Một Nhóm Hacker Bí Ẩn Đang Tấn Công Đánh Cắp Chuỗi Cung Ứng

Một cuộc tấn công vào chuỗi cung ứng phần mềm đại diện cho một trong những hình thức tấn công tàn ác nhất của hacker. Bằng cách xâm nhập vào mạng của nhà phát triển và ẩn mã độc trong các ứng dụng và cập nhật phần mềm mà người dùng tin tưởng, những kẻ tấn công chuỗi cung ứng có thể đưa malware của họ vào hàng trăm nghìn hoặc triệu máy tính trong một cuộc tấn công duy nhất, mà không có dấu hiệu nào của trò chơi xấu. Bây giờ, những người dùng có vẻ như là một nhóm hacker duy nhất đã thực hiện mánh khóe đó liên tục, tiến xa hơn và tinh tế hơn khi họ tiến triển.

Trong suốt ba năm qua, những cuộc tấn công vào chuỗi cung ứng mà lợi dụng các kênh phân phối phần mềm của ít nhất sáu công ty khác nhau đã được liên kết với một nhóm hacker có khả năng là người nói tiếng Trung Quốc. Họ được biết đến với tên gọi là Barium, hoặc đôi khi là ShadowHammer, ShadowPad, hoặc Wicked Panda, tùy thuộc vào công ty bảo mật nào bạn hỏi. Hơn bất kỳ nhóm hacker nào khác được biết đến, Barium dường như sử dụng tấn công vào chuỗi cung ứng như là công cụ cốt lõi của họ. Những cuộc tấn công của họ đều tuân theo một mô hình tương tự: gửi nhiễm trùng đến một tập hợp lớn các nạn nhân, sau đó sắp xếp để tìm ra mục tiêu gián điệp.

Kỹ thuật này làm xao lạc các nghiên cứu an ninh không chỉ vì nó chứng minh khả năng của Barium trong việc làm quấy rối máy tính ở quy mô rộng lớn mà còn vì nó lợi dụng những lỗ hổng trong mô hình tin cậy cơ bản nhất quản lý mã mà người dùng chạy trên máy tính của họ.

"Họ đang làm ô nhiễm những cơ chế đáng tin cậy," nói Vitaly Kamluk, giám đốc nhóm nghiên cứu châu Á của công ty bảo mật Kaspersky. Khi nói đến cuộc tấn công vào chuỗi cung ứng phần mềm, "họ là những nhà vô địch trong lĩnh vực này. Với số lượng công ty mà họ đã xâm nhập, tôi không nghĩ có bất kỳ nhóm nào có thể sánh kịp với họ."

Trong ít nhất hai trường hợp—một trong đó họ đã chiếm đoạt cập nhật phần mềm từ hãng máy tính Asus và một trường hợp khác trong đó họ làm nhiễm bẩn một phiên bản của công cụ dọn dẹp máy tính CCleaner—phần mềm bị hỏng do nhóm đã xuất hiện trên hàng trăm nghìn máy tính của người dùng không hay biết. Trong những trường hợp đó và những trường hợp khác, các hacker có thể dễ dàng đã gây ra hỗn loạn chưa từng thấy, theo Silas Cutler, một nghiên cứu viên tại Chronicle, một công ty an ninh sở hữu bởi Alphabet, đã theo dõi nhóm hacker Barium. Anh ta so sánh khả năng tiềm năng của những trường hợp đó với cuộc tấn công vào chuỗi cung ứng phần mềm được sử dụng để phát động cuộc tấn công mạng NotPetya vào năm 2017; trong trường hợp đó, một nhóm hacker Nga đã chiếm đoạt cập nhật cho một phần mềm kế toán Ukraina để phát tán một loại giun phá hủy và gây tổn thất kỷ lục 10 tỷ đô la cho các công ty trên khắp thế giới.

"Nếu [Barium] triển khai một loại giun ransomware như vậy thông qua một trong những cuộc tấn công này, nó sẽ là một cuộc tấn công tàn khốc hơn nhiều so với NotPetya," Cutler nói.

