Gián điệp Trung Quốc Lây Nhiễm Mạng Lưới Bằng Phần Mềm Độc Hại Từ USB

Đối với ngành công nghiệp an ninh mạng, malware lây nhiễm qua ổ USB đại diện cho mối đe dọa hacker đáng yêu của thập kỷ trước - hoặc thập kỷ trước đó. Nhưng nhóm gián điệp do Trung Quốc hậu thuẫn dường như đã hiểu rằng các tổ chức toàn cầu với nhân viên ở các nước đang phát triển vẫn giữ một chân trong quá khứ công nghệ, nơi các ổ USB được trao đổi như danh thiếp và các quán internet vẫn còn tồn tại. Trong năm qua, nhóm hacker tập trung vào gián điệp này đã tận dụng 'lạc hậu' địa lý này để mang lại malware qua USB trở lại cho mạng lưới của hàng chục nạn nhân.

Tại hội nghị an ninh mạng mWise ngày hôm nay, các nhà nghiên cứu từ công ty an ninh mạng Mandiant tiết lộ rằng một nhóm hacker có liên quan đến Trung Quốc, họ gọi là UNC53, đã thành công trong việc hack ít nhất 29 tổ chức trên khắp thế giới kể từ đầu năm ngoái bằng cách sử dụng phương thức cũ kỹ là đánh lừa nhân viên để cắm ổ USB nhiễm malware vào máy tính trong mạng lưới của họ. Mặc dù những nạn nhân này bao gồm Hoa Kỳ, châu Âu và châu Á, Mandiant nói rằng nhiều lây nhiễm dường như bắt nguồn từ hoạt động ở châu Phi của các tổ chức đa quốc gia, ở các quốc gia như Ai Cập, Zimbabwe, Tanzania, Kenya, Ghana và Madagascar. Trong một số trường hợp, malware - thực tế là một số biến thể của một chủng malware có tuổi đời hơn một thập kỷ được biết đến là Sogu - có vẻ đã di chuyển qua USB từ máy tính chia sẻ ở các cửa hàng in và quán internet, lây nhiễm máy tính trong một chiếc lưới dữ liệu phổ cập.

Các nhà nghiên cứu Mandiant cho biết chiến dịch này đại diện cho một sự hồi sinh đáng kinh ngạc của việc hack dựa trên ổ USB mà trong suốt một thời gian lớn đã bị thay thế bằng các kỹ thuật hiện đại hơn, như lừa đảo và tận dụng từ xa các lỗ hổng phần mềm. “Lây nhiễm qua USB trở lại,” nhà nghiên cứu của Mandiant Brendan McKeague nói. “Trong nền kinh tế phân phối toàn cầu ngày nay, một tổ chức có thể có trụ sở chính ở châu Âu, nhưng họ có nhân viên làm việc từ xa ở các khu vực trên thế giới như châu Phi. Trong nhiều trường hợp, những nơi như Ghana hoặc Zimbabwe là điểm lây nhiễm cho những xâm nhập dựa trên USB này.

Malware mà Mandiant phát hiện, được biết đến với tên Sogu hoặc đôi khi là Korplug hoặc PlugX, đã được sử dụng ở dạng không phải qua USB bởi nhiều nhóm hacker lớn đa phần đến từ Trung Quốc trong hơn một thập kỷ. Con trojan truy cập từ xa này xuất hiện, ví dụ, trong vụ xâm nhập nổi tiếng của Trung Quốc vào Văn phòng Quản lý Nhân sự Hoa Kỳ vào năm 2015, và Cơ quan An ninh và Cơ sở hạ tầng An ninh CISA cảnh báo về việc sử dụng nó lại trong một chiến dịch gián điệp rộng lớn vào năm 2017. Nhưng vào tháng 1 năm 2022, Mandiant bắt đầu nhìn thấy các phiên bản mới của trojan xuất hiện lặp đi lặp lại trong các điều tra phản ứng sự kiện, và mỗi lần nó theo dõi những cuộc xâm nhập đó đến ổ USB nhiễm Sogu.

Kể từ đó, Mandiant đã theo dõi chiến dịch hack qua USB đó tăng cường và lây nhiễm nạn nhân mới cho đến tháng này, lan rộng trong lĩnh vực tư vấn, tiếp thị, kỹ thuật, xây dựng, khai thác mỏ, giáo dục, ngân hàng và dược phẩm, cũng như các cơ quan chính phủ. Mandiant phát hiện rằng trong nhiều trường hợp, nhiễm trùng đã được lấy từ máy tính chung tại một quán internet hoặc cửa hàng in, lây nhiễm từ những chiếc máy như một terminal truy cập internet có sẵn công cộng tại Sân bay Robert Mugabe ở Harare, Zimbabwe. “Đó là một trường hợp thú vị nếu điểm nhiễm của UNC53 là một nơi mà mọi người đang đi lại khu vực châu Phi hoặc có thể làm lây nhiễm này lan rộng quốc tế ngoài châu Phi,” nhà nghiên cứu của Mandiant Ray Leong nói.

