TajMahal: Nền tảng do thám mạng hiếm gặp với kỹ thuật tinh vi

08/04/2019 06:11

Các nhà nghiên cứu Kaspersky Lab phát hiện một nền tảng do thám mạng với kỹ thuật tinh vi, đã hoạt động ít nhất là từ năm 2013 đến nay và dường như không có mối liên hệ rõ ràng với bất kỳ nhóm tội phạm mạng đã biết nào.


Nền tảng này được các nhà nghiên cứu đặt tên là TajMahal, với khoảng 80 mô-đun mã độc và những chức năng chưa từng thấy trong một vụ tấn công có chủ đích (advanced persistent threat - APT), như khả năng đánh cắp thông tin từ hàng đợi máy in hay chiếm lấy những file gần nhất trên một thiết bị USB trong lần kết nối tiếp theo. Kaspersky Lab mới chỉ thấy duy nhất một nạn nhân là đại sứ quán của một quốc gia Trung Á ở nước ngoài, nhưng có thể đã có nhiều nạn nhân khác bị lây nhiễm mã độc này.

TajMahal bị các nhà nghiên cứu tại Kaspersky Lab phát hiện vào cuối năm 2018. Đó là một nền tảng tấn công APT tinh vi được thiết kế cho hoạt động do thám mạng trên phạm vi rộng. Phân tích mã độc cho thấy, nền tảng này đã được phát triển và sử dụng trong ít nhất 5 năm qua, với những mẫu ban đầu từ tháng 4 năm 2013 và mẫu gần nhất là vào tháng 8 năm 2018. Cái tên TajMahal xuất phát từ tên file được sử dụng để truyền dữ liệu đánh cắp được ra bên ngoài.

Nền tảng mã độc TajMahal được cho là bao gồm hai gói sản phẩm chính, với tên gọi tương ứng là “Tokyo” và “Yokohama”.

Tokyo là gói sản phẩm nhỏ hơn, chứa khoảng 3 mô-đun. Nó chứa chức năng cửa hậu (backdoor) chính, và thường xuyên kết nối với máy chủ chỉ huy điều khiển (command and control server). Tokyo sử dụng PowerShell và ẩn mình trong mạng kể cả sau khi quá trình xâm nhập đã chuyển sang giai đoạn thứ hai.

Giai đoạn hai là gói sản phẩm Yokohama: một nền tảng gián điệp mạng được trang bị đầy đủ. Yokohama bao gồm VFS (Virtual File System - Hệ thống file ảo) với tất cả các plug-in, thư viện nguồn mở và nguồn đóng từ bên thứ ba cũng như các file cấu hình. Có gần 80 mô-đun mã độc trên nền tảng này, bao gồm các mô-đun tải file (loader), đồng bộ (orchestrator), truyền thông chỉ huy và điều khiển (command and control communicators), ghi âm (audio recorder), ghi nhận thông tin phím gõ (keylogger), chụp ảnh màn hình và webcam (screen and webcam grabber), công cụ đánh cắp tài liệu và khóa mã hóa (documents and cryptography key stealer).

TajMahal còn có thể thu thập cookie của trình duyệt (browser cookie), danh mục sao lưu dữ liệu (backup list) của các thiết bị Apple, đánh cắp dữ liệu từ một đĩa CD được ghi (burnt) bởi nạn nhân cũng như là các tài liệu trong hàng đợi máy in. Nó cũng có thể yêu cầu lấy cắp một file nhất định từng nhìn thấy trước đây trên một thẻ nhớ USB, và file đó sẽ bị đánh cắp trong lần tiếp theo khi thẻ nhớ USB được cắm vào máy tính.

Các hệ thống đích mà Kaspersky Lab phát hiện bị lây nhiễm cả mã độc Tokyo và Yokohama. Điều đó cho thấy Tokyo được sử dụng để phát tán mã độc trong giai đoạn đầu, triển khai gói sản phẩm Yokohama đầy đủ chức năng trên các nạn nhân mục tiêu và sau đó ẩn mình với vai trò dự phòng.

Cho đến nay, mới chỉ quan sát thấy có một nạn nhân - một cơ quan ngoại giao của một nước Trung Á ở nước ngoài - bị lây nhiễm từ năm 2014. Các véc-tơ phân phối và lây nhiễm mã độc của TajMahal hiện vẫn còn là ẩn số.

“Nền tảng TajMahal là một phát hiện rất thú vị. Mức độ tinh vi về mặt kỹ thuật vượt xa so với hình dung và nền tảng này được trang bị những chức năng chưa từng thấy trong một công cụ tấn công có chủ đích. Vẫn còn có nhiều câu hỏi chưa được trả lời. Ví dụ như, một khoản đầu tư lớn như vậy mà chỉ nhắm vào duy nhất một nạn nhân dường như là không hợp lý. Điều đó cho thấy rằng, có thể có những nạn nhân khác còn chưa được nhận diện, hoặc có các biến thể khác của mã độc này trên mạng, hoặc là cả hai khả năng trên. Các véc-tơ phân phối và lây nhiễm mã độc của mối đe dọa bảo mật này hiện vẫn còn là ẩn số. Tuy nhiên, nó đã nằm trong vùng quét của ra-đa trong hơn 5 năm. Cho dù điều đó là do tính không hoạt động tương đối hoặc một lý do nào khác thì đây vẫn là một câu hỏi thú vị. Chưa có một đầu mối nào về thuộc tính hoặc mối liên hệ nào với các nhóm tội phạm khác,” ông Alexey Shulmin, chuyên gia trưởng về phân tích mã độc của Kaspersky Lab cho biết.

Tất cả mọi sản phẩm của Kaspersky Lab đều phát hiện và chặn đứng thành công mối đe dọa bảo mật này.

Để tránh trở thành nạn nhân của vụ tấn công có chủ đích bởi một nhóm tin tặc đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky Lab khuyến nghị triển khai các biện pháp dưới đây:

- Sử dụng những công cụ bảo mật tiên tiến như Kaspersky Anti Targeted Attack Platform (Nền tảng chống tấn công có chủ đích của Kaspersky) (KATA) và đảm bảo rằng bộ phận bảo mật của bạn luôn được cập nhật những thông tin mới nhất về các mối đe dọa bảo mật.

- Đảm bảo rằng bạn thường xuyên cập nhật tất cả các phần mềm được sử dụng trong tổ chức, đặc biệt là mỗi khi có một bản vá lỗ hổng bảo mật mới được công bố. Các sản phẩm bảo mật với chức năng Quản lý hoạt động Đánh giá và Vá Lỗ hổng bảo mật (Vulnerability Assessment and Patch Management) có thể giúp tự động hóa các quy trình này.

- Lựa chọn một giải pháp bảo mật đã được kiểm chứng như Kaspersky Endpoint Security (Bảo mật thiết bị đầu cuối của Kasspersky) được trang bị chức năng phát hiện mã độc căn cứ vào những bất thường để đối phó hiệu quả với những mối đe dọa bảo mật đã biết và chưa biết, bao gồm cả hoạt động khai thác lỗ hổng bảo mật.

- Đảm bảo rằng nhân viên của bạn hiểu rõ những biện pháp phòng ngừa cơ bản về an ninh mạng, vì nhiều vụ tấn công bắt nguồn từ kỹ thuật đánh lừa (phishing) hay tấn công phi kỹ thuật (social engineering).

Báo cáo đầy đủ về nền tảng APT TajMahal được đăng tải tại Securelist.com.

PHÚC NGUYỄN (theo Kaspersky Lab)
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang