NSA, GCHQ hoặc cả 2 đứng đằng sau phần mềm độc hại Regin giống Stuxnet?

NSA, GCHQ or both behind Stuxnet-like Regin malware?

Doug Drinkwater, Senior Reporter, November 24, 2014

Theo: http://www.scmagazineuk.com/nsa-gchq-or-both-behind-stuxnet-like-regin-malware/article/384888/

Bài được đưa lên Internet ngày: 24/11/2014

Lời người dịch: Các trích đoạn: “Symantec đã phát hiện một mẩu phần mềm độc hại được tùy biến - gợi nhớ lại sâu Stuxnet - sâu đã từng ăn cắp các dữ liệu từ các chính phủ, các công ty viễn thông, năng lượng và các doanh nghiệp vừa và nhỏ từ năm 2008. Và các chuyên gia nói tác nhân của mối đe dọa đó là chính phủ Mỹ hoặc Anh”. “Phần mềm độc hại đó - Symantec nói nó khác với một APT khi nó đơn giản thu thập các dữ liệu và giám sát các mục tiêu - sử dụng một tiếp cận nhiều bước trong đó mỗi bước (bước đầu tiên, nơi mà cửa hậu được cài đặt) - được ẩn dấu và được mã hóa. Chỉ có khả năng hiểu được toàn bộ gói đó bằng việc giải mã tất cả các bước. Nó cũng giấu giếm không thể tin nổi; hầu hết mã không xem được trên các máy bị lây nhiễm và các dữ liệu bị ăn cắp cũng không nhìn thấy được. Thậm chí khi bị dò tìm ra thì có thể là khó để khẳng định các động cơ của nó - Symantec thừa nhận rằng hãng chỉ có khả năng phân tích tải trọng sau khi giải mã vô số các tệp mẫu. Các tính năng giấu giếm khác bao gồm khả năng chống nghiên cứu pháp lý, một hệ thống tệp hầu như được mã hóa được xây dựng tùy biến (EVFS) và một sự mã hóa lựa chọn được (nó sử dụng một phương án của RC5 hiếm khi được sử dụng). Phần mềm độc hại đó giao tiếp người về với kẻ tấn công qua ICMP/ping, nhúng các lệnh vào các cookies HTTP và các giao thức an toàn tùy biến TCP và UDP. “Regin là một mối đe dọa có độ phức tạp cao từng được sử dụng trong việc thu thập dữ liệu hệ thống hoặc trong các chiến dịch thu thập tình báo”, phân tích của Symantec cho thấy. “Sự phát triển và vận hành của phần mềm độc hại này có thể đã đòi hỏi một sự đầu tư đáng kể về thời gian và các tài nguyên, chỉ ra rằng một nhà nước quốc gia có trách nhiệm. Thiết kế của nó phù hợp lớn cho các chiến dịch giám sát thời gian dài, thường trực chống lại các mục tiêu””.

Symantec đã phát hiện một mẩu phần mềm độc hại được tùy biến - gợi nhớ lại sâu Stuxnet - sâu đã từng ăn cắp các dữ liệu từ các chính phủ, các công ty viễn thông, năng lượng và các doanh nghiệp vừa và nhỏ từ năm 2008. Và các chuyên gia nói tác nhân của mối đe dọa đó là chính phủ Mỹ hoặc Anh.

Trong một báo cáo mới được xuất bản vào cuối ngày chủ nhật, hãng an ninh đầu cuối này nói rằng phần mềm độc hại 'Regin' 'mang các dấu ấn của một chiến dịch do nhà nước tài trợ' và từng nằm trong một chiến dịch ít nhất kể từ năm 2008, nhằm đặc biệt vào các bộ của chính phủ, các nhà vận hành viễn thông, khu vực hàn lâm, các cá nhân và các tổ chức khu vực tư nhân khác.