Leong lưu ý rằng Mandiant không thể xác định xem bất kỳ địa điểm nào như vậy có phải là điểm nhiễm cố ý hay “chỉ là một điểm dừng khác trên đường đi khi chiến dịch này đang lan truyền trong một khu vực cụ thể.” Cũng không hoàn toàn rõ liệu những hacker có cố gắng sử dụng quyền truy cập vào hoạt động đa quốc gia của mình ở châu Phi để nhắm vào hoạt động của công ty ở châu Âu hoặc Hoa Kỳ không. Trong một số trường hợp ít nhất, có vẻ như gián điệp đang tập trung vào chính hoạt động ở châu Phi, xét theo lợi ích chiến lược và kinh tế của Trung Quốc đối với lục địa này.

Phương thức lây nhiễm qua USB của chiến dịch mới Sogu có vẻ là một cách thực hiện gián điệp đặc biệt không phân biệt lẫn nhau. Tuy nhiên, giống như các cuộc tấn công chuỗi cung ứng phần mềm hoặc cuộc tấn công watering hole mà những kẻ gián điệp do nhà nước Trung Quốc đã thực hiện lặp đi lặp lại, cách tiếp cận này có thể giúp những hacker đặt một mạng lưới rộng và sắp xếp nạn nhân của họ để tìm ra mục tiêu cụ thể có giá trị cao, McKeague và Leong cho rằng. Họ cũng cho rằng điều này có nghĩa là những hacker đằng sau chiến dịch này có lực lượng lao động đáng kể để “sắp xếp và phân loại” dữ liệu họ đánh cắp từ những nạn nhân để tìm thông tin hữu ích.

Malware qua USB Sogu sử dụng một loạt các thủ thuật đơn giản nhưng tinh tế để lây nhiễm máy tính và đánh cắp dữ liệu của chúng, bao gồm trong một số trường hợp thậm chí là truy cập máy tính “cách ly” không có kết nối internet. Khi một ổ đĩa USB bị nhiễm được cắm vào hệ thống, nó không chạy tự động, vì hầu hết các máy Windows hiện đại đều có chế độ tự chạy tắt mặc định cho thiết bị USB. Thay vào đó, nó cố gắng lừa người dùng chạy một tệp thực thi trên ổ đĩa bằng cách đặt tên tệp đó giống như chính ổ đĩa hoặc, nếu ổ đĩa không có tên, là “phương tiện lưu trữ di động” chung chung - một mánh khóe được thiết kế để đánh lừa người dùng khi họ cố gắng mở ổ đĩa. Sau đó, malware Sogu sao chép chính nó vào một thư mục ẩn trên máy.

Trên một máy tính thông thường kết nối internet, malware liên lạc với một máy chủ điều khiển và kiểm soát, sau đó bắt đầu chấp nhận lệnh để tìm kiếm máy nạn nhân hoặc tải dữ liệu của nó lên máy chủ từ xa đó. Nó cũng sao chép chính nó lên bất kỳ ổ đĩa USB nào khác được cắm vào máy tính để tiếp tục lan truyền từ máy tính này sang máy tính khác. Nếu một biến thể của malware qua USB Sogu thay vào đó đang ở trên một máy tính cách ly, nó trước tiên cố gắng bật bộ điều chỉnh Wi-Fi của nạn nhân và kết nối với các mạng cục bộ. Nếu thất bại, nó đặt dữ liệu bị đánh cắp trong một thư mục trên ổ đĩa USB nhiễm bệnh chính nó, lưu trữ nó đó cho đến khi nó được cắm vào máy tính kết nối internet nơi dữ liệu đánh cắp có thể được gửi đến máy chủ điều khiển.

Sự tập trung của Sogu vào gián điệp và số lượng nhiễm bệnh thông qua USB tương đối cao là một tình cảm hiếm hoi trong năm 2023. Phương thức lan truyền USB của nó gợi nhớ đến các công cụ như malware Flame được NSA tạo ra đã bị phát hiện nhắm vào các hệ thống cách ly vào năm 2012, hoặc thậm chí là malware Agent.btz của Nga được phát hiện bên trong các mạng Pentagon vào năm 2008.

Mặc dù vậy, chiến dịch Sogu chỉ là một phần của sự hồi sinh rộng lớn của malware qua USB mà Mandiant đã phát hiện trong những năm gần đây, các nhà nghiên cứu nói. Ví dụ, vào năm 2022, họ đã thấy một đợt nhiễm trùng lớn từ một loại malware qua USB tập trung vào tội phạm mạng biết đến là Raspberry Robin. Và chỉ trong năm nay, họ phát hiện một biến thể khác của malware gián điệp qua USB được biết đến là Snowydrive được sử dụng trong bảy xâm nhập mạng.

Tất cả những điều này, McKeague và Leong lập luận, có nghĩa là các bảo vệ mạng không nên tự đánh lừa mình rằng nhiễm trùng qua USB là một vấn đề đã được giải quyết - đặc biệt là trong các mạng toàn cầu có hoạt động ở các quốc gia đang phát triển. Họ nên nhận thức rằng các hacker do nhà nước đang tiến hành các chiến dịch gián điệp thông qua những chiếc USB đó. “Ở Bắc Mỹ và châu Âu, chúng tôi nghĩ rằng đây là một vector nhiễm cũ đã được khóa chặt,” Leong nói. “Nhưng có những rủi ro ở địa lý khác đang bị nhắm đến. Nó vẫn còn liên quan và vẫn đang bị lợi dụng.”