MiniDuke - Gián điệp ngầm thế hệ mới

MiniDuke là sự kết hợp tinh vi giữa kỹ thuật viết phần mềm độc hại “Old School” và khai thác lỗ hổng Adobe Reader tiên tiến nhằm thu thập thông tin tình báo, chính trị từ những hồ sơ mục tiêu cao cấp.

Theo báo cáo phân tích mới nhất từ Kaspersky Lab, một chuỗi những sự kiện bảo mật bất ngờ được công bố bao gồm: phát hiện gần đây về lỗ hổng PDF trong Adobe Reader (CVE-2013-6040) và MiniDuke, một chương trình độc hại mới có tùy biến rất cao. Cửa hậu (backdoor) MiniDuke được dùng để tấn công nhiều cơ quan chính phủ và tổ chức toàn thế giới trong suốt tuần qua. 

Các chuyên gia đã phân tích chi tiết cuộc tấn công và công bố những phát hiện của họ. Hệ thống của Kaspersky Lab phát hiện và vô hiệu hóa các phần mềm độc hại MiniDuke, gồm HEUR: Backdoor.Win32.MiniDuke.gen và Backdoor.Win32.Miniduke. Kaspersky Lab cũng phát hiện lỗ hổng được sử dụng trong các tài liệu PDF, Exploit.JS.Pdfka.giy.

MiniDuke: Thủ đoạn tinh vi, khó lường

Theo phân tích của Kaspersky Lab, một số lượng lớn những hồ sơ mục tiêu cao cấp bị tổn hại bởi sự tấn công của MiniDuke, bao gồm các cơ quan chính phủ ở Ukraine, Bỉ, Bồ Đào Nha, Ý, Cộng Hòa Séc và Cộng Hòa Ireland. Ngoài ra, một học viện nghiên cứu, hai viện chính sách, nhà cung cấp dịch vụ chăm sóc sức khỏe của Mỹ và một tổ chức nghiên cứu nền tảng nổi tiếng ở Hungary cũng là nạn nhân bị tấn công.

Eugene Kaspersky, Sáng lập viên và Tổng Giám đốc Kaspersky Lab nhận xét: “Đây là phương thức tấn công mạng rất lạ. Tôi nhớ lại phong cách của việc lập trình mã độc từ cuối những năm 90 đến đầu thế kỷ 21. Tôi tự hỏi nếu những người viết những loại phần mềm độc hại này sau khi ngủ đông hơn một thập kỷ đã thức giấc và gia nhập vào các nhóm đe dọa tinh vi hoạt động trên thế giới ảo. Những người viết phần mềm độc hại ưu tú và những người viết chương trình “old school” từng tạo ra những virus phức tạp cao cực kỳ hiệu quả trong quá khứ, hiện đang kết hợp những kỹ năng này với những lỗ hổng tiên tiến không bị phát hiện bởi sandbox hướng đến các cơ quan chính phủ hay viện nghiên cứu ở nhiều quốc gia.”.

Backdoor tùy biến cao của MiniDuke được viết bằng ngôn ngữ Assembly và có kích thước rất nhỏ, chỉ bằng 20kb. Sự kết hợp giữa kinh nghiệm của người viết phần mềm “old school” sử dụng lỗ hổng mới được phát hiện và phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty (social engineering) một cách khéo léo để gây hại đến các hồ sơ mục tiêu cao cấp là cực kỳ nguy hiểm.

Những kẻ tấn công MiniDuke vẫn hoạt động tại thời điểm này và đã tạo ra phần mềm độc hại rất gần đây, vào ngày 20/02/2013. Những kẻ tấn công sử dụng kỹ thuật social engineering hiệu quả, bao gồm gửi các tài liệu PDF độc hại đến đối tượng của chúng. Các tập PDF có liên quan mật thiết đến nội dung bản thảo về việc xây dựng hội thảo thông tin nhân quyền (ASEM), chính sách đối ngoại và gia nhập NATO của Ukraine.

