Tin tặc sử dụng khóa vạn năng tấn công các nhà cung cấp chip

Thanh Tùng 10:32, 14/08/2020

Tin tặc đã thực hiện chiến dịch tấn công mang tên Chimera tập trung vào việc đánh cắp tài sản trí tuệ có giá trị và các thiết kế chip.

Theo CNN, hoạt động sản xuất các loại chip tiên tiến là rất hiếm và được thực hiện chuyên biệt hóa, bởi nó đòi hỏi chi phí cực kỳ tốn kém để có thể duy trì cạnh tranh ở mức cao nhất. Các loại chip tiên tiến là những loại chip có thể lưu trữ và xử lý nhiều thông tin hơn. Trên thế giới hiện chỉ có ba công ty có thể sản xuất các loại chip tiên tiến nhất là công ty Đài Loan TSMC, Tập đoàn Intel và tập đoàn Samsung của Hàn Quốc.

Sau khi Intel thông báo đang có ý định ngừng sản xuất chip hoàn toàn, thế giới đang dần phụ thuộc vào TSMC, bởi Samsung dù cũng đang sản xuất chip 7 nanomet nhưng lại có quy mô nhỏ hơn nhiều so với đối thủ Đài Loan.

Tin tặc đang sử dụng khóa vạn năng tấn công các nhà cung cấp chip - Ảnh 1.

TSMC có trụ sở chính tại Công viên Khoa học Tân Trúc, Đài Loan và có các văn phòng và dịch vụ kỹ thuật tại Trung Quốc, Châu Âu, Ấn Độ, Nhật Bản, Bắc Mỹ và Hàn Quốc.

Ngành công nghệ này cũng là mục tiêu hàng đầu của các nhóm tấn công APT, do các sở hữu trí tuệ thường sinh lợi và có giá trị cao.

Tại Diễn đàn Black Hat Mỹ tuần qua, các nhà nghiên cứu Công nghệ CyCraft Chung-Kuan Chen và Inndy Lin đã mô tả một loạt các cuộc tấn công được cho là do cùng một nhóm APT thực hiện nhằm tìm kiếm các thiết kế chip, mã nguồn, các bộ phát triển phần mềm (SDK) và thông tin độc quyền khác.

Các nhà nghiên cứu cho biết: "Nếu những tài liệu như vậy bị đánh cắp thành công, tác động có thể rất nghiêm trọng. Động cơ đằng sau các cuộc tấn công này có thể bắt nguồn từ các đối thủ cạnh tranh hoặc thậm chí các quốc gia đang tìm cách giành lợi thế cạnh tranh trước các đối thủ".

Theo nhóm nghiên cứu, các cuộc tấn công đã được phát động nhắm đến nhiều nhà cung cấp chip đặt tại Công viên Khoa học Tân Trúc ở Đài Loan. Cho đến nay, người ta cho rằng ít nhất 7 nhà cung cấp - cũng như các công ty con của của 7 nhà cung cấp - đã bị tấn công bởi cùng một nhóm APT.

Cách thức thực hiện tấn công

Được đặt tên là chiến dịch Chimera, hay còn gọi là Skeleton, nhóm APT này đã phát động một loạt cuộc tấn công trong suốt năm 2018 và 2019 với nhiều công cụ khác nhau, bao gồm Cobalt Strike - một công cụ kiểm tra thâm nhập hợp pháp mà các tác nhân đe dọa được biết là lạm dụng - và một khóa vạn năng tùy chỉnh bắt nguồn từ mã được tách từ cả Dumpert và Mimikatz.

Trong hai nghiên cứu điển hình được mô tả trong bài báo của CyCraft, một loạt các thiết bị đầu cuối và các tài khoản người dùng đã bị xâm nhập vào thời điểm phát hiện nhiễm phần mềm độc hại.

Quyền truy cập ban đầu đến từ một ID công ty hợp lệ - có khả năng bị đánh cắp trong một vụ xâm phạm dữ liệu riêng biệt - và kết nối mạng riêng ảo (VPN) trong trường hợp đầu tiên.

Các nhà nghiên cứu cho biết thêm: "Nhiều doanh nghiệp thường bỏ qua phương thức tấn công này, mặc định tin tưởng các kết nối VPN và Chimera là một trong những mối đe dọa mà chúng tôi thấy đã lạm dụng chính sách VPN".

Trong giai đoạn sau của chuỗi tấn công, một giao thức máy tính để bàn từ xa (remote desktop protocol - RDP) đã được sử dụng để truy cập vào các máy chủ của công ty.

Trong cuộc tấn công Chimera lần thứ hai, các bất thường đã được phát hiện trong quá trình nâng cấp mạng, trong đó phần mềm độc hại được đưa trực tiếp vào bộ nhớ hệ thống, được thực hiện thông qua các tập lệnh PowerShell được mã hóa.

