Operation TunnelSnake: rootkit từng bí mật kiểm soát mạng lưới các tổ chức ở châu Á và châu Phi

SkylerNew

Chuyên viên tin tức
Thành viên BQT
Các nhà nghiên cứu tại Kaspersky đã phát hiện TunnelSnake, chiến dịch APT hoạt động từ 2019 và vẫn đang nhắm vào các tổ chức ngoại giao khu vực châu Á và châu Phi. Những kẻ tấn công đã triển khai một rootkit chưa từng biết trước đây có tên là Moriya. Phần mềm độc hại này có ảnh hưởng rất lớn đối với hệ điều hành, cho phép các tác nhân đe dọa chặn lưu lượng mạng và che giấu các lệnh độc hại được cấp cho các máy chủ bị lây nhiễm. Điều này dẫn đến việc những kẻ tấn công bí mật kiểm soát mạng lưới của các tổ chức mục tiêu trong nhiều tháng.

Tunnel-Snake.jpg

Rootkit là những chương trình độc hại hoặc tập hợp các công cụ phần mềm giúp kẻ tấn công truy cập không giới hạn vào máy tính bị lây nhiễm. Rootkit nổi tiếng về khả năng “tàng hình” và xâm nhập khi có thể trà trộn vào hệ điều hành. Nhờ các biện pháp được Microsoft thực hiện trong nhiều năm để bảo vệ hệ thống, việc triển khai và thực thi thành công rootkit đã trở thành một nhiệm vụ khó khăn, đặc biệt là trong không gian hạt nhân hệ điều hành, với hầu hết các rootkit Windows hiện đang được tận dụng trong các cuộc tấn công APT vào các mục tiêu quan trọng, chẳng hạn như TunnelSnake.

Cuộc điều tra về chiến dịch bắt đầu khi Kaspersky nhận được hàng loạt báo động từ các giải pháp về một rootkit đặc biệt trong mạng lưới mục tiêu. Rootkit này được gọi là Moriya, có khả năng lẩn tránh nhờ 2 đặc điểm. Nó chặn và kiểm tra các gói mạng đang chuyển tiếp từ không gian địa chỉ của nhân Windows - vùng bộ nhớ nơi chứa nhân của hệ điều hành và nơi thường chỉ chạy mã đặc quyền và đáng tin cậy. Điều này cho phép phần mềm độc hại thả các gói độc hại trước khi chúng được xử lý bởi việc chồng giao thức của hệ điều hành.

Việc này giúp kẻ tấn công tránh bị giải pháp bảo mật phát hiện. Ngoài ra, rootkit đã không liên hệ với bất kỳ máy chủ nào để yêu cầu lệnh, như trường hợp của hầu hết các backdoor thông thường, mà là nhận các lệnh từ các gói được đánh dấu đặc biệt, kết hợp với phần lớn lưu lượng mạng mà phần mềm độc hại kiểm tra. Điều này cho phép rootkit tránh phải duy trì cơ sở hạ tầng Command & Control (Chỉ huy và Điều khiển), do đó cản trở việc phân tích và làm cho hoạt động khó bị theo dõi hơn.

Moriya chủ yếu được triển khai thông qua sự xâm nhập vào các máy chủ web dễ bị tấn công trong tổ chức mục tiêu. Trong một trường hợp, những kẻ tấn công đã lây nhiễm máy chủ bằng webshell China Chopper, một loại mã độc cho phép điều khiển từ xa máy chủ bị nhiễm. Rootkit Moriya đã được triển khai sau khi có được quyền truy cập từ webshell này.

Ngoài ra, một bộ công cụ khác nhau được thiết kế riêng hoặc từng được các nhóm tin tặc nói tiếng Trung trước đây sử dụng, đã được triển khai cùng với rootkit, cho phép những kẻ tấn công quét các máy chủ trong mạng nội bộ, tìm mục tiêu mới và thực hiện hành động lây lan nhằm âm thầm tách tệp.

Giampaolo Dedola, Nhà nghiên cứu bảo mật cấp cao thuộc nhóm Phân tích và Nghiên cứu Toàn cầu (GReAT) tại Kaspersky nhận định: “Mặc dù chúng ta không thể quy trách nhiệm chiến dịch cho một tác nhân cụ thể nào, nhưng cả mục tiêu và công cụ được sử dụng trong APT đều có mối liên hệ với các nhóm nói tiếng Trung được biết đến, do đó có thể kẻ tấn công cũng nói tiếng Trung. Chúng tôi cũng tìm thấy một phiên bản cũ hơn của Moriya được sử dụng trong một cuộc tấn công độc lập vào năm 2018. Thông tin mục tiêu và bộ công cụ được sử dụng cho thấy mục đích của kẻ tấn công trong chiến dịch này là gián điệp, mặc dù chúng tôi chỉ có thể chứng thực một phần điều này khi không có bất kỳ dữ liệu thực tế nào đã bị chuyển đổi hay đánh cắp.”

Mark Lechtik, Nhà nghiên cứu bảo mật cấp cao thuộc nhóm Phân tích và Nghiên cứu Toàn cầu (GReAT) tại Kaspersky chia sẻ: “Khi chúng ta tiếp tục trang bị và bảo vệ tốt hơn trước các cuộc tấn công có chủ đích, các tác nhân đe dọa đã phản ứng bằng cách thay đổi chiến lược của chúng. Ngày càng có nhiều chiến dịch bí mật như TunnelSnake, nơi các tác nhân thực hiện các bước bổ sung để duy trì tầm quan sát lâu nhất có thể và đầu tư vào bộ công cụ của chúng, làm cho chúng phù hợp hơn, phức tạp hơn và khó bị phát hiện hơn. Đồng thời, theo quan sát của chúng tôi, các công cụ bí mật cao cấp cũng có thể bị phát hiện và ngăn chặn. Đây là một cuộc chạy đua đang diễn ra giữa các nhà cung cấp bảo mật và các tác nhân đe dọa, và chúng ta với tư cách là cộng đồng an ninh mạng, cần tiếp tục phối hợp cùng nhau để giành chiến thắng.”

Xem thêm báo cáo đầy đủ về chiến dịch TunnelSnake tại Securelist.

Xem thêm thông tin chi tiết về các Chỉ số Thỏa hiệp liên quan đến hoạt động này tại Kaspersky Threat Intelligence Portal.

Để bảo vệ tổ chức trước các chiến dịch APT, chuyên gia Kaspersky khuyến nghị:
  • Thực hiện đánh giá bảo mật thường xuyên đối với cơ sở hạ tầng CNTT tổ chức để phát hiện ra các lỗ hổng và hệ thống dễ bị tấn công.

  • Đảm bảo tổ chức đang sử dụng giải pháp bảo mật điểm cuối mạnh mẽ, chẳng hạn như Kaspersky Endpoint Security for Business và luôn cập nhật để giải pháp có thể phát hiện các loại phần mềm độc hại mới nhất, chẳng hạn như bộ rootkit này.
Cài đặt các giải pháp EDR và chống APT. Việc này sẽ cho phép tìm kiếm và phát hiện mối đe dọa, điều tra và khắc phục kịp thời mọi sự cố. Cung cấp cho nhóm SOC của tổ chức quyền truy cập vào thông tin tình báo về mối đe dọa mới nhất và thường xuyên nâng cao kỹ năng cho đội ngũ CNTT bằng các khóa đào tạo chuyên nghiệp. Tất cả những điều trên đều có sẵn trong Kaspersky Expert Security Framework.
 
Bên trên