Dropping Elephant: Săn mục tiêu cao cấp bằng công cụ đơn giản

(eFinance Online) - Chỉ sử dụng lỗ hổng cũ, công cụ không đáng chú ý trong cuộc tấn công, mối đe dọa này cũng đã thử vận may của mình trong việc tấn công các mục tiêu cấp cao bao gồm nhiều quốc gia châu Âu. 
Ảnh minh họa. Nguồn: Internet.Ảnh minh họa. Nguồn: Internet.

Tháng 2/2016, sau khi nhận được cảnh báo từ một đối tác, nhóm Phân tích và Nghiên cứu Toàn cầu Kaspersky Lab đã tiến hành một cuộc điều tra. Sự việc trở nên sáng tỏ khi một mối đe dọa có thể xuất phát từ Ấn Độ đang tiến hành hoạt động gián điệp mạng ồ ạt vào khu vực châu Á, nhắm tới vô số tổ chức Chính phủ và ngoại giao với sự tập trung đặc biệt vào Trung Quốc và hoạt động quốc tế của nước này.

Cách hoạt động của “Dropping Elephant” (cũng được biết đến với tên “Chinastrats”) khó có thể được gọi là tinh vi. Những kẻ tấn công phụ thuộc nhiều vào kỹ thuật xã hội và công cụ và lỗ hổng với chi phí thấp. Tuy nhiên, phương pháp này lại có vẻ hiệu quả, khiến cái tên này trở nên nguy hiểm. Từ tháng 11/2015 đến tháng 6/2016, nhóm đã lên hồ sơ hàng trăm và hàng ngàn mục tiêu trên khắp thế giới. Quan trọng hơn hết, chỉ trong 2 tháng đầu hoạt động, chúng đã có thể đánh cắp tài liệu từ nhiều nạn nhân đã được lựa chọn.

Công cụ đơn giản nhưng hiệu quả

Để lên danh sách nạn nhân, đầu tiên, Dropping Elephant gửi mail hàng loạt đến một số địa chỉ chúng thu thập được dựa trên sự liên quan đến mục tiêu của chúng. Những email lừa đảo do kẻ tấn công gửi đi chứa danh mục liên quan đến nội dung tách biệt - nó không được đính kèm trong email mà được tải xuống từ một nguồn bên ngoài. Email không chứa nội dung độc hại nào ngoại trừ âm thanh “ping” được gửi tới máy chủ kẻ tấn công nếu nạn nhân mở mail. Sau đó tin nhắn có chứa thông tin cơ bản về người nhận sẽ được tự động gửi đi: địa chỉ IP, loại trình duyệt, thiết bị sử dụng và cả vị trí.

Sau khi dùng biện pháp đơn giản này để lọc ra những nạn nhân có giá trị nhất, những kẻ tấn công tiến hành email lừa đảo khác, chuyên sâu hơn. Có thể là tập tin Word với lỗ hổng CVE-2012-0158 hoặc silde PowerPoint với lỗ hổng CVE-2014-6352 trong Microsoft Office. Cả 2 lỗ hổng đều phổ biến những vẫn còn rất hiệu quả.

Nhiều nạn nhân bị nhắm tới bằng cuộc tấn công watering hole, họ nhận được liên kết dẫn đến website giả mạo cổng thông tin chính trị, tập trung vào hoạt động bên ngoài của Trung Quốc. Phần lớn những liên kết trên website này dẫn đến nội dung khác dưới dạng tập tin PPS (tập tin PowerPoint) chứa nội dung độc hại. 

Mặc dù những lỗ hổng được sử dụng trong các cuộc tấn công đều đã được Microsoft vá lỗi nhưng những kẻ tấn công vẫn có thể dựa trên phương pháp kỹ thuật xã hội để tổn hại nạn nhân nếu họ lờ đi nhiều cảnh báo bảo mật hiện ra và mở những chức năng độc hại trong tập tin. Nội dung của tập tin PPS độc hại được chọn lọc cẩn thận dựa trên nhiều bài báo về những vấn đề được bàn luận rộng rãi như chủ đề địa chính trị, khiến tập tin trông đáng tin cậy và có khả năng được mở ra nhiều hơn. Việc này khiến nhiều người dùng bị lây nhiễm.

Sau khi khai thác lỗ hổng thành công, một loạt công cụ độc hại được cài đặt trên máy tính nạn nhân.