Cho đến nay, nhóm này dường như tập trung vào gián điệp thay vì phá hủy. Nhưng các cuộc tấn công chiếm đoạt chuỗi cung ứng lặp đi lặp lại của họ có một ảnh hưởng tàn khốc một cách tinh tế, theo Kamluk của Kaspersky. "Khi họ lạm dụng cơ chế này, họ đang làm suy yếu niềm tin vào những cơ chế cốt lõi, cơ sở để xác minh tính toàn vẹn của hệ thống của bạn," ông nói. "Điều này quan trọng hơn nhiều và có ảnh hưởng lớn hơn so với việc lợi dụng thông thường của lỗ hổng bảo mật hoặc phishing hoặc các loại tấn công khác. Mọi người sẽ ngừng tin tưởng vào cập nhật phần mềm hợp pháp và các nhà cung cấp phần mềm."

Theo Dõi Dấu hiệu Ngược Dòng

Kaspersky đầu tiên phát hiện các cuộc tấn công vào chuỗi cung ứng của nhóm hacker Barium trong tháng 7 năm 2017, khi Kamluk nói rằng một tổ chức đối tác đã yêu cầu các nhà nghiên cứu của nó giúp họ làm rõ hoạt động lạ lẫm trên mạng của họ. Một loại phần mềm đặc biệt không kích hoạt cảnh báo antivirus đang gửi tín hiệu đến một máy chủ từ xa và ẩn giao tiếp của nó trong giao thức Domain Name System. Khi Kaspersky điều tra, họ phát hiện ra rằng nguồn gốc của giao tiếp đó là một phiên bản có backdoor của NetSarang, một công cụ quản lý máy tính từ xa phổ biến do một công ty Hàn Quốc phân phối.

Điều làm khó hiểu hơn là phiên bản độc hại của sản phẩm NetSarang mang chữ ký số của công ty, con dấu phê chuẩn của nó gần như không thể giả mạo. Cuối cùng, Kaspersky xác định và NetSarang xác nhận rằng các hacker đã xâm nhập vào mạng của NetSarang và cài đặt mã độc hại của họ vào sản phẩm của họ trước khi ứng dụng được ký mật mã, giống như việc đặt cianua vào lọ thuốc trước khi niêm phong chống làm giả.

Hai tháng sau đó, công ty antivirus Avast tiết lộ rằng công ty con Piriform của nó cũng đã bị xâm nhập, và công cụ dọn dẹp máy tính CCleaner của Piriform đã bị backdoored trong một cuộc tấn công chuỗi cung ứng quy mô lớn hơn nhiều, khiến 700.000 máy tính bị ảnh hưởng. Mặc dù có nhiều lớp làm rối, Kaspersky phát hiện rằng mã của backdoor đó chặt chẽ khớp với mã được sử dụng trong trường hợp NetSarang.

Sau đó, vào tháng 1 năm 2019, Kaspersky phát hiện rằng hãng sản xuất máy tính Đài Loan Asus đã phát hành một bản cập nhật phần mềm có backdoor tương tự cho 600.000 máy tính của mình ít nhất là năm tháng. Mặc dù mã trong trường hợp này trông khác biệt, nó sử dụng một chức năng băm duy nhất mà nó chia sẻ với cuộc tấn công CCleaner, và mã độc hại đã được tiêm vào cùng một vị trí trong hàm thực thi phần mềm. "Có vô số cách để đánh cắp dữ liệu nhị phân, nhưng họ tuân theo một phương pháp này," Kamluk nói.

Khi Kaspersky quét máy của khách hàng để tìm mã giống với cuộc tấn công của Asus, họ phát hiện rằng mã khớp với các phiên bản game video có backdoor của ba công ty khác nhau, mà ESET, một công ty an ninh, đã phát hiện trước đó: Một trò chơi zombie giả mạo có tên là Infestation, một trò bắn súng do Hàn Quốc sản xuất mang tên Point Blank, và một cái mà Kaspersky và ESET từ chối tiết lộ tên. Tất cả các dấu hiệu đều chỉ về bốn vòng tấn công chuỗi cung ứng khác nhau được liên kết với cùng một nhóm hacker.