Phần mềm độc hại đó lần đầu tiên đã hoạt động trong khoảng từ 2008 tới 2011 trước khi 'bất ngờ rút lui' vì một lý do không rõ ràng. Một phiên bản mới đã nổi lên từ 2013 nhằm vào các công ty tư nhân, các thực thể chính phủ và các viện nghiên cứu - dù nghiên cứu chỉ ra rằng các cá nhân và các công ty vừa và nhỏ bị ngắm đích chiếm gần một nửa trong tất cả các lây nhiễm.

Symantec nói rằng các cuộc tấn công vào các nhà vận hành viễn thông đã được thiết kế sao cho tác nhân của mối đe dọa đó có thể giành được sự truy cập tới các cuộc gọi đang được định tuyến qua hạ tầng của họ - với Kaspersky Lab còn nêu rằng Regin cũng từng được sử dụng để tấn công các mạng di động GSM.

Nghiên cứu chỉ ra rằng 28% tất cả các lây nhiễm là ở Nga, với 24% là ở Ả rập Xê út. Các nước Ailen, Bỉ và Áo bị lây nhiễm nhiều nhất ở châu Âu với 9%, 5% và 5% một cách tương ứng.

Regin có sức quyến rũ như với Stuxnet và các họ APT (các mối đe dọa thường trực cao cấp) như Flamer và Duqu vì có tiếp cận theo module tinh vi phức tạp và được tùy biến của nó, điều đã xúc tác cho tác nhân của mối đe dọa tùy biến phần mềm độc hại đó trên cơ sở từng mục tiêu cụ thể.

Phần mềm độc hại đó - Symantec nói nó khác với một APT khi nó đơn giản thu thập các dữ liệu và giám sát các mục tiêu - sử dụng một tiếp cận nhiều bước trong đó mỗi bước (bước đầu tiên, nơi mà cửa hậu được cài đặt) - được ẩn dấu và được mã hóa. Chỉ có khả năng hiểu được toàn bộ gói đó bằng việc giải mã tất cả các bước.

Nó cũng giấu giếm không thể tin nổi; hầu hết mã không xem được trên các máy bị lây nhiễm và các dữ liệu bị ăn cắp cũng không nhìn thấy được. Thậm chí khi bị dò tìm ra thì có thể là khó để khẳng định các động cơ của nó - Symantec thừa nhận rằng hãng chỉ có khả năng phân tích tải trọng sau khi giải mã vô số các tệp mẫu.

Các tính năng giấu giếm khác bao gồm khả năng chống nghiên cứu pháp lý, một hệ thống tệp hầu như được mã hóa được xây dựng tùy biến (EVFS) và một sự mã hóa lựa chọn được (nó sử dụng một phương án của RC5 hiếm khi được sử dụng). Phần mềm độc hại đó giao tiếp người về với kẻ tấn công qua ICMP/ping, nhúng các lệnh vào các cookies HTTP và các giao thức an toàn tùy biến TCP và UDP.

“Regin là một mối đe dọa có độ phức tạp cao từng được sử dụng trong việc thu thập dữ liệu hệ thống hoặc trong các chiến dịch thu thập tình báo”, phân tích của Symantec cho thấy. “Sự phát triển và vận hành của phần mềm độc hại này có thể đã đòi hỏi một sự đầu tư đáng kể về thời gian và các tài nguyên, chỉ ra rằng một nhà nước quốc gia có trách nhiệm. Thiết kế của nó phù hợp lớn cho các chiến dịch giám sát thời gian dài, thường trực chống lại các mục tiêu”.

Hãng này nêu tiếp: “Sự phát hiện ra Regin nhấn mạnh cách mà các đầu tư đáng kể tiếp tục được thực hiện trong phát triển các công cụ để sử dụng trong việc thu thập tình báo. Symantec tin tưởng rằng nhiều thành phần của Regin vẫn còn chưa được phát hiện và các chức năng và các phiên bản thêm nữa có thể đang tồn tại”.

