Thứ Ba, 9 tháng 7, 2013

Phần mềm độc hại xóa sạch ổ cứng đánh vào Hàn Quốc có liên quan tới gián điệp quân sự


Hard drive-wiping malware that hit South Korea tied to military espionage
Cuộc tấn công “Dark Seoul” từng trút cơn tàn phá là một phần của chiến dịch gián điệp vận hành từ năm 2009.
"Dark Seoul" attack that wreaked havoc is part of spy campaign operating since 2009.
by Dan Goodin - July 9 2013, 4:15am ICT
Bài được đưa lên Internet ngày: 09/07/2013
Lời người dịch: Phần mềm độc hại xóa sạch ổ cứng từng đánh vào các ngân hàng và đài phát thanh của Hàn Quốc vào tháng 03/2013 được cho là một mối đe dọa thường trực cao cấp - APT, được chuẩn bị từ năm 2009 và có mục đích gián điệp trong các cơ quan quân đội và chính phủ của cả Mỹ và Hàn Quốc. Chính vì có sự chuẩn bị lâu như vậy, nên vào tháng 03/2013, cùng một lúc nó đã tàn phá hàng chục ngàn máy tính của Hàn Quốc. Xem thêm: Phần mềm độc hại xóa sạch ổ cứng là một phần của làn sóng mới các mối đe dọa nhằm vào Hàn Quốc.
Các tin tặc có trách nhiệm về một cuộc tấn công phần mềm độc hại vào tháng 3cùng một lúc xóa sạch các dữ liệu từ hàng chục ngàn máy tính ở Hàn Quốc thuộc về cùng một nhóm gián điệp mà đã ngắm vào các bí mật quân sự của quân đội Hàn Quốc và Mỹ từ 4 năm nay, các nhà nghiên cứu nói.
Kết luận, được nêu trong một tài liệu nghiên cứu được xuất bản gần đây từ hãng an ninh McAfee, là đáng ngạc nhiên. Hầu hết các nhóm đứng đằng sau các chiến dịch gián điệp dựa vào mạng rất chú ý giữ ẩn mình để đảm bảo cho mối đe dọa thường trực cao cấp (APT) của họ có khả năng sục được càng nhiều dữ liệu nhạy cảm càng tốt. Cuộc tấn công “Dark Seoul”, ngược lại, đã lôi cuốn sự chú ý khổng lồ vì sức nổ được phối hợp của nó. Nó đánh vào các mạng truyền thông và chính phủ tại Hàn Quốc chính xác vào 2 giờ chiều theo giờ địa phương hôm 20/03, gây ảnh hưởng tới cả các ứng dụng Internet và ngân hàng di động, trong khi làm cho các máy thu ngân tự động ngắt khỏi trực tuyến. Cho tới bây giờ, các nhà nghiên cứu đã đồ rằng nhóm còn chưa rõ danh tính đứng đằng sau cuộc tấn công ban đầu có động lực với mục tiêu gây ra sự phá hoại.
Trên thực tế, Dark Seoul chỉ là một thành phần của “Chiến dịch Troy”, một chiến dịch gián điệp dài hạn nhằm vào các tổ chức quân đội từ ít nhất năm 2009. Hoạt động giấu giếm có cái tên của nó từ các tham chiếu tới thành phố cổ đã tìm thấy các phần mềm độc hại được các kẻ tấn công phát triển. Phần mềm độc hại đó đã làm cho sử dụng một mạng kiểm soát tinh vi phức tạp để mang thông tin qua Web và các kết nối chat từng được đảm bảo an ninh bằng mã hóa mạnh. Các công cụ truy cập ở xa được cài đặt lên các máy tính đích bị tổn thương đã tìm có phương pháp các khoản quân sự và tải về chỉ các tài liệu mà được cho là quan trọng. Phần mềm độc hại đó ban đầu đã được giữ sau khi những kẻ tấn công cài cắm được một khai thác “ngày số 0” trước đó còn chưa được ghi thành tài liệu trong một site kết nối mạng xã hội quân sự. Kỹ thuật được biết tới như là một cuộc tấn công dạng lỗ thoát nước, vì nó định cài cắm các khai thác vào các site nhiều người viếng thăm mà những kẻ tấn công hy vọng gây lây nhiễm được (tương tự như người đi săn nhằm vào con mồi của nó khi con mồi uống nước).
