Hard
drive-wiping malware that hit South Korea tied to military espionage
Cuộc
tấn công “Dark Seoul” từng trút cơn tàn phá là một
phần của chiến dịch gián điệp vận hành từ năm 2009.
"Dark
Seoul" attack that wreaked havoc is part of spy campaign
operating since 2009.
by Dan Goodin - July 9
2013, 4:15am ICT
Bài được đưa lên
Internet ngày: 09/07/2013
Lời
người dịch: Phần mềm độc hại xóa sạch ổ cứng
từng đánh vào các ngân hàng
và đài phát thanh của Hàn Quốc vào tháng 03/2013 được
cho là một mối đe dọa thường trực cao cấp - APT, được
chuẩn bị từ năm 2009 và có
mục đích gián điệp trong các cơ quan quân đội và chính
phủ của cả Mỹ và Hàn Quốc. Chính vì có sự chuẩn bị
lâu như vậy, nên vào tháng
03/2013, cùng một lúc nó
đã tàn phá hàng chục ngàn máy tính của Hàn Quốc.
Xem thêm: Phần
mềm độc hại xóa sạch ổ cứng là một phần của làn
sóng mới các mối đe dọa nhằm vào Hàn Quốc.
Các tin tặc có trách
nhiệm về một cuộc
tấn công phần mềm độc hại vào tháng 3 mà cùng
một lúc xóa sạch các dữ liệu từ hàng chục ngàn máy
tính ở Hàn Quốc thuộc về cùng một nhóm gián điệp
mà đã ngắm vào các bí mật quân sự của quân đội Hàn
Quốc và Mỹ từ 4 năm nay, các nhà nghiên cứu nói.
Kết luận, được
nêu trong một tài
liệu nghiên cứu được xuất bản gần đây từ hãng
an ninh McAfee, là đáng ngạc nhiên. Hầu hết các nhóm đứng
đằng sau các chiến dịch gián điệp dựa vào mạng rất
chú ý giữ ẩn mình để đảm bảo cho mối đe dọa
thường trực cao cấp (APT) của họ có khả năng sục
được càng nhiều dữ liệu nhạy cảm càng tốt. Cuộc
tấn công “Dark Seoul”, ngược lại, đã lôi cuốn sự
chú ý khổng lồ vì sức nổ được phối hợp của nó.
Nó đánh vào các mạng truyền thông và chính phủ tại
Hàn Quốc chính xác vào 2 giờ chiều theo giờ địa phương
hôm 20/03, gây ảnh hưởng tới cả các ứng dụng Internet
và ngân hàng di động, trong khi làm cho các máy thu ngân tự
động ngắt khỏi trực tuyến. Cho tới bây giờ, các nhà
nghiên cứu đã đồ rằng nhóm còn chưa rõ danh tính đứng
đằng sau cuộc tấn công ban đầu có động lực với mục
tiêu gây ra sự phá hoại.
Trên thực tế, Dark
Seoul chỉ là một thành phần của “Chiến dịch Troy”,
một chiến dịch gián điệp dài hạn nhằm vào các tổ
chức quân đội từ ít nhất năm 2009. Hoạt động giấu
giếm có cái tên của nó từ các tham chiếu tới thành
phố cổ đã tìm thấy các phần mềm độc hại được
các kẻ tấn công phát triển. Phần mềm độc hại đó
đã làm cho sử dụng một mạng kiểm soát tinh vi phức
tạp để mang thông tin qua Web và các kết nối chat từng
được đảm bảo an ninh bằng mã hóa mạnh. Các công cụ
truy cập ở xa được cài đặt lên các máy tính đích bị
tổn thương đã tìm có phương pháp các khoản quân sự
và tải về chỉ các tài liệu mà được cho là quan
trọng. Phần mềm độc hại đó ban đầu đã được giữ
sau khi những kẻ tấn công cài cắm được một khai thác
“ngày số 0” trước đó còn chưa được ghi thành tài
liệu trong một site kết nối mạng xã hội quân sự. Kỹ
thuật được biết tới như là một cuộc
tấn công dạng lỗ thoát nước, vì nó định cài cắm
các khai thác vào các site nhiều người viếng thăm mà
những kẻ tấn công hy vọng gây lây nhiễm được (tương
tự như người đi săn nhằm vào con mồi của nó khi con
mồi uống nước).
