Nhóm Hacker Nga Lén Lút Tái Xuất Với Những Chiêu Thức Mới Tinh Xảo

Trong vụ xâm nhập nổi tiếng vào 2016 vào Ban Điều Hành Quốc Dân Dân Chủ, nhóm hacker Nga được biết đến với tên gọi Fancy Bear đã làm nổi bật bản thân, rò rỉ email và tài liệu mà họ đã thu được trong một chiến dịch táo bạo nhằm thay đổi kết quả của cuộc bầu cử tổng thống Mỹ. Nhưng một nhóm hacker của Kremlin khác, im lặng hơn rất nhiều, cũng đã xâm nhập vào mạng lưới của DNC. Trong ba năm kể từ đó, nhóm thứ hai này đã chủ yếu mất tích - cho đến khi các nhà nghiên cứu an ninh phát hiện họ trong một chiến dịch gián điệp khác, kéo dài không phát hiện được trong tới sáu năm.

Công ty an ninh mạng Slovakia ESET vừa công bố những phát hiện mới cho thấy một chiến dịch gián điệp kéo dài nhiều năm của một nhóm hacker được chủ tài trợ bởi Kremlin mà ESET gọi là Dukes. Họ còn được biết đến với tên gọi Cozy Bear và APT29, và được liên kết với Cơ quan Tình báo Nước ngoài của Nga, hay SVR. ESET phát hiện ra rằng nhóm Dukes đã xâm nhập vào mạng lưới của ít nhất ba mục tiêu: bộ ngoại giao của hai quốc gia Đông Âu và một quốc gia Liên minh Châu Âu, bao gồm mạng lưới của đại sứ quán của quốc gia EU đó tại Washington, DC. ESET từ chối tiết lộ thông tin chi tiết hơn về danh tính của những nạn nhân đó, và lưu ý có thể có nhiều mục tiêu hơn so với những gì họ đã phát hiện ra.

Các nhà nghiên cứu phát hiện ra rằng chiến dịch gián điệp kéo dài cả nhiều năm trước vụ hack của DNC và nhiều năm sau - cho đến tháng 6 của năm nay - và sử dụng một bộ công cụ malware hoàn toàn mới, một số trong số đó triển khai các chiêu thức mới để tránh phát hiện. "Họ xây dựng lại kho vũ khí của họ," nói Matthieu Faou, nhà nghiên cứu của ESET, người đã trình bày những phát hiện mới vào đầu tuần tại hội nghị nghiên cứu của ESET tại Bratislava, Slovakia. "Họ chưa bao giờ dừng lại hoạt động gián điệp của họ."

Người Săn Ma

Nhóm Dukes không hoàn toàn biến mất khỏi tầm nhìn kể từ khi họ được phát hiện bên trong DNC vào tháng 6 năm 2016. Trong năm đó và năm 2017, các email lừa đảo được cho là đã được gửi bởi nhóm này đã đánh vào một nhóm các tổ chức nghĩa là các viện tư duy và tổ chức phi chính phủ Hoa Kỳ, cũng như chính phủ Na Uy và Hà Lan. Không rõ liệu các cuộc tấn công đó có dẫn đến các xâm nhập thành công hay không. Cũng khoảng một năm trước, công ty an ninh FireEye đã đặt tên cho một loạt cuộc tấn công lừa đảo lan rộng khác cho nhóm Dukes, tuy nhiên ESET chỉ ra rằng những email đó chỉ cung cấp malware đã được công bố công khai, làm cho bất kỳ liên kết xác định nào với nhóm trở nên khó chứng minh.

Ngược lại, bộ xâm nhập mới được tiết lộ - mà ESET đã đặt tên là Ghost Hunt - đã quản lý cài đặt ít nhất ba công cụ gián điệp mới trong mạng lưới mục tiêu. Nó cũng tận dụng một cổng sau đã biết trước đó, được gọi là MiniDuke, giúp ESET liên kết chiến dịch gián điệp rộng lớn với nhóm Dukes mặc dù nhóm đã biến mất gần đây. "Họ biến mất và chúng tôi không có nhiều thông tin," nói Faou. "Nhưng suốt một năm và một nửa qua, chúng tôi đã phân tích nhiều mẫu malware, các gia đình ban đầu không được liên kết. Một vài tháng trước, chúng tôi nhận ra đó là nhóm Dukes."

Thực tế, một trong những cuộc xâm nhập có chứa MiniDuke bắt đầu từ năm 2013, trước khi malware được công bố công khai - một chỉ số mạnh mẽ cho thấy Dukes thực hiện cuộc tấn công thay vì ai đó khác nhận được malware từ một nguồn khác.

