Kaspersky phát hiện một bộ công cụ mã độc mới nhằm vào các tập đoàn công nghiệp
Các nhà nghiên cứu của Kaspersky đã phát hiện các vụ tấn công có chủ đích nhằm vào các tập đoàn công nghiệp bắt đầu từ năm 2018 - hiếm thấy hơn rất nhiều so với các tin tặc phát tán các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao và các nhà chính trị cấp cao khác.
Bộ công cụ được sử dụng (ban đầu được tác giả của mã độc đặt tên là MT3) đã được Kaspersky đặt tên mới là “MontysThree”. Bộ công cụ này sử dụng nhiều kỹ thuật để tránh bị phát hiện, bao gồm cả việc ẩn lưu lượng truyền thông trong máy chủ điều khiển và các dịch vụ điện toán đám mây công cộng, đồng thời che giấu mô-đun mã độc chính bằng kỹ thuật giấu tin (steganography).
Các cơ quan chính phủ, nhà ngoại giao và nhà mạng viễn thông dường như là những đích tấn công ưa thích của các vụ tấn công có chủ đích (APT), bởi vì các cá nhân và tổ chức này thường quản lý và xử lý nhiều thông tin mật, nhạy cảm về chính trị. Các chiến lược tấn công do thám có chủ đích sẽ ít nhằm vào các cơ sở công nghiệp hơn, nhưng cũng giống như bất kỳ vụ tấn công nào khác, chúng vẫn có thể gây ra những hậu quả nghiêm trọng đối với doanh nghiệp. Đó chính là lý do tại sao, khi phát hiện hoạt động của MontysThree, các nhà nghiên cứu của Kaspersky đã rất quan tâm.
Để thực hiện hoạt động do thám, MontysThree triển khai một chương trình mã độc bao gồm bốn mô-đun. Mô-đun thứ nhất - Trình tải (loader) - là bước lây lan ban đầu thông qua sử dụng các file RAR SFX (self-extracted archives - file lưu trữ tự giải nén) có chứa các tên gọi (names) trong danh sách nhân viên, tài liệu kỹ thuật và kết quả chẩn đoán y tế để đánh lừa nhân viên tải file về - một kỹ thuật lừa đảo (spearphishing) rất phổ biến. Trình Loader chủ yếu chịu trách nhiệm đảm bảo rằng mã độc không bị phát hiện trên hệ thống; để thực hiện điều đó, nó triển khai một kỹ thuật được gọi là steganography (kỹ thuật giấu tin).
Steganography được sử dụng để giấu đi thực tế rằng dữ liệu đang bị khai thác. Với trường hợp của MontysThree, payload (phần dữ liệu được truyền đi) của mã độc chính được ngụy trang bằng một file hình ảnh theo định dạng bitmap (một định dạng để lưu trữ hình ảnh số). Nếu nhập vào đúng câu lệnh, trình Loader sẽ sử dụng một thuật toán đặc biệt để giải mã nội dung ma trận điểm ảnh và chạy payload mã độc.
Payload mã độc chính là sử dụng một số kỹ thuật mã hóa để tránh bị phát hiện, cụ thể là sử dụng một thuật toán RSA để mã hóa lưu lượng truyền thông với máy chủ chỉ huy điều khiển và giải mã các “tác vụ” chính mà mã độc ấn định cho nó. Điều đó bao gồm việc tìm kiếm các tài liệu có phần mở rộng nhất định nằm trong các thư mục cụ thể của công ty. MontysThree được thiết kế để tấn công các tài liệu Microsoft và Adobe Acrobat; nó còn có thể chụp ảnh màn hình và “lấy dấu vây tay - fingerprint” của đích tấn công (nghĩa là thu thập thông tin về tham số cài đặt mạng, tên máy chủ, v.v...) để đánh giá xem đích đó có hấp dẫn với tin tặc hay không.
Sau đó, thông tin thu thập được và các nội dung truyền thông khác với máy chủ chỉ huy điều khiển được đặt trên các dịch vụ điện toán đám mây công cộng như là Google, Microsoft và Dropbox. Điều đó làm cho lưu lượng truyền thông trở nên khó bị phát hiện dưới dạng mã độc và bởi vì không có phần mềm diệt vi-rút nào chặn các dịch vụ này, nó đảm bảo rằng máy chủ chỉ huy điều khiển có thể thực hiện các câu lệnh một cách liên tục.
MontysThree còn sử dụng một phương pháp đơn giản để duy trì sự ẩn nấp dai dẳng trên hệ thống bị lây nhiễm - một công cụ chỉnh sửa (modifier) phần thanh công cụ chạy ứng dụng nhanh Windows Quick Launch. Người dùng vô tình chạy mô-đun ban đầu của mã độc mỗi khi chạy các ứng dụng chính thống, khi sử dụng thanh công cụ Quick Launch.
Kaspersky chưa phát hiện ra bất kỳ điểm tương đồng nào trong mã độc hay trong cơ sở hạ tầng với bất kỳ APT đã biết nào.
“MontysThree là mã độc thú vị vì thực tế là nó không chỉ nhằm vào các tập đoàn công nghiệp, mà còn vì đó là một tổ hợp của các TTP tinh vi và hơi “a-ma-tơ” một chút. Nói chung, mức độ tinh vi là khác nhau giữa các mô-đun, nhưng vẫn không thể so sánh được với mức độ mà các APT tinh vi sử dụng. Tuy nhiên, chúng sử dụng các tiêu chuẩn mã hóa mạnh và trên thực tế có đưa ra một số quyết định chi tiết về công nghệ, bao gồm cả kỹ thuật giấu tin tùy biến. Có thể điều quan trọng nhất là ở chỗ, rõ ràng là tin tặc đã đầu tư nhiều công sức vào việc phát triển bộ công cụ MontysThree, và điều đó cho thấy rằng, chúng quyết tâm đạt được mục tiêu - và điều đó không có nghĩa rằng đó là một chiến dịch chỉ diễn ra trong thời gian ngắn,” ông Denis Legezo, nghiên cứu viên cao cấp thuộc Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky chia sẻ.
