Chiến dịch Oceansalt dùng code của nhóm APT1 Trung Quốc

Thứ sáu, 19/10/2018, 18:27 (GMT+7) 0 Phản hồi

(Không gian mạng) - Hãng bảo mật McAfee (Mỹ) vừa công bố báo cáo phát hiện, một chiến dịch gián điệp mạng nhắm vào Hàn Quốc, Mỹ và Canada đang sử dụng lại mã code từng liên quan đến nhóm tin tặc do nhà nước Trung Quốc bảo trợ là APT1.

tin-tac-15321838767491235116782

Xuất hiện trong báo cáo của hãng bảo mật Mandiant (Mỹ) vào năm 2013 và còn có tên là Comment Crew, nhóm APT1 được cho là một đơn vị thuộc Quân giải phóng Nhân dân Trung Quốc (PLA), được đánh giá là một trong những nhóm tin tặc Trung Quốc dai dẳng nhất, cũng như xét về số lượng thông tin khổng lồ mà nhóm đánh cắp được.

Chiến dịch mới phát hiện đây có vẻ là tác phẩm của APT1, khi nhóm đã “im hơi” kể từ bài báo cáo của hãng Mandiant 5 năm về trước. Trước đó, nhóm này đã triển khai tấn công mạng vào hơn 141 công ty Mỹ từ năm 2006 đến năm 2010.

Được gọi là Oceansalt, mã độc trong chiến dịch mới này chứa nhiều điểm tương đồng về code với một công cụ mà APT1 đã dùng có tên là Seasalt. Điều này có nghĩa, thủ phạm đằng sau chiến dịch mới này có thể truy cập trực tiếp vào mã nguồn của Comment Crew, dù rằng chúng chưa bao giờ được công khai.

Báo cáo của McAfee về Oceansalt không chỉ rõ ai là thủ phạm, nhưng lưu ý rằng sự trùng lặp code cho thấy, 1 nhóm nào khác đã có quyền truy cập vào mã code gốc, hoặc có thể là trường hợp tin tặc chia sẻ code cho nhau. Tất nhiên, đây cũng có thể là một chiến dịch “đánh lạc hướng”.

Các chuyên gia bảo mật McAfee phát hiện, Oceansalt được triển khai trong 4 đợt tấn công để phù hợp với mục tiêu.

Trong khi 2 đợt đầu tiên sử dụng phương thức email giả mạo (spear fishing) và tài liệu Microsoft Excel độc bằng tiếng Hàn để tải về mã độc, thì trong đợt tấn công thứ 3, tin tặc chuyển sang dùng tài liệu Microsoft Word. Đợt 4 và 5 nhắm mục tiêu một số cơ quan bên ngoài Hàn Quốc, bao gồm Mỹ và Canada.

Trong suốt chiến dịch, tin tặc sử dụng các máy chủ điều khiển và ra lệnh (C&C), cho thấy chiến dịch hoạt động tích cực ở những nước như Canada, Costa Rica, Mỹ và Philippines.

McAfee lưu ý, Oceansalt và Seasalt không những chứa nhiều chuỗi y hệt nhau (Upfileer và Upfileok), mà còn giống nhau về trình xử lý câu lệnh và bảng chỉ mục, cũng như việc thực thi những khả năng độc hại của chúng. Hơn nữa, cả 2 chiến dịch đều sử dụng code phản hồi tương tự để đánh dấu quá trình thực thi lệnh thành công hay thất bại.

2 chiến dịch này cũng dùng mã code tương tự cho ổ đĩa và tập tin do thám, và để thiết lập lệnh shell đảo ngược (dựa vào lệnh cmd.exe). Tuy nhiên, khác với Seasalt, Oeansalt sử dụng một cơ chế mã hóa và giải mã và một địa chỉ máy chủ kiểm soát được hardcode, mà không thực hiện biện pháp nào giúp duy trì sự hiện diện.

Theo McAfee, chứng cứ góp phần chỉ ra tác giả của Oceansalt và Comment Crew chia sẻ code là sự khác nhau về cơ chế lấy địa chỉ IP máy chủ C&C, cũng như sự thiếu năng lực trong lệnh shell đảo ngược của một vài mẫu Oceansalt, sự xuất hiện của các chuỗi giải mã trong Oceansalt và một vài chức năng mới của một biến thể Oceansalt.

Các chuyên gia cho biết, mã độc mang nhiều khả năng khác nhau nhằm lấy dữ liệu từ máy nạn nhân, nhưng nó chỉ là một thành phần thuộc giai đoạn đầu, với các bước phụ nhận lệnh để tải về. Dù vậy, mã độc cung cấp cho tin tặc khả năng thực hiện nhiều hành vi khác nhau trên hệ thống lây nhiễm.

Oceansalt hỗ trợ hàng chục lệnh như: trích xuất thông tin ổ đĩa, gửi thông tin về một tập tin cụ thể, thực thi một dòng lệnh bằng cách dùng WinExec(), xóa tập tin, tạo tập tin, lấy thông từ các tiến trình đang chạy, kết thúc quy trình, tạo/điều hành/kết thúc lệnh shell đảo ngược, kiểm ra khả năng nhận và gửi.

“Nghiên cứu của chúng tôi cho thấy mã độc của Comment Crew vẫn đang tồn tại nhưng dưới một dạng khác và được tin tặc sử dụng để nhắm mục tiêu chủ yếu vào Hàn Quốc. Nghiên cứu này cho thấy cách mà các tin tặc, bao gồm tin tặc do nhà nước bảo trợ, có thể hợp tác để thực hiện các chiến dịch mạng như thế nào”, McAffee kết luận.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
  • Share on Link Hay!
  • Facebook
  • Twitter

Ban Biên Tập

Đọc tin mới qua Email:

Mọi ý kiến đóng góp xin gửi về địa chỉ
[email protected]

Facebook Lê Thanh Hải

Mạng Xã Hội

Lê Thanh Hải
Lê Thanh Hải