Phát hiện nhóm tin tặc Trung Quốc hoạt động ngầm 10 năm
Một nhóm gián điệp mạng Trung Quốc mà hãng bảo mật Symantec (Mỹ) công bố báo cáo phát hiện lần đầu vào tháng 06/2018, thực ra là một phần của một nhóm khác đã được báo cáo, theo các chuyên gia từ Symantec.
“Khi họ quay trở lại vào tháng 10 [hay] tháng 11, chúng tôi phát hiện [Thrip] sử dụng một công cụ hoàn toàn mới được nhóm phát triển từ những thứ chưa từng thấy trước đó”, giám đốc kỹ thuật tại Symantec Vikram Thakur nói với CyberScoop. “[Tin tặc] tạm ngưng hoạt động, trang bị lại công cụ, tập hợp lại và sau đó tiếp tục nhiệm vụ của mình”.
Tuy nhiên, bản phân tích của Symantec về một backdoor mà nhóm này sử dụng, có tên Sagerunex, cho thấy Thrip dường như là một nhóm tin tặc khác – được biết đến với tên gọi Billbug hay Lotus Blossom – đã hoạt động nhắm vào những mục tiêu ở Đông Nam Á gần một thập kỷ.
“Chúng tôi đã báo cáo về nhóm này [Thrip] vào năm 2018 và vào thời điểm đó, chúng tôi cho rằng đây là một nhóm mới vì chúng tôi không tìm thấy mối liên hệ nào với nhóm khác”, Thakur nói. “Chúng tôi phát hiện một số điểm tương đồng về kỹ thuật với một nhóm đã hoạt động từ nhiều năm qua – những tin tặc này không hoàn toàn mới như đã được nói đến trong báo cáo năm 2018. Về điểm này, dường như nhóm đã làm một cuộc cách mạng cho một công cụ đã được sử dụng trong mười năm”.
Cụ thể, Symantec đánh giá rằng Sagerunex có mã code cực kỳ giống với một công cụ được nhóm Lotus Blossom sử dụng có tên là Evora. Cả 2 mã độc này sử dụng code tương tự cho việc đăng nhập, chuỗi định dạng đăng nhập giống nhau, dòng code điều khiển-và-kiểm soát tương tự, và đều có tên đăng nhập bắt đầu với một chuỗi ký tự chữ cái, số, biểu tượng như nhau.
“Có… rất nhiều điểm tương đồng đặc biệt giữa 2 dòng mã độc. Chúng ta thường phát hiện ra một hoặc hai điểm giống nhau, nhưng lần này là bốn điểm”, Thakur nói. “Đó là lý do vì sao chúng tôi thật sự tin rằng… Thrip chính là nhóm từng được báo cáo với cái tên Billbug”.
Hoạt động của Thrip và Lotus Blossom
Thrip tập trung mục tiêu vào các tổ chức quân sự, nhà điều hành vệ tinh liên lạc, tổ chức liên lạc hàng hải, lĩnh vực truyền thông và giáo dục ở Đông Nam Á, theo Symantec. Hãng bảo mật này không nêu tên cụ thể hay vị trí của tổ chức bị nhắm mục tiêu.
Vào năm 2019, nhóm đã mở rộng tầm ngắm sang mục tiêu quân sự và hàng hải, Thakur nói. “Mỗi một tổ chức [bị nhắm đến] đều mới lạ so với năm 2018”, ông nói. “Không có tổ chức nào giống với năm 2018”.
Tương tự Thrip, Lotus Blossom cũng nhắm vào tổ chức quân sự.
Mặc dù Symantec cho biết Thrip đã khởi động các chiến dịch gián điệp mạng của mình từ 3 máy tính ở Trung Quốc, Thakur nói rằng cách thức tin tặc nhắm đến nạn nhân của chúng vẫn còn là một ẩn số.
“Thực chất chúng tôi không biết phương thức tấn công ở đây là gì”, Thakur nói. “Nó có thể là một email, cũng có thể là một website, nhưng chúng tôi chưa thể nói gì được”.
Nhóm này thích sử dụng chiến thuật “living off the land” hơn, Thakur nói, có nghĩa là chúng tận dụng những công cụ quản trị hoặc những tính năng điều hành hệ thống hợp pháp, như PowerShell hay Cơ sở hạ tầng quản lý Windows (WMI). Kiểu hoạt động này có thể giúp nó tránh bị phát hiện bởi các công cụ bảo mật.
Manh mối về động cơ
Công cụ mới của Thrip, được Symantec gọi là “Hannotog”, có thể nói lên một vài manh mối về ý định của nhóm này. Hannatog cho phép tin tặc thiết lập sự hiện diện bền bỉ trên hệ thống nạn nhân và có thể hoạt động cùng với những công cụ khác của Thrip, như Sagerunex hay một Trojan có tên là Catchamas cho phép tin tặc trích xuất dữ liệu.
Hannatog có vẻ đã được sử dụng từ đầu tháng 01/2017, theo Symantec.
Một số manh mối khác về Thrip có thể nằm trong cách thức mà Lotus Blossom vận hành. Lotus Blossom có khuynh hướng sử dụng tấn công lừa đảo (spearphishing) như một phương thức tấn công ban đầu, nhằm đánh lừa nạn nhân nhấp chuột vào tài liệu mồi nhử chứa mã khai thác lỗ hổng CVE-2012-0158 trên Microsoft Office.
Cao Phúc
(Nguồn: Cyberscoop)
https://www.cyberscoop.com/thrip-lotus-blossom-symantec-china/
