kín và các dữ liệu được xử lý chặt chẽ – chỉ cho phép tải các ứng dụng từ một nguồn duy nhất. Để phát tán mã độc, tin tặc buộc phải tìm cách chèn các mã này vào kho ứng dụng. Sự xuất hiện của ứng dụng “Find and Call” vào đầu năm nay đã cho thấy khả năng các ứng dụng độc hại có thể len lỏi vào mạng lưới. “Find and Call” cập nhật thông tin có trong danh bạ điện thoại nạn nhân lên một server khác và sử dụng những số này để gửi tin nhắn rác, đồng nghĩa người dùng có thể bị rò rỉ các thông tin cá nhân cũng như những dữ liệu nhạy cảm có khả năng tổn hại danh tiếng của họ.

Khai thác lỗ hổng

Một trong những phương pháp chính mà tội phạm mạng dùng để cài đặt phần mềm độc hại trên máy tính của nạn nhân là khai thác các lỗ hổng chưa được sửa chữa trong các ứng dụng. Lỗ hổng Java hiện là mục tiêu của hơn 50% các cuộc tấn công, trong khi Adobe Reader chiếm hơn 25%. Tội phạm mạng thường tập trung chú ý vào các ứng dụng được sử dụng rộng rãi và không cần vá lỗi trong thời gian lâu nhất. Vì Java không chỉ được cài đặt trên nhiều máy tính (1,1 tỷ, theo Oracle) và bản cập nhật chỉ được cài đặt theo yêu cầu, không tự động nên nhiều khả năng, tội phạm mạng sẽ tiếp tục khai thác Java trong năm tới. Bên cạnh đó, Adobe Reader cũng sẽ tiếp tục bị tội phạm mạng chọn làm mục tiêu, nhưng có lẽ hạn chế hơn bởi vì các phiên bản mới nhất đã được thiết lập cơ chế tự động cập nhật.

Wendy Nguyễn