Hé lộ mạng lưới gián điệp "Operation Red October"
16:35, 17/01/2013
Một chiến dịch gián điệp ảo khó nắm bắt nhằm vào mục tiêu ngoại giao, cơ quan chính phủ và các tổ chức nghiên cứu khoa học ở một số nước trong ít nhất 5 năm qua vừa được công bố.
Chiến dịch này nhắm vào các quốc gia ở Đông Âu, các nước cộng hòa Liên Xô cũ và các nước ở Trung Á, mặc dù nạn nhân có thể ở bất cứ đâu, bao gồm cả Tây Âu và Bắc Mỹ. Mục tiêu chính của những kẻ tấn công là thu thập các tài liệu nhạy cảm từ các tổ chức bị xâm nhập, trong đó bao gồm tình báo địa chính trị, các thông tin bảo mật để truy cập vào hệ thống máy tính phân loại, và dữ liệu từ các thiết bị di động cá nhân và thiết bị mạng.
Theo báo cáo phân tích của Kaspersky Lab, chiến dịch có tên gọi Operation Red October, gọi tắt là “ROCRA” vẫn còn hoạt động đến tháng Giêng năm 2013, là chiến dịch kéo dài từ năm 2007.
Mạng lưới gián điệp mạng nâng cao
Những kẻ tấn công đã hoạt động ít nhất là từ năm 2007, tập trung vào các cơ quan ngoại giao và chính phủ của các quốc gia khác nhau trên toàn thế giới, bên cạnh các tổ chức nghiên cứu, nhóm năng lượng hạt nhân và mục tiêu thương mại cũng như hàng không vũ trụ.
Các kẻ tấn công của Red October thiết kế phần mềm độc hại của riêng chúng, được xác định là "Rocra", có kiến trúc mô-đun độc đáo riêng bao gồm các phần mở rộng độc hại các đoạn mã đánh cắp thông tin cũng như các chương trình mã độc chạy ẩn.
Những kẻ tấn công thường sử dụng các thông tin từ các mạng bị nhiễm để xâm nhập vào các hệ thống bổ sung. Ví dụ, các thông tin bảo mật bị đánh cắp được biên soạn trong một danh sách và được sử dụng khi những kẻ tấn công cần đoán mật khẩu hay các cụm từ để đạt được quyền truy cập vào hệ thống bổ sung.
Để kiểm soát mạng lưới các máy tính bị nhiễm, những kẻ tấn công đã tạo ra hơn 60 tên miền và một số máy chủ lưu trữ ở các quốc gia khác nhau, chủ yếu là ở Đức và Nga. Theo phân tích của Kaspersky Lab về cơ sở hạ tầng của Rocra’s Command & Control (C2) cho thấy rằng chuỗi các máy chủ đã được thay đổi thông tin xác thực nhằm giấu vị trí của trung tâm đầu não.
Thông tin bị đánh cắp từ các hệ thống bị nhiễm bao gồm các tài liệu có phần mở rộng: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Đặc biệt, các tập tin “acid*” mở rộng xuất hiện để chỉ phần mềm phân loại “Acid Cryptofiler”, được sử dụng bởi một số các thực thể, từ Liên minh châu Âu của NATO.
Để lây nhiễm hệ thống, những kẻ tấn công gửi một email lừa đảo đến nạn nhân và đính kèm phần mềm độc hại (Trojan Dropper). Để cài đặt các phần mềm độc hại và lây nhiễm sang hệ thống, các email độc hại bao gồm nhiều lỗ hổng đã được dựng lên nhằm vào các lỗ hổng bảo mật bên trong Microsoft Office và Microsoft Excel.
