Chiến dịch gián điệp mạng phát tán mã độc từ file AutoCAD

29/11/2018 16:04

Các chuyên gia cảnh báo về một nhóm gián điệp công nghiệp, chuyên nhắm mục tiêu những doanh nghiệp hoạt động trong lĩnh vực năng lượng bằng mã độc dựa trên AutoCAD. 

Ngày 28/11, hãng bảo mật Forcepoint (Mỹ) báo cáo phát hiện chiến dịch gián điệp mạng được triển khai từ năm 2014, dựa vào dữ liệu thống kê mà hãng phân tích được.

Forcepoint cho biết, nhóm tin tặc đứng sau chiến dịch này rất tinh vi và chủ yếu quan tâm đến do thám công nghiệp, dựa vào trọng tâm của nhóm khi sử dụng phương thức lây nhiễm đặc biệt như AutoCAD, một phần mềm khá đắt đỏ được sử dụng chủ yếu bởi kỹ sư và nhà thiết kế.autocad-malware-lure

“Tin tặc đã nhắm mục tiêu thành công hàng loạt công ty khắp toàn cầu, với ít nhất một chiến dịch dường như tập trung vào ngành năng lượng”, chuyên gia Forcepoint viết.

Theo báo cáo, nhóm tin tặc này sử dụng email giả mạo chứa tập nén AutoCAD độc hoặc đường dẫn đến website để nạn nhân tự tải về tập ZIP độc, trong trường hợp tập tin “mồi nhử” cần nặng hơn tập đính kèm được phép của tiêu chuẩn email máy chủ.

Forcepoint báo cáo, chiến dịch email lừa đảo này sử dụng “tài liệu thiết kế bị đánh cắp của các dự án lớn như khách sạn, nhà máy, và thậm chí là công trình cầu Hồng Kông-Chu Hải-Ma Cao để làm mồi nhử và tiến xa hơn”.

Tin tặc lợi dụng tính năng dòng lệnh (Script) trên AutoCAD

Hãng bảo mật Forcepoint cho biết, nạn nhân thường bị lây nhiễm vì tập ZIP chứa dự án AutoCAD (.cad) họ nhận được chứa các mô đun Fast-Load AutoLISP (.fas) ẩn.

Những mô đun .fas này tương tự như thành phần câu lệnh trên phần mềm thiết kế AutoCAD, như cách macro hoạt động trên tập tin Word. Điểm khác biệt là mô đun FAS sử dụng ngôn ngữ lập trình Lisp cho các dòng lệnh của mình, thay vì VisualBasic hay PowerShell được dùng cho macro.

Dựa vào thiết lập cài đặt AutoCAD của nạn nhân, ứng dụng AutoCAD sẽ tự động thực thi mô đun ra lệnh .fas khi người dùng mở nội dung .cad chính, hoặc khi người dùng mở bất kỳ nội dung .cad nào.

Phiên bản AutoCAD hiện tại (phát hành sau 2014) đưa ra cảnh báo khi một mô đun .fas được thực thi, nhưng cũng như những cảnh báo về macro trên ứng dụng Office, nhiều người thường bỏ qua những cảnh báo bảo mật này mà không nghĩ đến hậu quả để mở và xem nội dung tập tin càng sớm càng tốt.

Chiến dịch đang diễn ra vẫn còn được phân tích

“Chúng tôi đã theo dõi và phân tích một số lượng lớn (hơn 200 bộ dữ liệu và khoảng 40 mô đun độc) của phiên bản “acad.fas” trong vài tháng qua, từ những điều trông giống như một chiến dịch mở rộng dựa trên một thành phần tải về nhỏ”, Forcepoint cho biết.

Hiện vẫn chưa rõ phần còn lại của chiến dịch hoạt động như thế nào. Các chuyên gia cho biết, mô đun “acad.fas” độc mà họ phát hiện có thể đang nỗ lực kết nối với một máy chủ C&C để tải về mã độc khác, nhưng họ vẫn chưa xác định được mã độc sau đó là gì.

“Chúng tôi không chắc đây có phải là kết quả của các kiểm tra về phía máy chủ phụ để phục vụ cho việc nhắm mục tiêu những nạn nhân đặc biệt, hay đơn giản nó chỉ là một tạo tác cho thấy chiến dịch đang “ngừng hoạt động”, các chuyên gia nhận định.

Báo cáo cũng đánh giá nhóm tin tặc đằng sau chiến dịch này dường như là một người yêu thích mã độc dựa trên AutoCAD, vì địa chỉ IP máy chủ C&C của chiến dịch đã từng được sử dụng trong một chiến dịch trước đây, cũng dùng mã độc AutoCAD.

Ngoài ra, các chuyên gia phát hiện máy chủ C&C đang chạy một cài đặt máy chủ Microsoft Internet Information Server 6.0 bằng tiếng Trung, và một địa chỉ IP lân cận cũng được dùng để lưu trữ một dịch vụ tương tự, khả năng cao chúng là một phần của một cơ sở hạ tầng tấn công lớn hơn.

Người dùng có thể tự bảo vệ mình

Forcepoint khuyến cáo tất cả người dùng AutoCAD đọc thông tin trên trang khuyến cáo bảo mật AutoCAD của Autodesk để biết những mẹo giúp cấu hình AutoCAD an toàn, bảo vệ mình trước mô đun độc hại.

Trang thông tin chứa các bước giúp giới hạn khả năng thực thi FAS của AutoCAD và nhiều mô đun script khác, những lời khuyên về cách hồi phục và xóa bỏ một trình cài đặt AutoCAD sau khi bị nhiễm mã độc.

Ngoài ra, Forcepoint cũng cảnh báo rằng, tin tặc có thể dùng đến phương pháp gửi mã độc của chúng qua các bưu kiện đĩa CD/DVD hay USB chứa tập tin AutoCAD độc hại.

Dù nhiều người có thể nói điều này kì lạ và không thực tế, nhưng nó thực sự là một cách rất phổ biến trong nhiều hãng thiết kế và kỹ sư ngày nay, chủ yếu là vì một số tập tin AutoCAD – dùng để chứa bản vẽ các phần hay cấu trúc tòa nhà – kích thước của nó có thể dễ dàng lên đến hơn 1GB, và nhiều công ty lo ngại chúng bị rò rỉ trên mạng, nên thay vào đó họ đặt niềm tin vào dịch vụ chuyển phát để trao đổi tập tin.

Đây không phải là lần đầu tiên tội phạm mạng sử dụng mã độc dựa trên AutoCAD để lây nhiễm các doanh nghiệp. Các chiến dịch trước đó cũng từng được báo cáo vào năm 2009 và 2012.

Hồng Anh (Lược dịch từ ZDNet)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video