“Phòng thí nghiệm của McAfee có thể kết nối Dark Seoul và các cuộc tấn công khác vào chính phủ tới một chiến dịch bí mật, dài lâu mà hé lộ ý định thật của các kẻ địch của Dark Seoul: ý định gián điệp và phá hủy các hoạt động quân đội và chính phủ Hàn Quốc”, các nhà nghiên cứu của McAfee Ryan Sherstobitoff, Itai Liba, và James Walte đã viết. “Những kẻ tấn công đã có ý định từ 2009 để cài đặt khả năng phá hủy các mục tiêu của chúng bằng việc sử dụng thành phần xóa sạch MBR, như được thấy trong vụ Dark Seoul. Từ phân tích của chúng tôi, chúng tôi đã thiết lập rằng Chiến dịch Troy đã có một trọng tâm từ đầu để thu thập tình báo trong các mục tiêu quân sự của Hàn Quốc. Chúng tôi cũng đã liên kết các chiến dịch công khai cao cấp khác được tiến hành qua các năm chống lại Hàn Quốc với Chiến dịch Troy, gợi ý rằng một nhóm duy nhất có trách nhiệm”.
Trong số các dấu hiệu được kể lại thì 2 cuộc tấn công có liên quan là mã được Dark Seoul sử dụng để phá hủy MBR của các máy bị lây nhiễm. Khả năng đó cũng nằm sẵn trong trojan truy cập ở xa được sử dụng trong các chiến dịch như Chiến dịch Troy để xóa sạch dữ liệu khỏi các máy bị tổn thương chỉ ra chúng đang trong quá trình đang được tẩy uế. Bằng việc vô hiệu hóa vĩnh viễn các máy tính, những kẻ tấn công có cơ hội cao hơn nhiều để ẩn dấu chiến dịch của chúng khỏi kẻ địch. Việc phần mềm độc hại xóa sạch được sử dụng trong cả 2 chiến dịch đã không y hệt nhau, mà báo cáo của McAfee đã nó có đủ sự tương tự mà các ví dụ khác nhau đã sinh ra từ chỉ một nhóm.
Cũng đáng kể, phần mềm độc hại xóa sạch được sử dụng trong Dark Seoul đã được biên dịch chỉ vài giờ trước khi nó được thực thi trong hàng chục ngàn máy thuộc về các cơ quan chính phủ Hàn Quốc và các cơ quan truyền thông. Thời điểm gợi ý các máy tính bị ngắm đích từng bị lây nhiễm hàng ngày, hàng tuần, hoặc thậm chí hàng tháng trước đó, vì có vẻ không nhiều máy tính có thể bị lây nhiễm và bị phá hủy trong một khoảng thời gian ngắn như vậy được.
Các khoản mà phần mềm độc hại của Chiến dịch Troy đã tìm bao gồm “chiến thuật”, “lữ đoàn”, “hậu cần”, và “Chiến dịch Khóa Giải quyết”, theo BBC. Cụm từ cuối tham chiếu tới một cuộc diễn tập quân sự có liên quan tới các lực lượng Mỹ và Hàn Quốc mà được triển khai mỗi năm. Báo cáo không xác định nhóm có trách nhiệm về Chiến dịch Troy hoặc các mạng cụ thể nào của chính phủ Hàn Quốc đã bị lây nhiễm.