Sau đó, các công cụ này thu thập và gửi về kẻ tấn công những loại thông tin sau: tập tin Word, bảng tính Excel, tập tin trình chiếu PowerPoint, tập tin PDF, thông tin đăng nhập lưu trên trình duyệt…

Bên cạnh tấn công kỹ thuật xã hội và khai thác lỗ hổng cũ, một trong những backdoor của Dropping Elephant sử dụng phương thức liên lạc C&C mượn từ mối đe dọa khác: chúng giấu địa chỉ thực của máy chủ C&C dưới dạng bình luận ở các bài viết trên những website hợp pháp phổ biến. Mặc dù với cách thực hiện phức tạp hơn nhưng phương pháp này trước đây đã từng được thấy trong hoạt động của Miniduke và nhiều nhóm tội phạm khác, nó được sử dụng để việc điều tra tấn công phức tạp hơn.

Trung Quốc là mục tiêu chính

Dựa trên hồ sơ nạn nhân do các nhà nghiên cứu Kaspersky Lab lập ra, Dropping Elephant tập trung vào 2 loại tổ chức và cá nhân chính: tổ chức Chính phủ và ngoại giao Trung Quốc và những cá nhân có liên quan cũng như đối tác của những tổ chức này tại những quốc gia khác.

Nhìn chung, các chuyên gia Kaspersky Lab đã phát hiện vài trăm nạn nhân trên toàn thế giới, phần lớn tập trung ở Trung Quốc, số khác đến từ, hoặc liên quan đến Pakistan, Sri-Lanka, Uruguay, Bangladesh, Đài Loan, Úc, Hoa Kỳ và một số quốc gia khác.

Có nhiều thứ hướng đến sự thật là nhóm tội phạm bắt nguồn từ Ấn Độ, tuy nhiên, đồng thời không có chứng cứ rõ ràng nào về việc Chính phủ có liên quan đến hoạt động này hay không.

Việc phân tích hoạt động cho thấy những kẻ tấn công có thể hoạt động trong múi giờ UTC+5 hoặc UTC+6. Từ tháng 5/2016, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện hoạt động mới của nhóm trong vùng địa chính trị mới bao gồm khu vực giờ chuẩn của vùng duyên hải miền tây Bắc Mỹ, tương ứng với giờ làm việc tại West Coast, Hoa Kỳ. Đây có thể là kết quả của việc tăng quân số trong nhóm Dropping Elephant.

“Dù sử dụng công cụ và lỗ hổng đơn giản, ít tốn kém, nhóm này dường như có khả năng lấy được thông tin tình báo đáng giá, đây có thể là lý do vì sao nhóm vẫn mở rộng hoạt động vào tháng 5/2016. Việc mở rộng cũng cho thấy chúng không có ý định kết thúc hoạt động sớm. Tổ chức và cá nhân phù hợp với hồ sơ mục tiêu của chúng nên đặc biệt cẩn trọng. Tin vui là nhóm chưa sử dụng công cụ thực sự phức tạp, khó phát hiện ra. Việc này có nghĩa là hoạt động của chúng rất dễ nhận ra. Tất nhiên vẫn có thể thay đổi bất cứ lúc nào”, Vitaly Kamluk, Giám đốc Trung tâm Nghiên cứu tại APAC, GReAT, Kaspersky Lab cho biết.

Kaspersky Lab mở rộng hợp tác với CERT và cơ quan hành pháp tại các quốc gia bị ảnh hưởng để lưu ý người dùng và hạn chế mối đe dọa.

Để tự bảo vệ mình và tổ chức của mình trước nhóm gián điệp mạng như Dropping Elephant, các chuyên gia bảo mật Kaspersky Lab khuyên nên tuân theo những biện pháp dưới đây: Tuân theo nguyên tắc bảo mật cơ bản của Internet: không mở đính kèm trong mail từ người gửi không rõ ràng và thường xuyên cập nhật phần mềm trên PC; Sử dụng giải pháp bảo mật đã được kiểm chứng có khả năng chống lại mối đe dọa mạng tinh vi nhất; Luôn nhớ rằng những gì trông giống như tập tin hợp pháp có thể là giai đoạn đầu trong cuộc tấn công vào công ty của bạn. Đối với những tổ chức lớn, sử dụng giải pháp chống tấn công có chủ đích, có khả năng phát hiện những bất thường nguy hiểm trong mạng lưới nội bộ trước khi phần mềm độc hại được cài đặt và dữ liệu bị đánh cắp; Cách tốt nhất để có sự bảo vệ kịp thời là theo dõi hoạt động của kẻ thực hiện tấn công có chủ đích. Sử dụng dịch vụ tình báo mối đe dọa để đảm bảo rằng bạn luôn biết những thủ pháp kẻ tấn công sử dụng và biện pháp bảo vệ để vô hiệu hóa những thủ pháp này...

(GN)