“Phòng thí nghiệm
của McAfee có thể kết nối Dark Seoul và các cuộc tấn
công khác vào chính phủ tới một chiến dịch bí mật,
dài lâu mà hé lộ ý định thật của các kẻ địch của
Dark Seoul: ý định gián điệp và phá hủy các hoạt động
quân đội và chính phủ Hàn Quốc”, các nhà nghiên cứu
của McAfee Ryan Sherstobitoff, Itai Liba, và James Walte đã
viết. “Những kẻ tấn công đã có ý định từ 2009 để
cài đặt khả năng phá hủy các mục tiêu của chúng bằng
việc sử dụng thành phần xóa sạch MBR, như được thấy
trong vụ Dark Seoul. Từ phân tích của chúng tôi, chúng tôi
đã thiết lập rằng Chiến dịch Troy đã có một trọng
tâm từ đầu để thu thập tình báo trong các mục tiêu
quân sự của Hàn Quốc. Chúng tôi cũng đã liên kết các
chiến dịch công khai cao cấp khác được tiến hành qua
các năm chống lại Hàn Quốc với Chiến dịch Troy, gợi
ý rằng một nhóm duy nhất có trách nhiệm”.
Trong số các dấu
hiệu được kể lại thì 2 cuộc tấn công có liên quan
là mã được Dark Seoul sử dụng để phá hủy MBR
của các máy bị lây nhiễm. Khả năng đó cũng nằm sẵn
trong trojan truy cập ở xa được sử dụng trong các chiến
dịch như Chiến dịch Troy để xóa sạch dữ liệu khỏi
các máy bị tổn thương chỉ ra chúng đang trong quá trình
đang được tẩy uế. Bằng việc vô hiệu hóa vĩnh viễn
các máy tính, những kẻ tấn công có cơ hội cao hơn
nhiều để ẩn dấu chiến dịch của chúng khỏi kẻ
địch. Việc phần mềm độc hại xóa sạch được sử
dụng trong cả 2 chiến dịch đã không y hệt nhau, mà báo
cáo của McAfee đã nó có đủ sự tương tự mà các ví
dụ khác nhau đã sinh ra từ chỉ một nhóm.
Cũng
đáng kể, phần mềm độc hại xóa sạch được sử dụng
trong Dark Seoul đã được biên dịch chỉ vài giờ trước
khi nó được thực thi trong hàng chục ngàn máy thuộc về
các cơ quan chính phủ Hàn Quốc và các cơ quan truyền
thông. Thời điểm gợi ý các máy tính bị ngắm đích
từng bị lây nhiễm hàng ngày, hàng tuần, hoặc thậm chí
hàng tháng trước đó, vì có vẻ không nhiều máy tính có
thể bị lây nhiễm và bị phá hủy trong một khoảng thời
gian ngắn như vậy được.
Các khoản mà phần
mềm độc hại của Chiến dịch Troy đã tìm bao gồm
“chiến thuật”, “lữ đoàn”, “hậu cần”, và
“Chiến dịch Khóa Giải quyết”, theo
BBC. Cụm từ cuối tham chiếu tới một cuộc diễn tập
quân sự có liên quan tới các lực lượng Mỹ và Hàn
Quốc mà được triển khai mỗi năm. Báo cáo không xác
định nhóm có trách nhiệm về Chiến dịch Troy hoặc các
mạng cụ thể nào của chính phủ Hàn Quốc đã bị lây
nhiễm.
Còn chưa rõ vì sao
phần mềm độc hại xóa sạch Dark Seoul đã được tung
ra. Các dữ liệu biên dịch gợi ý nó từng được thực
hiện có chủ đích hơn là ngẫu nhiên. Sự kích hoạt của
một tải trọng phá hủy như vậy đã gây ra nhiều cuộc
điều tra của McAfee mà cuối cùng đã dẫn tới báo cáo
mới về Chiến dịch Troy. Nếu nhóm
đứng đằng sau chiến dịch đó từng hy vọng bao trùm
các rãnh của nó, thì quả mìn mà nó thiết lập để phá
hủy hàng chục ngàn máy tính trong trạng thái đồng âm
chỉ có thể mang tới sự chú ý cho một chiến dịch gián
điệp mà trước đó phần lớn đã bị bỏ qua.
