Nhóm tin tặc đa quốc gia The Equation Group bị phát hiện là đã phát triển sâu Fanny, có khả năng thay đổi firmware ổ cứng của hơn 10 hãng công nghệ để đánh cắp thông tin.
Trong nhiều năm qua, Viện Nghiên cứu và
Phân tích toàn cầu Kaspersky Lab (GReAT) đã giám sát chặt chẽ hơn 60 mối
đe dọa, chịu trách nhiệm về các cuộc tấn công mạng trên toàn thế giới.
Các mối đe dọa ngày càng phức tạp hơn vì có sự tham gia của nhiều quốc
gia được trang bị những công cụ tiên tiến nhất.
Mặc dù vậy, các chuyên gia Kaspersky Lab
đã phát hiện một nhóm tin tặc hoạt động trong gần hai thập kỷ qua, nổi
bật với các kỹ thuật phức tạp và tinh vi, mang tên The Equation Group.
The Equation Group là nhóm tin tặc hàng đầu trên thế giới mạng. (Ảnh minh họa)
Theo Kaspersky Lab, sự độc đáo
của Equation Group thể hiện qua các khía cạnh hoạt động, như việc sử
dụng các công cụ rất phức tạp và đắt đỏ để lây nhiễm mã độc, đánh cắp dữ
liệu, che đậy giấu vết một cách chuyên nghiệp, và tận dụng các kỹ thuật
gián điệp cổ điển để phát tán phần mềm độc hại.
Để lây nhiễm mã độc, Equation Group sử
dụng kỹ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi
Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy,
TripleFantasy, Fanny và GrayFish.
Khả năng tàng hình và bám "dai như đĩa"
Đây có lẽ là công cụ mạnh mẽ nhất trong
kho vũ khí của Equation Group, và khả năng đầu tiên được biết đến là lây
nhiễm phần mềm độc hại cho các ổ đĩa cứng. Bằng cách tái lập trình
firmware của ổ cứng (tức chương trình quản lý và điều khiển ổ đĩa cứng),
nhóm tin tặc có thể đạt được hai mục đích:
Mục đích thứ nhất: Phần mềm độc
hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt
firmware. Nếu mã độc được đưa vào firmware, nó có thể tự hồi sinh mãi
mãi, đồng thời có có thể ngăn chặn việc xóa một khu vực nhất định.
Ổ cứng trên máy tính của bạn có thể đang bị cài firmware nhiễm độc.
Costin Raiu, Giám đốc GReAT Kaspersky Lab, cho biết: “Một
điều nguy hiểm là khi ổ cứng bị nhiễm độc, nó không thể tự quét lại
firmware gốc. Nguyên nhân là do hầu hết các ổ cứng có chức năng ghi dữ
liệu vào khu vực lưu trữ firmware nhưng không có chức năng để đọc
firmware gốc trở lại”.
Ngoài ra, trong một số trường hợp, nó có thể giúp nhóm tin tặc bẻ khóa các mật mã. “Thực
tế, việc chúng cấy ghép GrayFish vào quá trình khởi động hệ thống, có
thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này”, Costin Raiu nói thêm.
Trước đó, Kaspersky Lab từng
cho biết, các điệp viên đã thực hiện một bước đột phá công nghệ khi tìm
ra cách để tích hợp phần mềm độc hại vào các dòng mã phức tạp được gọi
là firmware mà sẽ chạy mỗi khi máy tính được bật.
Kaspersky Lab đã tái tạo lại chương
trình gián điệp và nhận ra rằng, chúng có thể làm việc trong các ổ đĩa
của hơn 10 công ty, bao gồm nhiều tên tuổi trên thị trường, như Western
Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron
Technology Inc và Samsung Electronics Co Ltd...
Khả năng truy xuất dữ liệu từ các máy tính không có internet
Sâu Fanny được phát hiện trong tất cả
các cuộc tấn công được thực hiện bởi nhóm Equation. Mục đích chính của
nó là để lập ra một bản đồ hệ thống mạng cô lập (air-gapped network),
nói cách khác là để hiểu được cấu trúc liên kết của một mạng lưới mà
chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để làm
được điều này, nó được sử dụng một lệnh và kiểm soát cơ chế dựa trên USB
đặc biệt, cho phép những kẻ tấn công truyền dữ liệu qua lại giữa các
mạng air-gapped network.
Khi một USB nhiễm độc, nó sẽ có một khu
vực lưu trữ ẩn được sử dụng để thu thập thông tin cơ bản từ máy tính
không có kết nối Internet. Và sau đó gửi thông tin về máy chủ của hacker
khi USB được cắm vào một máy tính bị nhiễm sâu Fanny và có kết nối
Internet. Nếu kẻ tấn công chạy lệnh trên air-gapped network, chúng có
thể lưu các lệnh này trong khu vực ẩn của USB. Khi USB được cắm trở lại
vào các máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi
chúng.
Sâu Fanny có liên quan tới "bạn đường" STUXNET và FLAME
Nhóm Equation đã tương tác mạnh mẽ với
các nhóm khác, chẳng hạn như việc nhóm khai thác sâu Stuxnet và Flame.
Nhóm Equation có quyền truy cập vào lỗi zero-day trước khi chúng bị khai
thác bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác với với
những người khác.
Ví dụ, trong năm 2008, sâu Fanny đã khai
thác trước hai lỗ hổng zero-day có liên quan đến Stuxnet vào tháng
6/2009 và tháng 3/2010.
Nhóm Equation đã sử dụng một hệ thống
máy chủ C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. Các máy chủ
được đặt tại nhiều quốc gia, trong đó có Mỹ, Anh, Ý, Đức, Hà Lan,
Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc.
Từ năm 2001, Equation Group đã thực hiện
hàng ngàn phiên lây nhiễm, và có thể lên đến hàng chục ngàn nạn nhân ở
hơn 30 quốc gia trên toàn thế giới, bao gồm các lĩnh vực: Chính phủ và
các cơ quan ngoại giao, các viện viễn thông, hàng không vũ trụ, năng
lượng, nghiên cứu hạt nhân, dầu khí, công nghệ nano, các nhà hoạt động
quân sự và các học giả, phương tiện truyền thông đại chúng, giao thông
vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã
hóa.
Sâu Fanny bị phát hiện sau 5 tháng hoạt động
Trong giai đoạn lây nhiễm, nhóm Equation
có khả năng đã sử dụng mười cách khai thác trong một chuỗi. Tuy nhiên,
các chuyên gia của Kaspersky Lab nhận thấy rằng, không có nhiều hơn ba
cách khai thác được sử dụng: Nếu một trong hai cách khai thác đầu tiên
không thành công, chúng sẽ thử đến khai thác thứ ba. Nếu cả ba cách khai
thác đều thất bại, chúng sẽ không lây nhiễm hệ thống nữa.
Các sản phẩm của Kaspersky Lab đã phát
hiện một số hành động tấn công người dùng của mã độc kể trên. Nhiều vụ
tấn công không thành công vì vấp phải sự phát hiện và ngăn chặn khai
thác các lỗ hổng chưa được biết từ công nghệ Automatic Exploit
Prevention. Theo Kaspersky Lab, sâu Fanny có lẽ đã được tạo ra vào tháng
07/2008, được hệ thống tự động của Kaspersky Lab phát hiện lần đầu và
đưa vào danh sách đen trong tháng 12/2008.
Không có nhận xét nào:
Đăng nhận xét