Tin tặc Lazarus của Triều Tiên phát triển khung phần mềm độc hại đa nền tảng

Nhóm tin tặc khét tiếng của Triều Tiên đã phát triển một khung phần mềm độc hại đa nền tảng mới để tấn công vào các doanh nghiệp tại châu Á và châu Âu trong thời gian gần đây.

Mới đây, các nhà nghiên cứu của Kaspersky đã phát hiện hàng loạt cuộc tấn công sử dụng một loại framework (chương trình khung) độc hại, được gọi là MATA, nhắm vào các hệ điều hành Windows, Linux và macOS.

“Nhóm tin tặc Lazarus được biết đến với cuộc tấn công nổi tiếng vào Sony Pictures năm 2014, đã tạo ra một 'khung phần mềm độc hại tiên tiến' có thể khởi chạy và quản lý các cuộc tấn công vào hệ thống Windows, MacOS và Linux. Ít nhất đã có hàng chục tổ chức, doanh nghiệp đã bị tấn công gần đây”. Đó là tuyên bố của nhóm phân tích và nghiên cứu toàn cầu (GReAT) thuộc công ty an ninh mạng Kaspersky Lab vào ngày 22/7.

Mục tiêu tấn công của nhóm Lazarus thường là kinh tế tài chính. Ngoài ra, tin tặc Triều Tiên cũng quan tâm đến các mục tiêu có dữ liệu về hàng không vũ trụ, ngành công nghiệp sản xuất các thiết bị công nghệ.

Theo đó, chiến dịch của MATA được cho là bắt đầu từ đầu tháng 4/2018, với các nạn nhân bị tấn công chủ yếu ở Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ. Điều này cho thấy Lazarus không tập trung vào một khu vực cụ thể. Nhóm tội phạm mạng nhắm vào các doanh nghiệp lớn thuộc nhiều lĩnh vực, trong đó các công ty phát triển phần mềm, thương mại điện tử và các nhà cung cấp dịch vụ Internet.

“Thực tế việc Lazarus tạo ra khung duy nhất để xử lý các vụ xâm nhập trên các hệ điều hành máy tính cho thấy họ đã đầu tư một lượng tài nguyên đáng kể vào bộ công cụ này”, Yury Namestnikov, chuyên gia bảo mật tại Kaspersky cho biết.

Trong báo cáo của Kaspersky cung cấp cái nhìn toàn diện về khung MATA, đồng thời cũng được xây dựng dựa trên các bằng chứng trước đây được thu thập bởi các nhà nghiên cứu từ Netlab 360, Jamf và Malwarebytes trong 8 tháng qua.

Tháng 12/2019, Netlab 360 đã phát hiện một Trojan truy cập từ xa (RAT) được gọi là Dacls nhắm mục tiêu vào cả hai nền tảng Windows và Linux mà được chia sẻ cơ sở hạ tầng chính với hạ tầng do nhóm Lazarus vận hành.

Sau đó, vào tháng 5, Jamf và Malwarebytes đã phát hiện ra một biến thể macOS của RAT Dacls được phát tán thông qua một ứng dụng xác thực hai yếu tố (2FA) bị nhiễm trojan.

Theo Kaspersky, framework đa nền tảng mới bao gồm nhiều thành phần như: trình tải, bộ điều phối (quản lý và điều phối các quy trình khi thiết bị bị nhiễm) và các trình cắm.

Các quốc gia bị nhóm Lazarus tấn công gồm Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ

Trong bản phát triển mới nhất, phiên bản Windows của MATA có một trình tải được sử dụng để tải một tải trọng được mã hóa - một modul điều phối ("lsass.exe") có khả năng tải cùng lúc 15 plugin bổ sung và thực thi chúng trong bộ nhớ. Bản thân các plugin chính là các tính năng cho phép mã độc điều khiển các tập tin và quy trình hệ thống, tiêm DLL (một kỹ thuật được sử dụng để chạy mã code trong không gian địa chỉ của một tiến trình khác thông qua cách ép nó tải một thư viện liên kết động) và tạo máy chủ proxy HTTP.