The
hackers responsible for a malware
attack in March that simultaneously
wiped data from tens of thousands of South Korean computers
belong to the same espionage group that has targeted South Korean and
US military secrets for four years, researchers said.
The
conclusion, reported in a recently
published research paper from security firm McAfee, is
surprising. Most groups behind network-based espionage campaigns take
pains to remain hidden to ensure their advanced persistent threat
(APT) is able to siphon as much sensitive data as possible. The "Dark
Seoul" attack, by contrast, has attracted huge amounts of
attention because of its coordinated detonation. It struck government
and media networks in South Korea precisely at 2pm local time on
March 20, affecting both Internet and mobile banking applications,
while taking automatic teller machines offline. Until now,
researchers speculated the unknown group behind the attack was
primarily motivated by a goal of causing disruptions.
In
fact, Dark Seoul was just one component of "Operation Troy,"
a long-term spying campaign targeting military organizations that
dates back to at least 2009. The covert operation gets its name from
references to the ancient city found in malware developed by the
attackers. The malware made use of a sophisticated control network to
carry information over Web and Internet relay chat connections that
were secured with strong encryption. Remote access tools installed on
compromised target machines methodically searched for military terms
and downloaded only documents that were deemed important. The malware
initially took hold after the attackers planted a previously
undocumented "zero-day" exploit on a military social
networking site. The technique is known as a watering-hole-style
attack, because it attempts to plant drive-by exploits into sites
frequented by the people the attackers hope to infect (similar to a
hunter targeting its prey as it drinks water).
"McAfee
Labs can connect the Dark Seoul and other government attacks to a
secret, long-term campaign that reveals the true intention of the
Dark Seoul adversaries: attempting to spy on and disrupt South
Korea’s military and government activities," McAfee
researchers Ryan Sherstobitoff, Itai Liba, and James Walte wrote.
"The attackers have attempted since 2009 to install the
capability to destroy their targets using an MBR wiper component, as
seen in the Dark Seoul incident. From our analysis we have
established that Operation Troy had a focus from the beginning to
gather intelligence on South Korean military targets. We have also
linked other high-profile public campaigns conducted over the years
against South Korea to Operation Troy, suggesting that a single group
is responsible."
Among
the tell-tale signs that the two attacks are related is the code used
by Dark Seoul to destroy the master
boot record (MBR) of infected machines. That capability also
resides in the remote access trojan used in Operation Troy campaigns
to wipe data from compromised machines that show they're in the
process of being disinfected. By permanently disabling the machines,
the attackers stand a much higher chance of hiding their campaign
from adversaries. The wiping malware used in the two campaigns
weren't identical, but the McAfee report said there were enough
similarities that the different samples had to be spawned by the same
group.
Also
significant, the wiper malware used in Dark Seoul was compiled just
hours before it was executed on tens of thousands of machines
belonging to South Korean government agencies and media outlets. The
timing suggests the targeted computers had been infected days, weeks,
or even months in advance, since it's unlikely so many computers
could be infected and destroyed in such a short period.
The
terms Operation Troy malware searched for included "tactics,"
"brigade," "logistics," and "Operation Key
Resolve," according
to the BBC. The last phrase refers to a military exercise
involving US and South Korean forces that is carried out every year.
The report doesn't identify the group responsible for Operation Troy
or the specific South Korean government networks that were infected.
It
remains unclear why the wiping Dark Seoul malware was unleashed. The
compilation data suggests it was done intentionally rather than by
accident. The activation of such a destructive payload touched off
the McAfee investigation that ultimately led to the new report about
Operation Troy. If the group behind the campaign was hoping to cover
its tracks, the clamor it set off by destroying tens of thousands of
machines in unison may only have brought attention to a spying
operation that previously was largely overlooked.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.