Những tập tin độc hại này được dựng với các lỗ hổng tấn công Adobe Reader phiên bản 9, 10 và 11 bằng cách vượt qua sandbox. Một bộ công cụ được dùng để tạo ra những lỗ hổng này và có thể đây cũng là bộ công cụ đã được sử dụng trong cuộc tấn công gần đây theo báo cáo của FireEye. Tuy nhiên, các lỗ hổng được dùng trong cuộc tấn công MiniDuke là cho nhiều mục đích khác nhau và có phần mềm độc hại tùy biến riêng.

Một khi hệ thống bị khai thác, một chương trình download rất nhỏ có dung lượng 20kb được đặt trong ổ đĩa của nạn nhân. Chương trình download này khác biệt cho mỗi hệ thống và chứa một backdoor tùy biến được viết bằng Assembly. Khi hệ thống khởi động, chương trình sử dụng một tập hợp các tính toán toán học để xác định dấu vân tay duy nhất của máy tính, và lần lượt sử dụng dữ liệu này để mã hóa các thông tin liên lạc của nó sau này. Nó cũng được lập trình để tránh sự phân tích bởi bộ hardcode của các công cụ trong môi trường nhất định như VMware. Nếu tìm thấy bất kỳ chỉ số nào, nó sẽ chạy nhàn rỗi trong môi trường thay vì chuyển sang một giai đoạn khác và phơi bày chức năng của nó bằng cách giải mã chính nó, điều này cho thấy những người viết phần mềm độc hại biết chính xác những gì các chuyên gia bảo mật chống virus và CNTT đang làm để phân tích và xác định các phần mềm độc hại.

Phòng ngừa và ngăn chặn

Theo các chuyên gia, nếu mục tiêu của hệ thống đáp ứng các yêu cầu được xác định trước, phần mềm độc hại sẽ sử dụng Twitter (người dùng không biết) và bắt đầu tìm kiếm các tweet cụ thể từ tài khoản đã được thực hiện từ trước. Những tài khoản này được tạo ra bởi lệnh và kiểm soát (C2) của những người vận hành MiniDuke, và các nội dung tweet sẽ duy trì các cụm từ cụ thể đánh dấu URL mã hóa cho các backdoors. Các URL này cung cấp cách truy cập vào các C2, sau đó cung cấp lệnh tiềm năng cũng như các điều chuyển được mã hóa của các backdoor bổ sung vào hệ thống thông qua các tập tin GIF.

Dựa theo phân tích này, người tạo ra MiniDuke cung cấp một hệ thống sao lưu năng động hoạt động một cách thận trọng, rất khó phát hiện. Nếu Twitter không hoạt động hay tài khoản bị hủy bỏ, phần mềm độc hại có thể sử dụng Google tìm kiếm các chuỗi mã hóa cho C2 tiếp theo. Mô hình này linh hoạt và cho phép những người khai thác liên tục thay đổi các backdoor nhận lệnh hoặc thêm mã độc vào máy tính khi cần thiết.

Một khi hệ thống bị nhiễm định vị C2, nó nhận được backdoors mã hóa giả với tập tin GIF và cải trang giống như các hình ảnh xuất hiện trên máy tính của nạn nhân. Một khi chúng được tải về máy, chúng có thể tải về một backdoor lớn hơn thực hiện một số hành động cơ bản, chẳng hạn như  sao chép, di chuyển tập tin, loại bỏ các tập tin, tạo thư mục, dừng quá trình, và tất nhiên là tải về và thực hiện các phần mềm độc hại mới. Backdoor của phần mềm độc hại liên kết đến hai máy chủ, một đặt tại Panama và một tại Thổ Nhĩ Kỳ, nhận chỉ thị hoạt động từ các kẻ tấn công.

Để ngăn chặn, người dùng nên sử dụng nhiều lớp bảo mật, phân cấp ngăn chặn  từ xa, kiểm soát chặt chẽ dữ liệu đầu ra, đầu vào. Cập nhật những bản vá lỗi hệ điều hành mới nhất. Đặc biệt, nâng cấp và cài đặt những phần mềm diệt virus bản quyền mạnh, mới nhất như Kaspersky Anti-Virus 2013, Kaspersky Internet Security 2013…

XHTT