Đường Đánh Lừa

Các công cụ mới của nhóm Dukes sử dụng những chiêu thức tinh xảo để che giấu chúng và giao tiếp bên trong mạng lưới của nạn nhân. Chúng bao gồm một cổng sau được gọi là FatDuke, được đặt tên theo kích thước của nó; malware này có kích thước không bình thường là 13 megabyte, nhờ khoảng 12MB mã code làm mờ được thiết kế để giúp nó tránh bị phát hiện. Để che giấu giao tiếp với máy chủ điều khiển và kiểm soát, FatDuke giả mạo trình duyệt của người dùng, thậm chí là mô phỏng trình duyệt mà nó tìm thấy trên hệ thống của nạn nhân.

Các công cụ mới cũng bao gồm malware cài đặt nhẹ hơn mà ESET đặt tên là PolyglotDuke và RegDuke, mỗi cái đều là chương trình giai đoạn đầu có khả năng cài đặt phần mềm khác trên một hệ thống mục tiêu. Cả hai công cụ đều có phương tiện không bình thường để che giấu dấu vết của chúng. PolyglotDuke lấy tên miền của máy chủ điều khiển từ các bài đăng của người kiểm soát trên Twitter, Reddit, Imgur và các trang mạng xã hội khác. Và những bài đăng đó có thể mã hóa tên miền bằng bất kỳ loại ký tự viết nào trong ba loại - do đó là tên malware - ký tự katakana tiếng Nhật, bảng chữ cái Cherokee hoặc các phần tử Kangxi radicals phục vụ như các thành phần của chữ Trung Quốc.

Bộ cài đặt RegDuke của nhóm Dukes sử dụng một chiêu thức làm mờ khác, đặt một cổng sau không có tệp tin vào bộ nhớ của máy tính mục tiêu. Cổng sau này sau đó liên lạc với một tài khoản Dropbox được sử dụng như làm máy chủ điều khiển của nó, che giấu các thông điệp bằng một kỹ thuật steganography làm thay đổi điểm ảnh một cách vô hình trong các hình ảnh như những hình ảnh được hiển thị dưới đây để nhúng thông tin bí mật.

Tất cả những biện pháp âm thầm đó giúp giải thích tại sao nhóm này duy trì sự không phát hiện trong những xâm nhập kéo dài nhiều năm liền, theo lời của Faou từ ESET. "Họ rất cẩn thận, đặc biệt là với giao tiếp mạng."

Nhóm Dukes không luôn thành công trong việc che giấu danh tính của họ như cách họ ẩn sau những cuộc xâm nhập của mình. Báo Volksrant của Hà Lan tiết lộ đầu năm ngoái rằng Cơ quan tình báo Hà Lan AIVD đã xâm phạm máy tính và thậm chí là camera giám sát trong một tòa nhà đại học ở Moscow mà các hacker đang sử dụng vào năm 2014. Nhờ đó, các điệp viên Hà Lan có thể theo dõi ngó chừng nhóm hacker khi họ thực hiện các cuộc xâm nhập và thậm chí xác định tất cả mọi người vào và ra khỏi phòng làm việc của họ. Hoạt động đó đã giúp Cơ quan Hà Lan xác định nhóm Dukes là các đặc vụ của Cơ quan Tình báo Nước ngoài của Nga, và cho phép Hà Lan cảnh báo quan chức Mỹ về một cuộc tấn công đang diễn ra trên Bộ Ngoại giao Mỹ trước vụ hack DNC, chỉ cách đây 24 giờ sau khi xâm nhập bắt đầu.

Nhưng những phát hiện của ESET cho thấy cách mà một nhóm như Dukes có thể có một khoảnh khắc dưới đèn sáng—hoặc thậm chí dưới camera giám sát—và vẫn duy trì tính bí mật của một số hoạt động gián điệp của họ trong nhiều năm. Điều đó có nghĩa là chỉ vì một nhóm hacker dường như biến mất sau một khoảnh khắc nổi tiếng, không có nghĩa là họ không còn làm việc một cách yên tĩnh trong bóng tối.

Những bài viết tuyệt vời khác trên Mytour

• Mytour25: Những câu chuyện về những người đang đua nhau để cứu chúng ta
• Các robot khổng lồ, sử dụng trí tuệ nhân tạo, đang in 3D cả những quả rocket toàn bộ
• Ripper—câu chuyện bên trong về trò chơi video tệ hại đến mức kinh khủng
• USB-C cuối cùng đã phát huy tối đa khả năng của mình
• Đặt chip gián điệp nhỏ trong phần cứng có thể chỉ tốn khoảng $200
• 👁 Chuẩn bị cho thời đại deepfake của video; ngoài ra, kiểm tra tin tức mới nhất về trí tuệ nhân tạo
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Hãy kiểm tra các lựa chọn của đội ngũ Gear của chúng tôi về bộ theo dõi sức khỏe, trang thiết bị chạy (bao gồm giày và tất chạy), và tai nghe tốt nhất.