Ngay sau khi báo cáo được tung ra, một người phát ngôn cho hãng an ninh của Hà Lan là Fox-IT đã nói rằng nhà nước quốc gia đứng đằng sau phần mềm độc hại đó có thể là một sự kết hợp của Mỹ và Anh.

Erik de Jong, người có trách nhiệm về đội ứng cứu khẩn cấp an ninh máy tính của Fox-IT's, đã nói cho SCMagazineUK.com rằng hãng đã và đang theo dõi phần mềm độc hại này qua nhiều phiên bản và nói rằng tiếp cận theo module của nó làm cho nó giống như 'một khung phần mềm độc hại' mà có thể được sử dụng trong một dải rộng lớn các mục tiêu. Ví dụ, ông nói rằng các module tùy biến có thể bao gồm việc đánh hơi (sniff) giao thông của thư điện tử.

“Theo quan điểm của chúng tôi thì điều đó không phải là rất đặc biệt - nó giống một khung công việc nhiều hơn theo một cách thức mà có thể thực sự là mềm dẻo và đặt ra một loạt các mục đích”, ông nói, thêm rằng khung công việc này có thể đã từng hoạt động hơn 10 năm rồi.

“Có ý nghĩa, thứ gì đó bạn có thể sử dụng lại - bạn không phải lúc nào cũng tạo lại cái bánh xe”.

De Jong cũng chắc chắn ai là tác nhân của mối đe dọa đó. “Đối với chúng tôi, chúng tôi bị thuyết phục rằng đây là sản phẩm của [các chính phủ] Mỹ hoặc Anh. Chúng tôi đã rõ ràng nhìn vào các phần mềm độc hại đó, và đã thấy sự quan tâm lớn trong thông tin được xuất bản và được [Edward] Snowden làm rò rỉ, và vài điều ở đó có ý nghĩa, các mẩu đó phù hợp”.

“Tôi muốn Fox-IT tiếp tục nghiên cứu hồ sơ về Regin. Thời gian đưa ra báo cáo về Belgacom ư?” [Điều này có thể là một tham chiếu tới Jean-Jacques Quisquater, người bị ngắm đích ngược về tháng 2. Kaspersky nói rằng phần mềm độc hại Regin từng được sử dụng như một phần của một cuộc điều tra NSA/GCHQ ở Belgacom].

Người phát ngôn của Fox-IT bổ sung thêm rằng tổn thương ban đầu - nghĩ là các website bị đánh spear phishing hoặc bị lừa gạt - hiện khó hơn nhiều để khẳng định, nhưng được nói rằng động lực là một tham vọng của một chính phủ muốn bảo vệ an ninh quốc gia, an ninh năng lượng và các mối đe dọa từ các hoạt động của bọn khủng bố.

Ông bổ sung thêm rằng, trong khi các tổ chức nhỏ từng ngạc nhiên vì bị ngắm đích, thì điều đó có thể là trường hợp như nhiều trường hợp đã mất sở hữu trí tuệ hoặc có thể là 'các bước đệm' tới các mục tiêu lớn hơn.

Cập nhật: Intercept cũng đã xuất bản nhiều hơn về sự liên quan của NSA/GCHQ.

Symantec has discovered a new piece of customisable malware - reminiscent of the Stuxnet worm - which has been stealing data from governments, telcos, energy companies and SMEs since 2008. And experts say the threat actor could be the US or UK government.

In a new report published late on Sunday, the endpoint security firm said that the ‘Regin' malware ‘bears the hallmarks of a state-sponsored operation' and has been in operation since at least 2008, focusing specifically on government departments, telecom operators, academics, individuals and other private sector organisations.

The malware was first found operating between 2008 and 2011 before being ‘abruptly withdrawn' for no obvious reason. A new version resurfaced from 2013 to target private companies, government entities and research institutes – although research shows that targeted individuals and SMEs account for almost half of all infections.

