Chuyên gia nghiên cứu bảo mật nhận định các cuộc tấn công gián điệp Sharpshooter có liên quan đến nhóm hacker Triều Tiên

Sau thời gian làm việc với vô số những nghiên cứu, phân tích chuyên sâu, một nhóm các chuyên gia nghiên cứu bảo mật đã lần ra được sợi dây liên kết giữa một chiến dịch gián điệp mạng toàn cầu quy mô lớn được phát hiện trước đó nhắm vào cơ sở hạ tầng quan trọng trên toàn thế giới với một nhóm hacker APT của Triều Tiên.

Phát hiện trên được đưa ra thông qua những bằng chứng mới được các nhà nghiên cứu thu thập sau khi phân tích một máy chủ chỉ huy và kiểm soát (command-and-control server - C2) có liên quan đến chiến dịch gián điệp và bị lực lượng thực thi pháp luật bắt giữ.

Cụ thể hơn, chiến dịch gián điệp mạng này được đặt tên là Sharpshooter, với mục tiêu nhắm vào nhiều tổ chức lớn nhỏ khác nhau trên toàn thế giới, ban đầu được phát hiện vào tháng 12 năm 2018 bởi các nhà nghiên cứu bảo mật tại McAfee.

Chiến dịch gián điệp mạng này được đặt tên là Sharpshooter

Vào thời điểm đó, ngay cả sau khi tìm thấy nhiều mối liên kết kỹ thuật giữa chiến dịch Sharpshooter với nhóm hacker Lazarus của Triều Tiên, các nhà nghiên cứu vẫn chưa thể ngay lập tức quy kết chiến dịch này là một cuộc tấn công cờ giả (false flag).

Máy chủ chỉ huy của Sharpshooter đã được mổ sẻ

Theo một thông cáo báo chí mới được chia sẻ gần đây với trang tin The Hacker News, các phân tích chuyên sâu được tiến hành trên mã bị tịch thu và máy chủ chỉ huy và kiểm soát (C2) từ chiến dịch Sharpshooter đã cho phép các nhà nghiên cứu nắm được phương thức hoạt động bên trong của chiến dịch gián điệp mạng toàn cầu này, và kết luận cuối cùng đó là nó bắt nguồn từ một nhóm hacker được tài trợ ở Triều Tiên.

Cụ thể hơn, đúng như dự đoán ban đầu, Lazarus Group, còn được gọi là Hidden Cobra hay Guardians of Peace, được xác định là tổ chức đứng sau chiến dịch Sharpshooter. Lazarus Group vốn không còn xa lạ gì đối với khác nhà nghiên cứu bảo mật khi trước đó cũng có liên quan đến một số vụ tấn công lớn, có thể kể đến như vụ phát tán mã độc ransomware WannaCry toàn cầu năm 2017, vụ hack SWift Banking 2016, cũng như vụ hack Sony Pictures vào năm 2014.

Lazarus Group, còn được gọi là Hidden Cobra hay Guardians of Peace, được xác định là tổ chức đứng sau chiến dịch Sharpshooter.

Bên cạnh đó, báo cáo phân tích cũng tiết lộ rằng chiến dịch gián điệp toàn cầu Sharpshooter bắt đầu được triển khai vào tháng 9 năm 2017, tức là sớm hơn một năm so với nhận định trước đây và vẫn đang tiếp diễn.

Trong khi các cuộc tấn công trước đây thuộc chiến dịch Sharpshooter chủ yếu nhắm vào các lĩnh vực như viễn thông và tài chính ở những quốc gia như Hoa Kỳ, Thụy Sĩ, Israel và các nước nói tiếng Anh khác, thì bằng chứng mới được phát hiện gần đây lại cho thấy Sharpshooter đã mở rộng trọng tâm sang cơ sở hạ tầng quan trọng, với các cuộc tấn công gần đây nhất nhắm mục tiêu đến Đức, Thổ Nhĩ Kỳ, Vương quốc Anh và Hoa Kỳ.

Sharpshooter: Chiến dịch gián điệp quy mô xuyên biên giới

Chiến dịch gián điệp toàn cầu Sharpshooter lan rộng bằng cách gửi những tài liệu độc hại chứa macro được “vũ khí hóa” tới các mục tiêu chỉ định thông qua Dropbox. Sau khi tải xuống và mở tài liệu này, macro sẽ tận dụng shellcode nhúng để đưa trình tải xuống Sharpshooter vào bộ nhớ của Microsoft Word.

Sharpshooter: Chiến dịch gián điệp quy mô xuyên biên giới

Để khai thác thêm, macro sẽ được cấy trong bộ nhớ và âm thầm tải xuống phần mềm độc hại Rising Sun giai đoạn 2, sử dụng mã nguồn từ Trojan Duuzer backlink của chính nhóm Lazarus. Đây là phần mềm độc hại được lưu hành lần đầu tiên vào năm 2015 tại Hàn Quốc.

"Truy cập được vào mã máy chủ chỉ huy và kiểm soát của đối thủ là một cơ hội hiếm có. Các hệ thống này cung cấp cái nhìn sâu sắc hơn cho các chuyên gia bảo mật về hoạt động bên trong của cơ sở hạ tầng tấn công mạng. Quá trình này thường được thực thi bởi cơ quan pháp luật và hiếm khi được cung cấp cho các nhà nghiên cứu tư nhân (không làm việc cho các tổ chức nhà nước). Những hiểu biết thu được thông qua việc truy cập vào mã này là không thể thiếu trong nỗ lực tìm hiểu và chiến đấu chống lại các mối đe dọa đang hiện hữu hàng ngày trên không gian mạng, cũng như những chiến dịch tấn công tinh vi và nổi bật nhất", Christiaan Beek, một trong những nhà nghiên cứu an ninh mạng hàng đầu kiêm kỹ sư cao cấp của McAfee chia sẻ.

Hơn nữa, việc phân tích máy chủ và file nhật ký của máy chủ chỉ huy và kiểm soát cũng cho thấy một liên kết đến châu Phi, khi các nhà nghiên cứu phát hiện ra một khối mạng gồm các địa chỉ IP có nguồn gốc từ một thành phố nằm ở Namibia - quốc gia thuộc châu Phi.

Điều này khiến các nhà phân tích của McAfee Advanced Threat Research nghi ngờ rằng các tác nhân đứng đằng sau chiến dịch Sharpshooter có thể đã thử nghiệm mã cấy ghép của họ và các kỹ thuật khác ở khu vực châu Phi

Điều này khiến nhiều nhà phân tích của McAfee Advanced Threat Research nghi ngờ rằng các tác nhân đứng đằng sau chiến dịch Sharpshooter có thể đã thử nghiệm mã cấy ghép của họ và các kỹ thuật khác ở khu vực châu Phi trước khi tiến hành chiến dịch tấn công rộng hơn trên quy mô toàn cầu.

Cơ sở hạ tầng máy chủ chỉ huy và kiểm soát được sử dụng bởi những kẻ tấn công có phần phụ trợ cốt lõi được viết bằng Hypertext Pre (PHP) và Active Server Pages (ASP), "dường như là tùy chỉnh và dành riêng cho nhóm này", đồng thời cũng là một phần của chuỗi các hoạt động mà Lazarus đã tiến hành kể từ năm 2017.

Thứ Hai, 11/03/2019 08:14
53 👨 111