Các plugin MATA cũng cho phép tin tặc nhắm mục tiêu vào các thiết bị mạng như bộ định tuyến, tường lửa hoặc các thiết bị IoT cũng như các hệ thống macOS bằng cách giả mạo một ứng dụng 2FA có tên TinkaOTP mà dựa trên ứng dụng xác thực hai yếu tố nguồn mở MinaOTP.

Một khi các plugin được triển khai, tin tặc sẽ cố gắng xác định vị trí cơ sở dữ liệu của công ty bị xâm nhập và thực hiện một số truy vấn cơ sở dữ liệu để có được thông tin chi tiết về khách hàng. Ngoài ra, các nhà nghiên cứu của Kaspersky cho biết MATA đã được sử dụng để phân phối ransomware VHD tới một nạn nhân ẩn danh.

"Loạt tấn công này cho thấy Lazarus sẵn sàng đầu tư nhiều nguồn lực để phát triển bộ công cụ mới và mở rộng phạm vi tấn công, tập trung vào khai thác tiền và cả dữ liệu", Kaspersky cho biết.

Kaspersky khuyến cáo để tránh trở thành nạn nhân của phần mềm độc hại đa nền tảng, doanh nghiệp nên thực hiện các biện pháp sau:

- Cài đặt chương trình an ninh mạng chuyên dụng trên tất cả các điểm cuối (endpoint) của Windows, Linux và MacOS, ví dụ Kaspersky Endpoint Security for Business. Điều này sẽ giúp bảo vệ hệ thống khỏi những mối đe dọa hiện tại và mới, đồng thời cung cấp một số bước kiểm soát an ninh mạng trên mỗi hệ điều hành khác nhau.

- Cung cấp cho Trung tâm điều hành an ninh mạng (SOC) quyền truy cập vào dịch vụ thông tin tình báo mới nhất để họ cập nhật mọi công cụ, kỹ thuật, chiến thuật mới và mới nổi đang được tin tặc sử dụng.

- Thường xuyên cập nhật bản sao lưu dự phòng dữ liệu doanh nghiệp để có thể khôi phục khẩn cấp trong trường hợp dữ liệu bị mất hoặc bị khóa do ransomware.

Trước đấy, năm 2007, Lazarus đã phát động các cuộc tấn công vào các tổ chức tài chính của Ấn Độ, Mexico, Pakistan, Philippines, Hàn Quốc, Đài Loan, Thổ Nhĩ Kỳ, Chile và Việt Nam để mã hóa các dữ liệu, sau đó đòi tiền chuộc.

Vụ tấn công nổi tiếng của Lazarus là xâm nhập vào hệ thống máy chủ hãng Sony Pictures (Mỹ) vào tháng 11.2014. Tin tặc đã đánh cắp, sao chép các bộ phim chưa được phát hành, các kịch bản cùng nhiều dữ liệu bí mật gây tổn thất lớn cho hãng phim này.

Năm 2017, Lazarus đã phát động một cuộc tấn công có tên WannaCry (tạm dịch là "Muốn khóc"), còn được gọi là WannaDecryptor 2.0. Tin tặc dùng phần mềm mang mã độc tống tiền tự lan truyền trên các máy tính sử dụng hệ điều hành Windows.

Cuộc tấn công này khiến cho 230.000 máy tính ở 150 quốc gia bị lây nhiễm, các dữ liệu bị mã hóa. Để lấy lại dữ liệu, nạn nhân phải trả cho tin tặc một số tiền rất lớn. Ước tính WannaCry đã gây thiệt hại hàng trăm triệu đô la trên toàn thế giới.

Gần đây nhất, Lazarus đã tổ chức các đợt tấn công đánh cắp thông tin thẻ tín dụng, dữ liệu cá nhân của người trên các trang thương mại điện tử lớn của thế giới.

Thanh Tùng (T/h)