Chiến dịch gián điệp mạng toàn cầu đang diễn ra rộng hơn so với trước đây

Nội dung này được cung cấp cho McAfee để phân tích bởi một cơ quan chính phủ, đã quen thuộc với nghiên cứu được công bố của McAfee, về chiến dịch phần mềm độc hại này.

Phân tích đã dẫn đến việc xác định nhiều trung tâm chỉ huy và kiểm soát chưa được biết đến trước đó và cho rằng Sharpshooter đã bắt đầu sớm nhất vào tháng 9 năm 2017, nhắm vào một nhóm các tổ chức rộng lớn hơn, trong nhiều ngành công nghiệp và quốc gia hơn và hiện đang diễn ra.

Operation Sharpshooter

McAfee lần đầu tiên phát hiện ra Operation Sharpshooter vào tháng 12 năm 2018 và nhận thấy nó nhắm mục tiêu đến hơn 80 tổ chức trong các ngành công nghiệp quan trọng bao gồm các lĩnh vực viễn thông, năng lượng, chính phủ và quốc phòng.

Phân tích bằng chứng mới đã cho thấy sự tương đồng đáng kinh ngạc giữa các chỉ số kỹ thuật, kỹ năng và quy trình được thể hiện trong các cuộc tấn công Sharpshooter 2018 và các khía cạnh của nhiều cuộc tấn công khác trong ngành công nghiệp được cho là do Lazarus Group thực hiện. Ví dụ bao gồm việc Lazarus Group sử dụng các phiên bản tương tự của bộ cấy Rising Sun có từ năm 2017 và mã nguồn từ Lazarus Group, backdoor Trojan Duuzer năm 2016.

Lazarus Group (còn được gọi là Hidden Cobra) là một nhóm tội phạm mạng được tạo thành từ một nhóm các cá nhân không xác định. Mặc dù không có nhiều thông tin về Lazarus Group, các nhà nghiên cứu đã quy kết nhiều cuộc tấn công mạng cho họ trong thập kỷ qua.

Đã bắt đầu sớm hơn một năm so với những bằng chứng trước đây và vẫn đang tiếp diễn, những cuộc tấn công này dường như tập trung chủ yếu vào các dịch vụ tài chính, chính phủ và cơ sở hạ tầng quan trọng. Số lượng lớn nhất các cuộc tấn công gần đây chủ yếu nhắm vào Đức, Thổ Nhĩ Kỳ, Vương quốc Anh và Hoa Kỳ. Các cuộc tấn công trước đây tập trung vào các lĩnh vực viễn thông, chính phủ và tài chính, chủ yếu ở Hoa Kỳ, Thụy Sĩ và Israel và các quốc gia khác.

Những phát hiện khác

Hunting và spearphishing: Chiến dịch Sharpshooter chia sẻ nhiều sự trùng lặp về thiết kế và chiến thuật với một số chiến dịch, ví dụ như một chiến dịch tuyển dụng giả mạo rất giống nhau được thực hiện vào năm 2017 mà ngành công nghiệp đã quy kết trách nhiệm thuộc về Lazarus Group.

Có sự kết nối đến châu Phi: Phân tích mã máy chủ chỉ huy và kiểm soát tệp và nhật ký tệp cũng phát hiện ra một khối mạng gồm các địa chỉ IP có nguồn gốc từ thành phố Windhoek, nằm ở quốc gia Namibia của châu Phi. Điều này khiến các nhà phân tích của McAfee Advanced Threat Research nghi ngờ rằng những thành viên đứng sau Sharpshooter có thể đã thử nghiệm cấy ghép của họ và các kỹ thuật khác trong khu vực này trên thế giới trước khi tiến hành chiến dịch tấn công rộng lớn hơn.

Duy trì quyền truy cập vào tài sản. Những kẻ tấn công đã sử dụng một cơ sở hạ tầng chỉ huy và kiểm soát với phần phụ trợ cốt lõi được viết bằng Hypertext Preprocessor (PHP) và Active Server Pages (ASP). Mã dường như là tùy chỉnh và duy nhất cho nhóm và phân tích của McAfee cho thấy nó đã là một phần trong hoạt động của họ kể từ năm 2017.

Tiến hóa từ Rising Sun: Những kẻ tấn công của Sharpshooter đã sử dụng một quy trình giống như nhà máy nơi các thành phần độc hại khác nhau tạo nên Rising Sun đã được phát triển độc lập bên ngoài chức năng cấy ghép lõi. Các thành phần này xuất hiện trong các bộ cấy khác nhau có từ năm 2016, đó là một dấu hiệu cho thấy những kẻ tấn công có quyền truy cập vào một tập hợp các chức năng được phát triển theo ý của chúng.

Christiaan Beek, kỹ sư chính và nhà khoa học chính của McAfee cho biết: Bằng chứng kỹ thuật thường không đủ để hiểu thấu đáo về một cuộc tấn công mạng, vì nó không cung cấp tất cả các mảnh ghép của câu đố. Truy cập vào mã máy chủ chỉ huy và kiểm soát của đối thủ là một cơ hội hiếm có. Các hệ thống này cung cấp cái nhìn sâu sắc về hoạt động bên trong của cơ sở hạ tầng tấn công mạng, thường được thực thi bởi pháp luật và chỉ hiếm khi được cung cấp cho các nhà nghiên cứu khu vực tư nhân. Những hiểu biết thu được thông qua việc truy cập vào mã này là không thể thiếu trong nỗ lực tìm hiểu và chiến đấu chống lại các cuộc tấn công mạng ngày nay.