Các lỗ hổng có trong các email lừa đảo được tạo ra bởi những kẻ tấn công khác và sử dụng trong các cuộc tấn công mạng khác nhau bao gồm cả các nhà hoạt động tại Tây Tạng cũng như các mục tiêu khu vực quân sự và năng lượng ở châu Á. Điều duy nhất được thay đổi trong các tài liệu được sử dụng bởi Rocra là tập tin thực thi được gài vào, nơi mà những kẻ tấn công thay thế nó bằng mã riêng của chúng. Đáng lưu ý, một trong những lệnh của Trojan Dropper đã thay đổi hệ thống mặc định mã của lệnh nhắc phiên thành 1251, rất cần thiết để đưa ra phông chữ Cyrillic.
Mạng gián điệp có kiến trúc và chức năng độc đáo
Mô-đun phục hồi: Một mô-đun duy nhất cho phép kẻ tấn công khôi phục lại máy tính bị nhiễm. Mô-đun này được chèn vào như một phần hỗ trợ giúp kết nối hệ thống được thiết lập trong việc cài đặt Adobe Reader và Microsoft Office và cung cấp cho những kẻ tấn công một cách rõ ràng để lấy lại quyền truy cập vào một mục tiêu hệ thống nếu phần chính của phần mềm độc hại được phát hiện và loại bỏ, hoặc nếu hệ thống được vá lỗi. Một khi các C2s hoạt động trở lại, những kẻ tấn công gửi một tập tin tài liệu chuyên ngành (PDF hoặc tài liệu Office) cho các máy tính của nạn nhân qua e-mail và sẽ kích hoạt các phần mềm độc hại một lần nữa.
Tổ hợp gián điệp mã hóa cao cấp: Mục đích chính của các mô-đun gián điệp là ăn cắp thông tin. Tổ hợp này bao gồm các tập tin từ hệ thống mật mã khác nhau, chẳng hạn như Acid Cryptofiler, được biết là sẽ được sử dụng trong các tổ chức của NATO, Liên minh châu Âu, Nghị viện châu Âu và Ủy ban châu Âu kể từ mùa hè năm 2011 để bảo vệ các thông tin nhạy cảm.
Thiết bị điện thoại di động: Ngoài nhắm mục tiêu đến các máy truyền thống, phần mềm độc hại có khả năng đánh cắp dữ liệu từ các thiết bị di động, chẳng hạn như các loại smartphone (iPhone, Nokia và Windows Mobile). Phần mềm độc hại cũng có khả năng ăn cắp thông tin cấu hình từ các thiết bị mạng doanh nghiệp chẳng hạn như các thiết bị định tuyến và chuyển mạch, cũng như các tập tin đã bị xóa từ ổ đĩa di động.
Xác định và tiêu diệt
Dựa trên các dữ liệu đăng ký máy chủ C2 và rất nhiều các dấu vết còn lại trong các tập tin thực thi của phần mềm độc hại, có bằng chứng kỹ thuật rõ ràng cho thấy những kẻ tấn công có nguồn gốc là người nói tiếng Nga. Ngoài ra, các tập tin thực thi được sử dụng bởi những kẻ tấn công chưa được biết cho đến gần đây, và không được xác định bởi các chuyên gia của Kaspersky Lab trong khi phân tích các cuộc tấn công gián điệp mạng trước.
Kaspersky Lab đang tiếp tục điều tra về Rocra bằng cách cung cấp các nguồn lực về các thủ tục khắc phục và giảm thiểu thiệt hại và chuyên môn kỹ thuật của mình để hợp tác với các tổ chức quốc tế, các cơ quan thực thi pháp luật và trung tâm ứng cứu khẩn cấp máy tính (CERTs). Kaspersky Lab muốn gửi lời cảm ơn đến: US-CERT, Romanian CERT và Belarusian CERT cho sự hỗ trợ của các cơ quan này trong việc điều tra.
Phần mềm độc hại Rocra bị phát hiện, tiêu diệt và khắc phục thành công bởi các sản phẩm của Kaspersky Lab và được phân loại là Backdoor.Win32.Sputnik.
Wendy Nguyễn