Sau khi được tải lên một mạng bị xâm nhập, một phiên bản điều chỉnh của Cobalt Strike sẽ giả mạo như một chức năng Google Update (GoogleUpdate.exe), trong khi thực tế thiết lập các báo hiệu cửa sau và cơ chế duy trì.

Để lấy dữ liệu từ một máy bị nhiễm, Chimera sử dụng phiên bản cũ của RAR, một chương trình lưu trữ hợp pháp, cũng đã bị giả mạo cho các mục đích xấu. Công cụ tùy chỉnh này, được gọi là ChimeRAR, lưu trữ dữ liệu được thu thập từ mạng và chuyển nó đến máy chủ chỉ huy và kiểm soát (Comand-and-control - C2) được kiểm soát bởi những kẻ tấn công mạng.

Để che giấu thêm hoạt động của mình, nhóm đe dọa cũng lưu trữ nhiều C2 trong nền tảng Google Cloud và thông qua Microsoft Azure, cũng như thông qua các dịch vụ đám mây công cộng khác.

Tin tặc đang sử dụng khóa vạn năng tấn công các nhà cung cấp chip - Ảnh 2.

Chìa khóa vạn năng, tuy nhiên, có lẽ là vũ khí đáng chú ý nhất trong kho vũ khí của Chimera. Đơn vị Chống Đe dọa của Dell Secureworks lần đầu tiên ghi nhận việc sử dụng khóa vạn năng có thể vượt qua kiểm tra xác thực trên các máy chủ Active Directory (AD) vào năm 2015, cho phép tội phạm mạng truy cập không bị kiểm soát vào các dịch vụ truy cập từ xa.

Công cụ của Chimera, có tên "SkeletonKeyInjector", được thiết kế để cấy vào các máy chủ AD và bộ điều khiển miền (DC), cho phép những kẻ tấn công mạng di chuyển theo chiều ngang qua mạng và thực hiện các cuộc gọi hệ thống trực tiếp, do đó phá vỡ phần mềm bảo mật hiện có.

Các đoạn mã lấy từ Mimikatz và Dumpert cung cấp cho phần mềm độc hại khả năng vượt qua giám sát API, một cơ chế bảo vệ phổ biến được sử dụng bởi các giải pháp chống virus và bảo vệ điểm cuối hiện nay.

Các nhà nghiên cứu cho biết: "Phần mềm độc hại này đã thay đổi chương trình xác thực trình quản lý mạng LAN công nghệ mới (New Technology LAN Manager - NTLM) và cấy một khóa vạn năng để cho phép những kẻ tấn công đăng nhập mà không cần các thông tin xác thực hợp lệ. Một khi mã trong bộ nhớ bị thay đổi, những kẻ tấn công vẫn có thể truy cập vào các máy bị xâm nhập ngay cả sau khi đặt lại các mật khẩu."

Nhóm nghiên cứu cho biết thêm rằng vì các máy AD hiếm khi phải khởi động lại, điều này có nghĩa là các khóa vạn năng có thể không bị phát hiện trong thời gian dài và tạo điều kiện thuận lợi cho tin tặc hoạt động trên mạng mà không bị phát hiện.

CyCraft cho biết: "Dựa trên dữ liệu bị đánh cắp, chúng tôi suy luận rằng mục tiêu của tác nhân đe dọa là thu thập bí mật thương mại của công ty. Động cơ có thể liên quan đến cạnh tranh kinh doanh hoặc chiến lược ngành của một quốc gia".

Tác động của Covid-19 đối với lĩnh vực chip

Đầu năm nay, các nhà phân tích của Gartner dự báo chi tiêu cho CNTT trên toàn thế giới sẽ đạt 3,9 nghìn tỷ USD vào năm 2020, nhưng do sự bùng phát của virus corona, nền kinh tế toàn cầu, chuỗi cung ứng và cả nhu cầu của doanh nghiệp, người tiêu dùng đối với các sản phẩm công nghệ đã bị ảnh hưởng.

Tin tặc đang sử dụng khóa vạn năng tấn công các nhà cung cấp chip - Ảnh 3.

Thị trường chip cũng không ngoại lệ. Trong quý II năm 2020, Gartner đã phải công bố các số liệu sửa đổi và dự báo ngành công nghiệp chip toàn cầu trong năm nay từ dự báo trước đó là tăng trưởng 12,5% giảm 0,9%, một mức thay đổi đáng chú ý. Doanh thu tổng thể cũng đã giảm 55 tỷ USD xuống còn 415,4 tỷ USD vào năm 2020.

Richard Gordon, Phó chủ tịch nghiên cứu tại Gartner cho biết: "Sự lan rộng của Covid-19 trên toàn thế giới và các hành động mạnh mẽ của các chính phủ để ngăn chặn sự lây lan sẽ có tác động lớn đến nhu cầu so với dự báo ban đầu".

Thanh Tùng (T/h)