-
09/04/2020
-
110
-
1.002 bài viết
Chiến dịch mã độc tinh vi âm thầm kiểm soát hạ tầng viễn thông Đông Nam Á
Một chiến dịch tấn công mạng quy mô lớn đã âm thầm diễn ra suốt gần một năm mà không bị phát hiện, nhắm vào các tổ chức viễn thông trọng yếu tại Đông Nam Á. Đứng sau chiến dịch này là nhóm APT có tên mã CL-STA-0969, được cho là hoạt động có tổ chức và mục tiêu rõ ràng: thiết lập quyền kiểm soát từ xa đối với hạ tầng mạng của nạn nhân. Theo báo cáo từ nhóm nghiên cứu Unit 42 (Palo Alto Networks), chuỗi tấn công kéo dài từ tháng 2 đến tháng 11 năm 2024, sử dụng nhiều công cụ truy cập từ xa tinh vi. Đáng chú ý trong số đó là Cordscan, phần mềm có thể trích xuất dữ liệu vị trí từ thiết bị di động. Dù vậy, cho đến nay chưa ghi nhận dấu hiệu dữ liệu bị rút khỏi hệ thống hay hoạt động giám sát thiết bị đầu cuối trong mạng lưới.
CL-STA-0969 nổi bật với khả năng ẩn mình gần như tuyệt đối, duy trì sự hiện diện trong hệ thống mục tiêu suốt nhiều tháng mà không để lộ dấu vết. Nhóm sử dụng nhiều kỹ thuật né tránh tinh vi, từ việc che giấu lưu lượng đến cách tải mã độc gián tiếp nhằm vượt qua các cơ chế giám sát an ninh thông thường. Phương thức hoạt động và các công cụ được triển khai cho thấy sự tương đồng rõ rệt với Liminal Panda, một nhóm APT có liên hệ với Trung Quốc từng bị CrowdStrike truy vết trong các chiến dịch tấn công ngành viễn thông tại Nam Á và châu Phi từ năm 2020. Một số công cụ trong chiến dịch của CL-STA-0969 cũng từng xuất hiện trong các chiến dịch do các nhóm như LightBasin, UNC3886 và UNC2891 thực hiện, cho thấy khả năng chia sẻ hạ tầng và kỹ thuật trong giới gián điệp mạng có tổ chức.
Trong một số cuộc tấn công, CL-STA-0969 bắt đầu bằng cách brute-force SSH để tìm ra mật khẩu đăng nhập máy chủ, qua đó chiếm quyền điều khiển ban đầu. Ngay sau khi đột nhập thành công, nhóm lập tức triển khai một chuỗi mã độc được thiết kế riêng cho môi trường viễn thông với mục tiêu kiểm soát bền vững và hoàn toàn tàng hình.
Các công cụ chính bao gồm:
Ngoài việc cài cắm các công cụ kể trên, CL-STA-0969 còn sử dụng nhiều shell script để thiết lập đường hầm SSH ngược, hỗ trợ truyền thông ra ngoài mạng bị kiểm soát. Nhóm cũng thể hiện kỹ năng OPSEC rất cao khi thường xuyên xóa nhật ký hoạt động và tệp thực thi sau khi hoàn tất nhiệm vụ, hạn chế tối đa dấu vết lưu lại trong hệ thống.
Bên cạnh mã độc tự phát triển, nhóm còn kết hợp sử dụng nhiều công cụ mã nguồn mở như Microsocks proxy, Fast Reverse Proxy, FScan, Responder và ProxyChains. Họ khai thác các lỗ hổng đã biết trên hệ thống Linux và UNIX như CVE-2016-5195, CVE-2021-4034 và CVE-2021-3156 để leo thang đặc quyền và giành quyền kiểm soát hệ thống. Nhiều kỹ thuật ẩn mình cũng được áp dụng, từ việc định tuyến lưu lượng qua nhà mạng bị kiểm soát, sử dụng DNS làm kênh truyền dữ liệu, cho đến vô hiệu hóa SELinux và đặt tên tiến trình trùng với các tiến trình hệ thống hợp pháp. Tất cả tạo nên một lớp vỏ ngụy trang tinh vi, khiến hoạt động của nhóm gần như không để lại dấu hiệu bất thường.
Theo đánh giá từ các nhà nghiên cứu, CL-STA-0969 thể hiện sự am hiểu sâu sắc về hạ tầng và giao thức mạng viễn thông. Việc sử dụng proxy nội mạng, tunneling qua giao thức ít bị giám sát và hàng loạt kỹ thuật né tránh phòng vệ cho thấy một chiến dịch được đầu tư kỹ lưỡng nhằm duy trì quyền kiểm soát lâu dài trong trạng thái tàng hình.
Báo cáo được công bố trong bối cảnh Trung Quốc cáo buộc các cơ quan tình báo Mỹ lợi dụng lỗ hổng zero-day trong Microsoft Exchange để tấn công vào các đơn vị quân sự và nghiên cứu nội địa, bao gồm lĩnh vực truyền thông và internet vệ tinh. Những diễn biến này tiếp tục phản ánh căng thẳng leo thang trong không gian mạng giữa các cường quốc, nơi các chiến dịch gián điệp số ngày càng phức tạp và khó truy vết.
