SC Magazine: APT29 sử dụng Twitter và hình ảnh để tấn công máy tính Chính phủ Mỹ

30/07/2015 13:25

Ngày 29/07/2015, hãng bảo mật FireEye đã phát hành báo cáo “Hammertoss: Stealthy Tactics Define a Russian Cyber Threat Group”, tiết lộ về một nhóm tin tặc được Chính phủ Nga hậu thuẫn, chuyên xâm nhập vào các hệ thống máy tính của ngành công nghiệp quốc phòng Mỹ và các cơ quan Chính phủ Mỹ.

Nhóm sử dụng một phương pháp lạ thường, kết hợp Twitter và dữ liệu ẩn trong những hình ảnh có vẻ như lành tính, làm phương tiện giao tiếp với các máy tính đã bị lây nhiễm trước đó.

Kỹ thuật này cho thấy cách thức những tin tặc được chính phủ bảo trợ có thể thay đổi chiến thuật hoạt động sau khi bị phát hiện.

Nhóm tin tặc Nga - APT29 - đã sử dụng một phương thức hoàn toàn mới, kết hợp Twitter và một tập tin hình ảnh trông có vẻ lành tính, để giao tiếp với các máy tính đã bị lây nhiễm mã độc
Nhóm tin tặc Nga – APT29 – đã sử dụng một phương thức hoàn toàn mới, kết hợp Twitter và một tập tin hình ảnh trông có vẻ lành tính, để giao tiếp với các máy tính đã bị lây nhiễm mã độc

“Điều ấn tượng là số lớp làm rối mà nhóm này sử dụng. Những nhóm này đang đổi mới và ngày càng sáng tạo hơn”, Jennifer Weedon, Giám đốc Phân tích Chiến lược tại FireEye phát biểu.

Cụ thể, nhóm tin tặc này, được đặt tên là APT29, đã sử dụng mã độc mới có tên HAMMERTOSS để duy trì sự hiện diện trong các hệ thống của nạn nhân. Thông thường, mã độc này được sử dụng như một nỗ lực cuối cùng khi các công cụ khác đã ngưng hoạt động, FireEye cho biết.

Hai biến thể của mã độc này dựa trên nhiều thủ thuật để ẩn mình và hoạt động thành công; đó là một loạt các kỹ thuật được kết hợp với nhau.

FireEye đã phân tích hoạt động của mã độc thành 5 giai đoạn để giải thích cách thức mã độc này nhận lệnh và sau đó trích xuất thông tin từ hệ thống mạng của nạn nhân. Để bắt đầu, mã độc tạo một xử lý Twitter mỗi ngày cho mỗi cửa hậu được tạo ra.

Xử lý này được chọn qua một thuật toán cụ thể và bằng cách biết được các quy luật này, kẻ tấn công có thể đăng thông điệp vào các tài khoản.

HAMMERTOSS tìm công cụ xử lý được lập trình này để nhận hướng dẫn mỗi ngày, theo đó, nếu tất cả đều hoạt động đúng, tin tặc sẽ có khả năng đăng tải thông điệp lên Twitter với một URL và một hashtag (cụm từ đi sau dấu #).

URL điều khiển mã độc đến một trang web có chứa một hình ảnh và hashtag đưa ra một con số đại diện cho một vị trí trong tập tin hình ảnh và các ký tự cho một khóa mã hóa để giải mã các hướng dẫn được nhúng trong hình ảnh này.Khi xem URL nói trên, HAMMERTOSS lựa chọn sử dụng InternetExplorer.Application COM Object để ghé thăm nó và thông thường, sẽ dẫn đén các tài khoản GitHub cụ thể hoặc các trang web đã bị xâm nhập.

Một khi đến trang web mong muốn, mã độc này sẽ tải các nội dung của trang web, bao gồm các tập tin hình ảnh. Trong các tập tin hình ảnh, mã độc tìm dữ liệu được mã hóa mà nó sẽ giải mã và thực thi. Dữ liệu này có thể bao gồm các hướng dẫn để thực thi các lệnh thông qua PowerShell, thực thi một tập tin hoặc lệnh trực tiếp, hoặc lưu một tập tin thực thi vào đĩa và thực thi nó.

Trong các trường hợp khác, mã độc được hướng dẫn tải thông tin từ một hệ thống mạng của nạn nhân lên các tài khoản trên các dịch vụ lưu trữ đám mây sử dụng thông tin đăng nhập nó thu thập được từ việc tải nội dung trang web.

“Đây là một ví dụ hoàn hảo về việc kết hợp các biện pháp tốt nhất cho những tin tặc đang nỗ lực vượt qua các biện pháp phòng thủ và các nhà nghiên cứu”, Weedon nhận định.

Mặc dù nhóm tin tặc này chỉ nhắm mục tiêu vào các vào các tổ chức có liên quan đến lợi ích của Nga, như chính phủ các nước phương Tây, các nhóm chính sách ngoại giao và các tổ chức khác sở hữu những thông tin có giá trị cho đất nước, nhưng điều này không có nghĩa là các nhóm tin tặc khác sẽ không sử dụng các cuộc tấn công tương tự để nhắm vào các mục tiêu khác.

Đồng nghiệp của Weedon, Jordan Berry, nhà phân tích thông tin tình báo mối đe dọa tại FireEye, lưu ý, điều này có thể báo hiệu sự bắt đầu của một xu hướng mới trong giới tội phạm mạng.

“Như chúng ta thường chứng kiến với các mối đe dọa dai dẳng và có chủ đích (APT), bất cứ nơi nào chúng đi, tội phạm mạng thường sẽ theo sau”, Berry phát biểu.

Hữu Thiên (dịch từ scmagazine.com)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video