"Về quy mô, đây hiện là nhóm chuyên nghiệp nhất trong các cuộc tấn công chuỗi cung ứng," nói Marc-Etienne Léveillé, một nhà nghiên cứu an ninh với ESET. "Chúng ta chưa bao giờ thấy điều gì đặc biệt như vậy trước đây. Nó làm kinh hãi, bởi vì chúng có kiểm soát trên một số lượng rất lớn máy tính."

"Ràng Buộc Hoạt Động"

Tuy nhiên, dường như nhóm chỉ đang tung mạng lưới rộng lớn của mình để giám sát chỉ một phần nhỏ máy tính mà nó tấn công. Trong trường hợp của Asus, nó lọc máy tính bằng cách kiểm tra địa chỉ MAC, chỉ muốn nhắm vào khoảng 600 máy tính trong số 600.000 nó tấn công. Trong vụ việc CCleaner trước đó, nó cài đặt một phần mềm gián điệp "giai đoạn thứ hai" chỉ trên khoảng 40 máy tính trong số 700.000 nó đã nhiễm. Barium cuối cùng chỉ nhắm vào rất ít máy tính, đến mức trong hầu hết các hoạt động của nó, các nhà nghiên cứu thậm chí còn chưa bao giờ có cơ hội kiểm soát cái tải độc hại cuối cùng. Chỉ trong trường hợp CCleaner, Avast mới phát hiện ra bằng chứng về một mẫu phần mềm gián điệp giai đoạn thứ ba hành vi như một keylogger và ăn cắp mật khẩu. Điều đó cho thấy nhóm đang cố gắng giám sát, và sự nhắm mục tiêu chặt chẽ của nó cho thấy đó không phải là một hoạt động tội phạm trực tuyến tập trung vào lợi nhuận.

"Không thể tin được rằng họ đã để lại tất cả những nạn nhân này và chỉ nhắm vào một phần nhỏ," nói Silas Cutler của Chronicle. "Sự ràng buộc hoạt động mà họ phải mang theo phải là chất lượng cao nhất."

Chưa rõ chính xác là nhóm hacker Barium đang tấn công các công ty nào qua cách họ tận dụng phần mềm của chúng. Nhưng Kamluk của Kaspersky đoán rằng trong một số trường hợp, một cuộc tấn công chuỗi cung ứng sẽ tạo điều kiện cho cuộc tấn công khác. Ví dụ, cuộc tấn công CCleaner nhắm vào Asus, có thể đã cung cấp quyền truy cập mà Barium cần để sau đó tận dụng các bản cập nhật của công ty. Điều đó gợi ý rằng nhóm hacker có thể đang làm mới bộ sưu tập lớn máy tính của mình thông qua các cuộc tấn công chuỗi cung ứng liên kết, đồng thời lựa chọn từ bộ sưu tập đó để tìm kiếm mục tiêu gián điệp cụ thể.

Tiếng Trung Giản Thể, Chiêu Thức Phức Tạp

Ngay cả khi họ làm nổi bật mình là một trong những nhóm hacker hiệu suất và xâm lược nhất hoạt động hiện nay, danh tính chính xác của Barium vẫn là một bí mật. Nhưng các nhà nghiên cứu chú ý rằng hacker của họ có vẻ nói tiếng Trung, có lẽ sống ở Trung Quốc đại lục, và hầu hết các mục tiêu của họ dường như là tổ chức ở các quốc gia châu Á như Hàn Quốc, Đài Loan và Nhật Bản. Kaspersky đã phát hiện ra những hiện vật tiếng Trung Giản Thể trong mã của chúng, và trong một trường hợp nhóm đã sử dụng Google Docs như một cơ chế điều khiển và kiểm soát, để lỡ một gợi ý: Tài liệu sử dụng một mẫu đơn xin việc làm như một bảo vệ—có lẽ để trông có vẻ hợp lệ và ngăn Google xóa nó—và biểu mẫu đó được viết bằng tiếng Trung với một số điện thoại mặc định có mã quốc gia +86, chỉ đại lục Trung Quốc. Trong cuộc tấn công chuỗi cung ứng video game gần đây nhất của mình, mã độc tấn công của hacker đã được thiết kế để kích hoạt và kết nối với một máy chủ điều khiển chỉ nếu máy tính nạn nhân không được cấu hình để sử dụng cài đặt ngôn ngữ tiếng Trung Giản Thể—hoặc, kỳ cục hơn, tiếng Nga.

Hơn nữa, các dấu vết trong mã của Barium cũng kết nối nó với các nhóm hacker Trung Quốc đã biết trước đây. Nó chia sẻ một số dấu vết mã với nhóm gián điệp do nhà nước Trung Quốc biết đến với tên là Axiom hoặc APT17, đã thực hiện các cuộc gián điệp mạng rộng lớn trải dài qua chính phủ và các mục tiêu trong khu vực tư nhân ít nhất một thập kỷ. Nhưng nó cũng dường như chia sẻ các công cụ với một nhóm lâu đời mà Kaspersky gọi là Winnti, cũng thể hiện mô hình đánh cắp chứng chỉ số từ các công ty video game. Mơ hồ là, nhóm Winnti đã được coi là một nhóm hacker tự do hoặc tội phạm, có vẻ đang bán chứng chỉ số đã đánh cắp của mình cho các hacker khác có trụ sở ở Trung Quốc, theo một phân tích của công ty an ninh Crowdstrike. "Họ có thể đã làm việc tự do và sau đó gia nhập một nhóm lớn hơn giờ tập trung vào gián điệp," nói Michal Salat, giám đốc tình báo đe dọa tại Avast.

Bất kể nguồn gốc của nó, tương lai của Barium là điều khiến Kamluk của Kaspersky lo lắng. Ông chú ý rằng mã độc của nhóm đã trở nên tinh vi hơn—trong cuộc tấn công Asus, mã nguồn bị nhiễm của công ty bao gồm một danh sách địa chỉ MAC mục tiêu để nó không phải giao tiếp với một máy chủ điều khiển và kiểm soát, lấy đi khả năng của các nhà bảo vệ để theo dõi tín hiệu mạng loại mà Kaspersky sử dụng để tìm ra nhóm sau cuộc tấn công NetSarang của nó. Và trong trường hợp lấy cắp video game, Barium đã đi xa đến mức đặt mã độc của mình bằng cách làm hỏng phiên bản trình biên dịch Microsoft Visual Studio mà các nhà phát triển game đang sử dụng—về cơ bản là ẩn một cuộc tấn công chuỗi cung ứng trong một cuộc tấn công khác.

"Có một sự tiến triển liên tục về phương pháp của họ, và nó ngày càng trở nên tinh vi," Kamluk nói. "Theo thời gian trôi qua, việc bắt họ sẽ trở nên khó khăn hơn và khó khăn hơn."

Những điều tuyệt vời khác từ MYTOUR

• Mẹo quản lý tiền từ người tiêu hoang trước đây
• Trận chiến của Winterfell: phân tích chiến thuật
• Kế hoạch của LA để khởi động lại hệ thống xe buýt của mình—sử dụng dữ liệu điện thoại di động
• Ngành kinh doanh kháng sinh đang bị hỏng—nhưng có một cách khắc phục
• Di chuyển, San Andreas: Có một lỗi mới ở thị trấn
• 💻 Nâng cấp trò chơi làm việc của bạn với những chiếc laptop, bàn phím, lựa chọn gõ và tai nghe chống ồn yêu thích của đội Gear chúng tôi
• 📩 Muốn thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi

CẬP NHẬT 5/3/19 10:40 sáng ET: Câu chuyện đã được cập nhật để phản ánh rằng các nhà nghiên cứu an ninh đã xác định sáu cuộc tấn công chuỗi cung ứng của Barium, không phải bảy như ban đầu được nêu.