CL-STA-0969 nổi bật với khả năng ẩn mình gần như tuyệt đối, duy trì sự hiện diện trong hệ thống mục tiêu suốt nhiều tháng mà không để lộ dấu vết. Nhóm sử dụng nhiều kỹ thuật né tránh tinh vi, từ việc che giấu lưu lượng đến cách tải mã độc gián tiếp nhằm vượt qua các cơ chế giám sát an ninh thông thường. Phương thức hoạt động và các công cụ được triển khai cho thấy sự tương đồng rõ rệt với Liminal Panda, một nhóm APT có liên hệ với Trung Quốc từng bị CrowdStrike truy vết trong các chiến dịch tấn công ngành viễn thông tại Nam Á và châu Phi từ năm 2020. Một số công cụ trong chiến dịch của CL-STA-0969 cũng từng xuất hiện trong các chiến dịch do các nhóm như LightBasin, UNC3886 và UNC2891 thực hiện, cho thấy khả năng chia sẻ hạ tầng và kỹ thuật trong giới gián điệp mạng có tổ chức.
Trong một số cuộc tấn công, CL-STA-0969 bắt đầu bằng cách brute-force SSH để tìm ra mật khẩu đăng nhập máy chủ, qua đó chiếm quyền điều khiển ban đầu. Ngay sau khi đột nhập thành công, nhóm lập tức triển khai một chuỗi mã độc được thiết kế riêng cho môi trường viễn thông với mục tiêu kiểm soát bền vững và hoàn toàn tàng hình.
Các công cụ chính bao gồm:
- AuthDoor: Module xác thực độc hại tích hợp vào PAM (Pluggable Authentication Module), hoạt động tương tự SLAPSTICK - một công cụ từng bị quy cho nhóm UNC1945. AuthDoor được thiết kế để đánh cắp thông tin xác thực và duy trì quyền truy cập trái phép bằng cách sử dụng mật khẩu "ma thuật" được mã hóa cứng trong mã nguồn
- Cordscan: Tiện ích quét mạng và bắt gói tin, từng được sử dụng bởi nhóm Liminal Panda, hỗ trợ thu thập thông tin hệ thống và định vị thiết bị di động trong mạng lưới mục tiêu
- GTPDOOR: Mã độc chuyên biệt nhắm vào mạng viễn thông, được triển khai cạnh các điểm chuyển vùng GPRS để thiết lập kênh điều khiển ẩn
- EchoBackdoor: Backdoor thụ động sử dụng kỹ thuật ICMP tunneling, lắng nghe các gói ICMP Echo Request chứa lệnh điều khiển (C2), sau đó gửi kết quả thực thi trở lại qua ICMP Echo Reply ở dạng không mã hóa nhằm tránh bị phát hiện qua log hoặc tường lửa
- Trình giả lập SGSN (sgsnemu): Công cụ giả lập nút GPRS nhằm tạo đường hầm lưu lượng qua mạng (traffic tunneling) di động, vượt qua các giới hạn tường lửa. Công cụ này từng được ghi nhận do Liminal Panda sử dụng
- ChronosRAT: Mã độc ELF dạng module với các chức năng mạnh như thực thi shellcode, thao tác file, ghi log bàn phím, chuyển tiếp cổng, truy cập shell từ xa, chụp ảnh màn hình và thiết lập proxy ẩn danh
- NoDepDNS (MyDns): Backdoor viết bằng Golang, tạo socket thô để lắng nghe lưu lượng DNS qua UDP cổng 53, từ đó trích xuất các lệnh ẩn trong truy vấn DNS
Ngoài việc cài cắm các công cụ kể trên, CL-STA-0969 còn sử dụng nhiều shell script để thiết lập đường hầm SSH ngược, hỗ trợ truyền thông ra ngoài mạng bị kiểm soát. Nhóm cũng thể hiện kỹ năng OPSEC rất cao khi thường xuyên xóa nhật ký hoạt động và tệp thực thi sau khi hoàn tất nhiệm vụ, hạn chế tối đa dấu vết lưu lại trong hệ thống.
Bên cạnh mã độc tự phát triển, nhóm còn kết hợp sử dụng nhiều công cụ mã nguồn mở như Microsocks proxy, Fast Reverse Proxy, FScan, Responder và ProxyChains. Họ khai thác các lỗ hổng đã biết trên hệ thống Linux và UNIX như CVE-2016-5195, CVE-2021-4034 và CVE-2021-3156 để leo thang đặc quyền và giành quyền kiểm soát hệ thống. Nhiều kỹ thuật ẩn mình cũng được áp dụng, từ việc định tuyến lưu lượng qua nhà mạng bị kiểm soát, sử dụng DNS làm kênh truyền dữ liệu, cho đến vô hiệu hóa SELinux và đặt tên tiến trình trùng với các tiến trình hệ thống hợp pháp. Tất cả tạo nên một lớp vỏ ngụy trang tinh vi, khiến hoạt động của nhóm gần như không để lại dấu hiệu bất thường.
Theo đánh giá từ các nhà nghiên cứu, CL-STA-0969 thể hiện sự am hiểu sâu sắc về hạ tầng và giao thức mạng viễn thông. Việc sử dụng proxy nội mạng, tunneling qua giao thức ít bị giám sát và hàng loạt kỹ thuật né tránh phòng vệ cho thấy một chiến dịch được đầu tư kỹ lưỡng nhằm duy trì quyền kiểm soát lâu dài trong trạng thái tàng hình.
Báo cáo được công bố trong bối cảnh Trung Quốc cáo buộc các cơ quan tình báo Mỹ lợi dụng lỗ hổng zero-day trong Microsoft Exchange để tấn công vào các đơn vị quân sự và nghiên cứu nội địa, bao gồm lĩnh vực truyền thông và internet vệ tinh. Những diễn biến này tiếp tục phản ánh căng thẳng leo thang trong không gian mạng giữa các cường quốc, nơi các chiến dịch gián điệp số ngày càng phức tạp và khó truy vết.
Theo The Hacker News
Chỉnh sửa lần cuối: