Tấn công mạng có chủ đích nhắm vào các mục tiêu giá trị cao đang là mối nguy hiểm thường trực cho các quốc gia. Bài viết ngắn dưới đây là tiết lộ ban đầu về việc công nghệ tấn công mạng của các nhóm tin tặc Trung Quốc đã được qui trình hoá và chia sẻ với nhau. Điều này khiến cho các cuộc tấn công kiểu này sẽ càng phổ biến. Các quốc gia cần chuẩn bị con người và công nghệ để đề phòng.
FireEye Lab đã công khai một báo cáo mang tên – Operation Quantum Entanglement – mô tả chi tiết về hai chiến dịch tấn công bởi hai nhóm khác nhau tại hai vùng tách biệt ở Trung Quốc, có vẻ hai nhóm này hoạt động một cách song song.
Nhóm đầu tiên có tên Moafee, hoạt động ở tỉnh Quảng Đông. Mục tiêu của nhóm này bao gồm các tổ chức quân đội và chính phủ của các nước có lợi ích quốc gia ở Biển Đông, bao gồm cả một vài cơ sở công nghiệp quốc phòng của Mỹ. Moafee có lẽ chọn mục tiêu dựa vào sự giàu có về tài nguyên của các vùng tại Biển Đông, bao gồm các kim loại hiếm, dầu thô, và khí gas tự nhiên.
Nhóm thứ hai có tên DragonOK, mục tiêu của nhóm này là các công ty chế tạo và công nghệ cao của Nhật Bản và Đài Loan. Nhóm này có nhiệm vụ thu thập các bí mật thương mại để có thể có được lợi thế cạnh tranh trong khu vực. Nhóm này hoạt động tại tỉnh Giang Tô của Trung Quốc.
Hai nhóm này có vẻ như hoạt động ở những nơi tách biệt nhau nhưng lại hợp tác với nhau, được huấn luyện giống nhau, dùng chung một bộ công cụ hỗ trợ, hoặc một vài kịch bản tấn công giống nhau. Điều này có nghĩa rằng họ đang áp dụng một bộ công cụ và phương pháp để tấn công các hệ thống bảo vệ.
Sự tương đồng:
Cả hai nhóm này sử dụng cùng các công cụ, kỹ thuật và quy trình giống nhau (TTP) – bao gồm các backdoor và RATs(Remote Adminstration Tools) đa dạng để xâm nhập các mạng mục tiêu.
Cả Moafee và DragonOK đều sử dụng một công cụ proxy nổi tiếng – HUC Packet Transmit Tool(HTRAN) – để che giấu vị trí của họ. Cả hai đều sử dụng các văn bản được được bảo vệ bởi mật khẩu và có kích thước lớn để che giấu các hành động tấn công của họ.
Những cách tiếp cận này, cùng với các cách tương tương tự trong TTP mà chúng tôi tổng hợp dưới đây có vẻ như chỉ ra rằng các nhóm này có mối liên hệ nào đó và có ít nhất một vài điểm chung trong các cuộc tấn công của họ.
Một nhóm thứ 3 khác, cũng sử dụng các TTP tương tự, bao gồm các backdoor và RATs . Tuy nhiên chúng tôi không đủ thông tin chuyên sâu để có thể khẳng định sự liên quan tới hai nhóm Moafee và DragonOK.
Cách che giấu:
Cả Moafee và DragonOK đều chuộng việc sử dụng các địa chỉ email lừa đảo như một tấn công trung gian. Họ thường sử dụng các mồi nhử để đánh lừa nạn nhân. Địa chỉ email được tạo thủ công và có đối tượng người nhận cụ thể, thậm chí được viết bằng ngôn ngữ bản địa của nạn nhân.
Tệp tin đính kèm được gửi dưới dạng một tệp tin thực thi được nén dưới dạng ZIP hoặc một tệp tin văn bản Microsoft Office có mật khẩu bảo vệ. Hai nhóm này sử dụng cùng một thủ đoạn là trong khi nạn nhân đang xem văn bản, sẽ có một ứng dụng được chạy ngầm bên dưới.
Các nhóm này sử dụng các phương pháp giống nhau để che giấu hoạt động của họ. Sử dụng môi trường sandbox, phần mềm antivirus và tường lửa, làm hết khả năng để ẩn mình. Một số cách thức bao gồm :
- Kiểm tra số bộ vi xử lý (thoát nếu chỉ có một bộ vi xử lý được chỉ ra )
- Tạo ra mật khẩu bảo vệ văn bản và cung cấp mật khẩu trong nội dung email
- Gửi một tệp tin đính kèm với phần padding lớn là các byte NULL để có thể đi qua được mạng và chống các kỹ thuật của AV( không thể quét các tệp tin lớn).
Công cụ thương mại:
Cả hai nhóm này có vẻ dùng chung backdoor và RAT- một trong số đó là tùy chỉnh, số khác có sẵn công khai. Các công cụ được sử dụng:
- CT/NewCT/NewCT2
- Mongall
- Nflog
- PoisonIvy
Phát hiện cho thấy Moafee chạy proxy HTRAN tại máy chủ C&C của họ – tất cả các hoạt động thuộc nhà cung cấp CHINANET, và địa chỉ đặt máy chủ tại tỉnh Quảng Đông
Giống như nhóm Moafee, chúng tôi cũng thấy rằng DragonOK chạy proxy HTRAN trên máy chủ C&C của họ, cũng thuộc nhà cung cấp CHINANET nhưng máy chủ được đặt tại tỉnh Giang Tô.
Tóm lược:
Mục tiêu chính của Moafee là các tổ chức chính phủ và quân đội của các nước có lợi ích tại Biển Đông, Moafee dường như chọn mục tiêu dựa trên sự giàu có về tài nguyên của khu vực. Bằng cách nhắm vào các hoạt động chế tạo và công nghệ cao ở Đài Loan, Nhật Bản, DragonOK thu thập các bí mật thương mại vì lợi ích cạnh tranh kinh tế.
Trong khi các mục tiêu và nhiệm vụ của các nhóm này khác nhau, chúng tôi đã tìm thấy đủ các bằng chứng về sự liên kết giữa hai nhóm Moafee và DragonOK và thậm chí có một nhóm tấn công thứ 3. Bằng cách chia sẻ TTP và phối hợp tấn công, các nhóm tấn công công nghệ cao này đang tận dụng sở trường về mô hình chuỗi cung ứngcủa Trung Quốc để thực hiện các hoạt động gián điệp trên toàn thế giới.
(Nguồn: Conmaz.net)
0 nhận xét:
Đăng nhận xét