Những điều cần biết về nhóm tin tặc hàng đầu giới gián điệp mạng - Equation Group

Trong nhiều năm qua, Viện nghiên cứu và phân tích toàn cầu Kaspersky Lab (GReAT) đã giám sát chặt chẽ hơn 60 mối đe dọa, chịu trách nhiệm về các cuộc tấn công mạng trên toàn thế giới. Các mối đe dọa ngày càng phức tạp hơn vì sự tham gia của nhiều quốc gia được trang bị những công cụ tiên tiến nhất. Mặc dù vậy, các chuyên gia Kaspersky Lab đã phát hiện một nhóm tin tặc đã hoạt động trong gần hai thập kỷ, nổi bật bởi các kỹ thuật phức tạp và tinh vi, mang tên The Equatation Group.

The Equatation Group nổi bật bởi các kỹ thuật phức tạp và tinh vi.The Equatation Group nổi bật bởi các kỹ thuật phức tạp và tinh vi.

Theo các chuyên gia GreAT, sự độc đáo của Equation Group thể hiện qua các khía cạnh hoạt động như việc sử dụng các công cụ rất phức tạp và đắt đỏ để lây nhiễm nạn nhân, đánh cắp dữ liệu, che đậy giấu vết một cách chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại.

Khả năng bền bỉ và tàng hình

Để lây nhiễm nạn nhân, Equation Group sử dụng kĩ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.

Các chuyên gia của GReAT cho biết, họ đã có thể khôi phục lại hai mô-đun cho phép việc tái lập trình firmware ổ cứng của hơn một tá nhãn hiệu HDD phổ biến. Đây có lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group và khả năng đầu tiên được biết đến là lây nhiễm phần mềm độc hại cho các ổ đĩa cứng. Bằng cách tái lập trình firmware của ổ cứng (tức là viết lại hệ điều hành của ổ đĩa cứng), nhóm đạt được hai mục đích:

- Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt hệ điều hành. Nếu mã độc được đưa vào firmware, nó có thể tự hồi sinh mãi mãi. Nó có thể ngăn chặn việc xóa một khu vực nhất định hoặc thay thế một ổ đĩa khác trong quá trình khởi động hệ thống. Một điều nguy hiểm là khi ổ cứng bị nhiễm độc, nó không thể tự quét firmware. Nguyên nhân là do hầu hết các ổ cứng có chức năng để viết vào phần cứng của firmware nhưng không có chức năng để đọc nó trở lại.

- Khả năng tạo ra một thế giới vô hình ẩn bên trong ổ đĩa cứng. Nó được sử dụng để lưu thông tin bí mật mà sau này có thể được lấy ra bởi những kẻ tấn công. Ngoài ra, trong một số trường hợp, nó có thể giúp nhóm để crack các mật mã.

Khả năng truy xuất dữ liệu từ các mạng bị cô lập

Sâu Fanny được phát hiện ra từ tất cả các cuộc tấn công được thực hiện bởi các nhóm Equation. Mục đích chính của nó là để lập bản đồ hệ thống mạng cô lập (air-gapped network), nói cách khác là để hiểu được cấu trúc liên kết của một mạng lưới mà chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để làm được điều này, nó sử dụng 1 USB đặc biệt dựa trên cơ chế C&C cho phép kẻ tấn công truyền dữ liệu qua lại từ air-gapped network.

Khi một USB nhiễm độc có một khu vực lưu trữ ẩn, được sử dụng để thu thập thông tin cơ bản từ máy tính không kết nối Internet và gửi thông tin về máy chủ C&C. Khi USB được cắm vào một máy tính bị nhiễm sâu Fanny và có kết nối Internet. Nếu kẻ tấn công muốn chạy lệnh trên air-gapped network, chúng có thể lưu được các lệnh này trong khu vực ẩn của USB.  Khi USB được cắm trở lại vào các máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi chúng.

Phương pháp gián điệp cổ điển để phát tán phần mềm độc hại

Những kẻ tấn công sử dụng phương pháp phổ quát để lây nhiễm các mục tiêu: không chỉ thông qua các trang web, mà còn trong thế giới vật chất. Chúng đã dùng một kỹ thuật ngăn chặn hàng hóa vật lý và thay thế những hàng hóa này bằng các phiên bản đã nhiễm Trojan.

Một trường hợp tấn công thực tế được ghi nhận như sau: Một số đại biểu tham gia tại hội nghị khoa học ở Houston khi trở về nhà đã nhận được bản sao của các tài liệu hội nghị được chép vào CD-ROM, thực chất đã được Equation sử dụng để cài DoubleFantasy vào máy của mục tiêu. Phương pháp chính xác để ngăn chặn các đĩa CD này hiện nay vẫn chưa được làm rõ.

Tương tác mạnh mẽ với các nhóm khác

Có liên kết vững chắc cho thấy rằng nhóm Equation đã tương tác mạnh mẽ với các nhóm khác chẳng hạn như việc khai thác Stuxnet và Flame. Nhóm Equation có quyền truy cập vào zero-day trước khi chúng được sử dụng bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác với những người khác.

Ví dụ, trong năm 2008 sâu Fanny sử dụng hai lỗ hổng zero-day có liên quan đến Stuxnet vào tháng 6/2009 và tháng 3/2010. Một trong những lỗ hổng zero-day trong Stuxnet đã thực sự là một mô-đun của Flame nhằm khai thác các lỗ hổng tương tự và được lấy trực tiếp từ các nền tảng Flame cũng như xây dựng thành Stuxnet.

Những điều cần biết về nhóm tin tặc hàng đầu giới gián điệp mạng - Equation Group ảnh 1
Mô hình cho thấy, nhóm Equation đã tương tác mạnh mẽ với các nhóm khác.

Cơ sở hạ tầng mạnh mẽ và rộng lớn

Nhóm Equation đã sử dụng một hệ thống máy C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. Các máy chủ được đặt tại nhiều quốc gia, trong đó có Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc.

Hàng ngàn nạn nhân cao cấp trên toàn cầu

Từ năm 2001, Equation Group đã thực hiện hàng ngàn việc lây nhiễm, hoặc có thể lên đến hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới, bao gồm các lĩnh vực: Chính phủ và các cơ quan ngoại giao, các viện viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, công nghệ nano, các nhà hoạt động quân sự và các học giả, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã hóa.

Các chuyên gia Kaspersky Lab cho biết, họ đã quan sát được 7 khai thác được sử dụng trong phần mềm độc hại của Equation. Ít nhất 4 trong số này được sử dụng như các lỗ hổng zero-day. Ngoài ra, việc sử dụng các khai thác chưa được biết đến, có thể là zero-day chống lại Firefox 17 và được sử dụng trong trình duyệt Tor, cũng được ghi nhận.

“Trong giai đoạn lây nhiễm, nhóm Equation có khả năng đã sử dụng mười khai thác trong một chuỗi. Tuy nhiên, không có nhiều hơn ba khai thác được sử dụng: nếu một trong những khai thác đầu tiên không thành công, chúng sẽ thử đến khai thác thứ 3. Nếu cả ba khai thác thất bại, chúng không lây nhiễm hệ thống”, các chuyên gia Kaspersky Lab nói...

Để tìm hiểu thêm về hoạt động của Equation Group, bạn đọc có thể xem các bài viết có sẵn trên blog tại Securelist.com.

(GN)