Một băng đảng hacker Trung Quốc đã sử dụng phần mềm độc hại để tấn công vào hệ thống của công ty bảo mật RSA Security trong năm 2011 và thâm nhập vào hơn 100 công ty và tổ chức, và băng đảng này còn rất háo hức khi ăn cắp dữ liệu từ một hội nghị các nhà phát triển viễn thông lớn nhằm tìm cách thức mới để giám sát các tập đoàn.
Theo hai nhà nghiên cứu kỳ cựu của Dell SecureWorks, những người đã trình bày phát hiện của họ tại Hội nghị bảo mật Black Hat gần đây cho biết: Các phần mềm Trojan truy cập từ xa - hoặc RAT (phần mềm độc hại) - được biết đến với cái tên "Comfoo" chính là công cụ được sử dụng phần lớn trong các cuộc tấn công này.
Theo hai nhà nghiên cứu kỳ cựu của Dell SecureWorks, những người đã trình bày phát hiện của họ tại Hội nghị bảo mật Black Hat gần đây cho biết: Các phần mềm Trojan truy cập từ xa - hoặc RAT (phần mềm độc hại) - được biết đến với cái tên "Comfoo" chính là công cụ được sử dụng phần lớn trong các cuộc tấn công này.
Không những thế, phát hiện của họ còn cho thấy cách mà một nhóm hacker chuyên nghiệp có thể di chuyển khắp nơi và thâm nhập vào các mạng ăn cắp thông tin rồi tẩu thoát không một dấu vết.
"Chúng tôi chưa từng nhìn thấy nó được sử dụng với một phạm vi rộng như vậy trước đây", ông Joe Stewart - Giám đốc nghiên cứu malware (phần mềm chứa mã độc) tại SecureWorks - cho biết khi giải thích lý do tại sao ông và bạn học Đại Học là Don Jackson lại tiết lộ chiến dịch bí mật của họ.
Digital Stakeout - Vào hang cọp để bắt cọp
Trong hơn 18 tháng, Stewart và Jackson, giám đốc đơn vị phụ trách các mối đe dọa truy cập mạng của SecureWorks (CTU), đã bí mật theo dõi một số hoạt động của Comfoo, họ tin rằng đây là việc làm của một nhóm tin tặc mà họ đặt tên là Beijing Group. Băng đảng này là một trong hai tổ chức tin tặc hàng đầu của Trung Quốc.
Để bắt đầu, Stewart đã sử dụng một mẫu phần mềm độc hại đã được sử dụng trong các cuộc tấn công RSA Security hồi năm 2011, do tin tặc Trung Quốc lây nhiễm, sau đó sử dụng thuật toán đảo ngược các đoạn mã hóa các phần mềm độc hại được các tin tặc sử dụng để đánh dấu các chỉ dẫn nhận và gửi từ các máy chủ ra lệnh và kiểm soát (C&C) của băng đảng này
Cuối cùng, Stewart đã có thể để theo dõi các tin tặc này khi chúng đăng nhập vào các máy chủ C&C. Như cách mà bọn tin tặc đã làm, Stewart "bắt cóc" địa chỉ máy chủ MAC của nạn nhân- định danh duy nhất cho phần cứng của mạng IP (giao thức Internet), và cuối cùng là một thẻ tag thường được tin tặc sử dụng để dán nhãn cho mỗi chiến dịch đánh cắp dữ liệu.
SecureWorks đã không thể tìm thấy những dữ liệu bị những kẻ tấn công ăn cắp, nhưng sự giám sát thụ động của họ đã gặt hái được khá nhiều thành quả quan trọng.
"Chúng tôi đã thực hiện giải mã các vụ tương tự như thế này trước đây", Stewart nói, "nhưng với các công cụ tùy chỉnh, bạn hiếm khi có thể tìm hiểu sâu hoặc biết được mức độ chi tiết của các cuộc tấn công và nạn nhân".
Thông báo cho nạn nhân
SecureWorks cho biết nhờ giải pháp stakeout (vào hang cọp để bắt cọp) ở trên, với tính chất "vô hình" của nó giúp đảm bảo rằng các tin tặc trong băng đảng Trung Quốc không biết họ đã bị theo dõi, và phát hiện ra hơn 100 nạn nhân, hơn 64 chiến dịch khác nhau và hơn 200 biến thể của Comfoo.
Công ty an ninh có trụ sở tại Atlanta này đã thông báo trực tiếp cho một số nạn nhân, và một số khác thông qua các đội phản ứng khẩn cấp về các vấn đề an ninh máy tính của chính phủ (CERT).
"Đây chỉ là phần nhỏ của [tổng số] các nạn nhân", Stewart cảnh báo.
Các tin tặc nhóm "Beijing Group" này còn nhắm mục tiêu tới một loạt các cơ quan chính phủ và các Bộ, các công ty tư nhân và các tổ chức thương mại trong nhiều lĩnh vực như năng lượng, truyền thông, bán dẫn, viễn thông. Dường như chúng muốn lấy mọi thông tin từ bất cứ đâu và bất cứ ai, mặc dù các nạn nhân thường tập trung ở các khu vực như Nhật Bản, Ấn Độ, Hàn Quốc và Mỹ.
Nhưng một nạn nhân như thế nào mới thu hút sự được sự chú ý của chúng?
Trong khi Stewart và Jackson từ chối nêu tên của bất kỳ nạn nhân nào, họ cho biết một chiến dịch đang được nhắm vào một hội nghị qua truyền hình trực tuyến của các nhà phát triển phần mềm lớn sắp diễn ra.
Họ cho rằng một khi những kẻ tấn công đã "đánh hơi" được thông tin thông qua mạng lưới của công ty về lỗ hổng bảo mật trong phần mềm, chúng sẽ tấn công vào các mục tiêu khác để đưa "tai mắt" vào ngành công nghiệp bảo mật cũng như các cuộc họp của chính phủ. "Chúng đang cố gắng thúc đẩy các hoạt động do thám bên thứ ba", Stewart nói.
Mục tiêu tấn công bất thường
Trong một báo cáo của SecureWorks công bố mới đây về Comfoo, công ty này cho biết, mục tiêu mới của băng đảng tin tặc này hướng tới các sản phẩm âm thanh và hội nghị truyền hình là một điều "không bình thường".
Thông thường, các cuộc tấn công khác có thể có cùng một mục tiêu, đó là có được thông tin nội bộ của tất cả mọi thứ từ các phần mềm bảo mật cho đến các chứng chỉ xác thực kỹ thuật số, để sử dụng trong các cuộc tấn công bất hợp pháp trong tương lai.
Việc giám sát của SecureWorks cũng sẽ cho phép các nhà nghiên cứu an ninh theo dõi tốt hơn băng đảng hacker của Trung Quốc, và bởi vì bọn tội phạm mạng này đã thay đổi công cụ phần mềm độc hại của chúng kể từ khi sử dụng Comfoo, nên chắc chắn chúng sẽ làm như vậy một lần nữa, Jackson cho biết.
"Có thể chắc chắn để giả định rằng chúng sẽ thay đổi công cụ tấn công", Jackson nói. "Nhưng miễn là nguyên lý cốt lõi của các cuộc tấn công vẫn được giữ nguyên, chúng tôi vẫn sẽ có thể đối phó lại chúng [trong tương lai] với các cuộc tấn công đó".
Mỗi băng nhóm hacker theo như Jackson nói thì đều có đặc trưng riêng, chúng ta có thể có được dấu vết của chúng bằng cách phân tích kỹ các phần mềm độc hại mà chúng sử dụng cho tới cách thức tổ chức các cuộc thâm nhập C & C. "Tất cả đều có mô hình tổ chức riêng", Jackson nói.
Mặc dù không đi vào chi tiết cụ thể, Jackson cho biết rằng SecureWorks đã sử dụng các mẫu được tìm thấy trong các cuộc tấn công bằng Comfoo để xác định phần mềm độc hại mới hơn, cũng như các cuộc tấn công mà công ty này tin rằng đều có bàn tay của Beijing Group nhúng vào.
Cuối cùng, Jackson kết luận rằng: "Miễn là nó chỉ tiến hóa chứ không phải tạo ra một cuộc cách mạng, chúng ta vẫn còn có thể phát hiện ra chúng".
Theo St