Symantec says that attacks on telecom operators were designed so that the threat actor could gain access to calls being routed through their infrastructure – with Kaspersky Lab since reporting that Regin has also been used to attack GSM mobile networks.

Research shows that 28 percent of all infections were in Russia, with 24 percent in Saudi Arabia. Ireland, Belgium and Austria were the most-affected Europeans with 9 percent, 5 percent and 5 percent respectively.

Regin has already drawn parallels with Stuxnet and APT families like Flamer and Duqu owing to its sophisticated and customised modular approach which has enabled the threat actor to tweak the malware on a target-by-target basis.

The malware – Symantec says it differs from an APT as it simply collects data and monitors targets - employs a multi-stage approach where each stage (bar the first, where the backdoor is installed) – is hidden and encrypted. It is only possible to understand the complete package by decrypting all stages.

It is also incredibly stealthy; most code cannot be viewed on infected machines and stolen data is hidden from view. Even when detected it can be difficult to ascertain its motives - Symantec admitted that that it was only able to analyse the payload after decrypting numerous sample files.

Other stealth features include anti-forensics capability, a custom-built encrypted virtual file system (EVFS) and an alternative encryption (it uses a variant of the rarely-used RC5). The malware communicates back to the attacker via ICMP/ping, embedding commands in HTTP cookies and custom TCP and UDP security protocols.

“Regin is a highly-complex threat which has been used in systematic data collection or intelligence gathering campaigns,” reads Symantec's analysis. “The development and operation of this malware would have required a significant investment of time and resources, indicating that a nation state is responsible. Its design makes it highly suited for persistent, long term surveillance operations against targets.”

The firm continued: “The discovery of Regin highlights how significant investments continue to be made into the development of tools for use in intelligence gathering. Symantec believes that many components of Regin remain undiscovered and additional functionality and versions may exist.”

Shortly after the report was released, a spokesman for Dutch security firm Fox-IT said that the nation state behind the malware could well be a combination of the US and UK.

Erik de Jong, who is responsible for Fox-IT's computer security incident response team, told SCMagazineUK.com that the company has been watching the malware over numerous versions and says that its modular approach makes it more of a ‘malware framework' that can be used on a wide range of targets. For example, he said that custom modules could be included to sniff email traffic.

“In our view it's not very specific – it's more of a framework in such a way that it can be really flexible and put to a variety of purposes,” he said, adding that this framework may have been in operation for more than ten years.

“It makes sense, something you can re-use – you don't have to keep reinventing the wheel all the time.”

De Jong was also certain who the threat actor is. “For us, we're convinced that this is the product of the US or UK [governments]. We've obviously looked at the malware, and looked with a great deal of interest at the information published and leaked by Mr [Edward] Snowden, and some of that just makes sense, the pieces fit.

“In our mind, there's no doubt at all.” To clarify, he later added in an email: “We based our assumption on our technical knowledge of the malware framework combined with pieces from information that were made public through Mr Snowden.”

F-Secure issued a blog post earlier in the day saying that it had spotted Regin in 2009, and believes the malware is not the work of the Russian or Chinese governments. Meanwhile, security researcher Frederic Jacobs added coyly in a Twitter post:

“I want Fox-IT to go on the record about Regin. Time to release the Belgacom report?” [This could be a reference to Jean-Jacques Quisquater, who was targeted back in February. Kaspersky says that Regin malware was used as part of a NSA/GCHQ investigation into Belgacom.]

The Fox-IT spokesman added that the initial compromise – thought to be spear phishing or spoofed websites – is currently much harder to ascertain, but said that the motive is a universal government ambition of wanting to protect national security, energy security and threats from terrorist activities.

He added that, while the small organisations were surprisingly targeted, that may have been the case as many of these have lots of IP or could be ‘stepping stones' to bigger targets.

Update: The Intercept has since published more on the NSA/GCHQ involvement.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com