Kaspersky phát hiện mã độc DarkPulsar nghi ngờ của NSA

23/10/2018 15:53

Nạn nhân nằm ở Nga, Iran và Ai Cập; liên quan đến lĩnh vực năng lượng hạt nhân, viễn thông, IT, không gian vũ trụ và R&D.

darkpulsar

Ngày 19/10, hãng bảo mật Kaspersky Lab (Nga) báo cáo phát hiện nhiều máy tính bị lây nhiễm DarkPulsar, một loại mã độc bị nghi ngờ do Cơ quan An ninh Quốc gia Mỹ (NSA) phát triển.

“Đã có 50 nạn nhân được tìm thấy, và chúng tôi tin rằng con số này còn cao hơn nhiều”, các chuyên gia Kaspersky nói.

“Tất cả các nạn nhân đều ở Nga, Iran, Ai Cập và chủ yếu là máy Windows 2003/2008 Server bị lây nhiễm”, Kaspersky cho biết. “Mục tiêu chiến dịch liên quan đến ngành năng lượng hạt nhân, viễn thông, IT, không gian vũ trụ và R&D”.

Các chuyên gia Kaspersky có thể phân tích DarkPulsar vì nó là một trong nhiều công cụ bị tuồn ra chợ trực tuyến vào mùa xuân năm 2017.

Bộ công cụ tấn công mạng được một nhóm tin tặc có tên Shadow Brokers rò rỉ ra ngoài, và công bố rằng họ có được bộ công cụ từ nhóm Equation Group, mật danh mà ngành công nghiệp an ninh mạng đặt cho một nhóm hoạt động trên toàn cầu được tin là của NSA.

DarkPulsar hầu như không bị chú ý trong hơn 18 tháng vì bộ công cụ rò rỉ năm 2017 còn có lỗ hổng EternalBlue, bị khai thác trong 3 cuộc tấn công mã độc tống tiền mạnh mẽ hồi năm rồi là WannaCry, NotPetya và Bad Rabbit.

Trong năm 2017, hầu hết tất cả con mắt của cộng đồng an ninh mạng đều tập trung vào EternalBlue, và vì vậy mà bây giờ công cụ khai thác lỗ hổng này trở thành loại mã độc được rao bán.

Tuy nhiên trong vài tháng gần đây, các chuyên gia Kaspersky bắt đầu đào sâu phân tích một công cụ mạng khác mà Shadow Brokers đã rò rỉ vào năm 2017.

Họ tiến hành nghiên cứu FuzzBunch, một framework khai thác mà nhóm Equation đã sử dụng để phát tán mã độc vào hệ thống của nạn nhân, bằng cách dùng một giao diện CLI giống như framework kiểm tra sự xâm nhập Metasploit.

Các chuyên gia cũng nghiên cứu DanderSpritz, một thành phần của FuzzBunch, hoạt động như một ứng dụng GUI giúp kiểm soát máy tính lây nhiễm.

DarkPulsar là một “implant” FuzzBunch, một thuật ngữ kỹ thuật có nghĩa là “mã độc”, thường được dùng chung với DanderSpritz.

Nhưng trong báo cáo công bố hôm nay, Kaspersky cho biết mã code của DarkPulsar từ vụ rò rỉ của Shadow Brokers không phải là toàn bộ mã độc DarkPulsar.

“Chúng tôi phân tích công cụ này và hiểu rằng, nó không hoàn toàn là một backdoor mà chỉ có thành phần quản trị”, Kaspersky nói.

Một khám phá quan trọng là khi các chuyên gia nhận ra, một vài hằng số từ mã code giao diện quản trị của DarkPulsar rất có thể đã được sử dụng bởi một loại mã độc thật sự.

Các chuyên gia đã thiết lập quy tắc đặc biệt để dò tìm những hằng số này trong tập tin mà phần mềm chống virus Kaspersky quét được. Và đây là cách họ đã phát hiện ra khoảng 50 máy tính vẫn còn bị lây nhiễm bởi mã độc DarkPulsar.

Dựa vào các chức năng tìm thấy trên giao diện quản trị DarkPulsar, chuyên gia cho biết mã độc này chủ yếu được sử dụng như một backdoor để lây nhiễm máy tính.

Chức năng chính của mã độc là khả năng chạy code tùy ý nhờ một chức năng có tên “RawShellcode” và khả năng tải lên nhiều trình tải DanderSpritz khác nhờ chức năng “DanderSpritz”, giúp tin tặc tăng cường mạnh mẽ khả năng nắm giữ và triển khai mã độc trên máy lây nhiễm.

Các chuyên gia Kaspersky cũng tin rằng số lượng máy bị nhiễm DarkPulsar có thể còn nhiều hơn con số 50 mà họ phát hiện.

Mã độc này cũng có chức năng tự hủy, một khả năng mà nhóm Equation thường sử dụng để xóa dấu vết sau khi Shadow Brokers rò rỉ công cụ của họ lên mạng.

“Vì vậy con số 50 nạn nhân có thể chỉ là những người mà tin tặc vô tình để sót”, chuyên gia nói.

Về phần ai là thủ phạm đứng sau cuộc tấn công thì Kaspersky không nói. Không rõ liệu có phải nhóm Shadow Brokers cố gắng có được toàn bộ mã độc DarkPulsar nhưng rồi lại quyết định không cho vào backdoor thật sự trong gói công cụ rò rỉ.

50 máy tính bị lây nhiễm trên cũng có thể dễ dàng là tác phẩm của nhóm gián điệp mạng Equation hoặc là của chính nhóm Shadow Brokers.

Lâm Quang Dũng (Lược dịch từ: ZDNet)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video