Còn chưa rõ vì sao phần mềm độc hại xóa sạch Dark Seoul đã được tung ra. Các dữ liệu biên dịch gợi ý nó từng được thực hiện có chủ đích hơn là ngẫu nhiên. Sự kích hoạt của một tải trọng phá hủy như vậy đã gây ra nhiều cuộc điều tra của McAfee mà cuối cùng đã dẫn tới báo cáo mới về Chiến dịch Troy. Nếu nhóm đứng đằng sau chiến dịch đó từng hy vọng bao trùm các rãnh của nó, thì quả mìn mà nó thiết lập để phá hủy hàng chục ngàn máy tính trong trạng thái đồng âm chỉ có thể mang tới sự chú ý cho một chiến dịch gián điệp mà trước đó phần lớn đã bị bỏ qua.
The hackers responsible for a malware attack in March that simultaneously wiped data from tens of thousands of South Korean computers belong to the same espionage group that has targeted South Korean and US military secrets for four years, researchers said.
The conclusion, reported in a recently published research paper from security firm McAfee, is surprising. Most groups behind network-based espionage campaigns take pains to remain hidden to ensure their advanced persistent threat (APT) is able to siphon as much sensitive data as possible. The "Dark Seoul" attack, by contrast, has attracted huge amounts of attention because of its coordinated detonation. It struck government and media networks in South Korea precisely at 2pm local time on March 20, affecting both Internet and mobile banking applications, while taking automatic teller machines offline. Until now, researchers speculated the unknown group behind the attack was primarily motivated by a goal of causing disruptions.
In fact, Dark Seoul was just one component of "Operation Troy," a long-term spying campaign targeting military organizations that dates back to at least 2009. The covert operation gets its name from references to the ancient city found in malware developed by the attackers. The malware made use of a sophisticated control network to carry information over Web and Internet relay chat connections that were secured with strong encryption. Remote access tools installed on compromised target machines methodically searched for military terms and downloaded only documents that were deemed important. The malware initially took hold after the attackers planted a previously undocumented "zero-day" exploit on a military social networking site. The technique is known as a watering-hole-style attack, because it attempts to plant drive-by exploits into sites frequented by the people the attackers hope to infect (similar to a hunter targeting its prey as it drinks water).
"McAfee Labs can connect the Dark Seoul and other government attacks to a secret, long-term campaign that reveals the true intention of the Dark Seoul adversaries: attempting to spy on and disrupt South Korea’s military and government activities," McAfee researchers Ryan Sherstobitoff, Itai Liba, and James Walte wrote. "The attackers have attempted since 2009 to install the capability to destroy their targets using an MBR wiper component, as seen in the Dark Seoul incident. From our analysis we have established that Operation Troy had a focus from the beginning to gather intelligence on South Korean military targets. We have also linked other high-profile public campaigns conducted over the years against South Korea to Operation Troy, suggesting that a single group is responsible."
Among the tell-tale signs that the two attacks are related is the code used by Dark Seoul to destroy the master boot record (MBR) of infected machines. That capability also resides in the remote access trojan used in Operation Troy campaigns to wipe data from compromised machines that show they're in the process of being disinfected. By permanently disabling the machines, the attackers stand a much higher chance of hiding their campaign from adversaries. The wiping malware used in the two campaigns weren't identical, but the McAfee report said there were enough similarities that the different samples had to be spawned by the same group.
Also significant, the wiper malware used in Dark Seoul was compiled just hours before it was executed on tens of thousands of machines belonging to South Korean government agencies and media outlets. The timing suggests the targeted computers had been infected days, weeks, or even months in advance, since it's unlikely so many computers could be infected and destroyed in such a short period.
The terms Operation Troy malware searched for included "tactics," "brigade," "logistics," and "Operation Key Resolve," according to the BBC. The last phrase refers to a military exercise involving US and South Korean forces that is carried out every year. The report doesn't identify the group responsible for Operation Troy or the specific South Korean government networks that were infected.
It remains unclear why the wiping Dark Seoul malware was unleashed. The compilation data suggests it was done intentionally rather than by accident. The activation of such a destructive payload touched off the McAfee investigation that ultimately led to the new report about Operation Troy. If the group behind the campaign was hoping to cover its tracks, the clamor it set off by destroying tens of thousands of machines in unison may only have brought attention to a spying operation that previously was largely overlooked.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.