Làn sóng tấn công mới của nhóm APT 10 nhắm vào Đông Nam Á

Làn sóng tấn công mới này được nghiên cứu, tìm hiểu nhắm vào các cơ sở y tế ở Malaysia trong khoảng từ tháng 10 đến tháng 12/2018 và ở Việt Nam từ tháng 2 đến tháng 5/2019.

Loại mã độc được sử dụng tấn công vào hai quốc gia lần này khác với các thủ thuật APT10 đã từng dùng, nhưng mục đích vẫn là đánh cắp thông tin riêng tư từ các máy bị nhiễm.

Suguru Ishimaru, nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Chúng tôi đã theo dõi hoạt động của APT10, đặc biệt là tại Nhật Bản nơi chúng gây rò rỉ thông tin và thiệt hại nghiêm trọng về uy tín doanh nghiệp. Chúng được biết đến với các chiến dịch tấn công mạng lén lút và quy mô lớn, bị hấp dẫn bởi thông tin mật và thậm chí là bí mật thương mại. Hiện tại APT10 đang mở rộng tấn công vào Đông Nam Á, có khả năng để mắt đến một số tổ chức y tế và hiệp hội ở Malaysia và Việt Nam”.

APT10 - còn được gọi là MenuPass, StonePanda, ChessMaster, Cloud Hopper và Red Apollo - được biết đến với một số cuộc tấn công chống lại các ngành công nghiệp khác nhau, bao gồm thông tin và công nghệ, chính phủ và quốc phòng, viễn thông, học thuật, y tế và dược phẩm kể từ năm 2009.

Báo cáo từ PwC vào tháng 12/2018 cho biết nhóm tin tặc (hacker) bị cáo buộc được quốc gia hậu thuẫn đã lây nhiễm thành công vào các công ty MSP (nhà cung cấp dịch vụ quản lý) như Hewlett Packard Enterprise Co và IBM. Thông qua tấn công, tội phạm mạng đã đánh cắp dữ liệu cá nhân khách hàng của công ty là khách hàng của các đơn vị này. Các tập đoàn Úc nằm trong số những mục tiêu này.

Báo cáo mới nhất cũng cho thấy tấn công APT10 xuất hiện ở Philippines, cũng như chống lại các công ty viễn thông ở châu Âu, châu Phi, Trung Đông và châu Á.

Nhóm hacker được biết đến là nhóm tội phạm mạng mang quốc tịch Trung Quốc. Mặc dù những lĩnh vực mục tiêu của chúng đã thay đổi kể từ cuộc tấn công đầu tiên, mục tiêu của APT10 vẫn là đánh cắp thông tin quan trọng bao gồm dữ liệu bí mật, thông tin quốc phòng và bí mật của công ty.

APT10 sử dụng phương pháp thử và sai để thay đổi hoạt động

Trước đây, APT10 được biết đến với việc sử dụng nhiều loại Trojans truy cập từ xa (RAT - Remote Access Trojan), bao gồm Poison Ivy, PlugX, ChChes, Redleaves, v.v.

Năm 2017, Kaspersky đã phát hiện mã độc PlugX trong các công ty dược tại Việt Nam để đánh cắp các công thức thuốc quý và thông tin kinh doanh. Mã độc này thường được phát tán thông qua hoạt động lừa đảo và trước đây đã được sử dụng bởi các nhóm hacker quốc tịch Trung Quốc trong những cuộc tấn công chống lại quân đội, Chính phủ và các tổ chức chính trị.

Tại Nhật Bản, APT10 đã sử dụng Redleaves, một phần mềm độc hại chỉ chạy trong bộ nhớ và các biến thể của nó từ tháng 10 năm 2016 đến tháng 4 năm 2018. Các nhà nghiên cứu của Kaspersky đã phát hiện hơn 120 mô-đun độc hại của Redleaves và các biến thể của nó như Himawari và Lavender.

Trong mẫu của Himawari, các nhà nghiên cứu đã tìm thấy thuật ngữ y tế cũng như tài liệu giải mã liên quan đến những tổ chức y tế, chăm sóc sức khỏe và dược phẩm. Tất cả các mẫu nhắm đến mục tiêu ngành y tế được bảo vệ bằng mật khẩu, làm cản trở các nhà nghiên cứu khi tiến hành phân tích sâu hơn.

Ishimaru cho biết thêm: “Vào tháng 4/2018, chúng tôi đã quan sát thấy một thủ thuật mới đang được APT10 - Zark20rk sử dụng. Nó là một biến thể của Redleaves nhưng các tin tặc đứng sau nhóm này đã cập nhật một số thuật toán mật mã, cấu trúc dữ liệu và các tính năng phần mềm độc hại cũng như thêm một số chuỗi khóa liên quan đến Nga. Dựa trên mô hình hành vi của chúng, có thể nói đây là tín hiệu giả để gây nhầm lẫn cho các nhà nghiên cứu trong quá trình theo dõi hoạt động của chúng”.

Đối với các cuộc tấn công có khả năng chống lại những tổ chức chăm sóc sức khỏe ở Malaysia và Việt Nam, Kaspersky tiết lộ rằng nhóm hacker đã thay đổi RAT chính của mình từ Redleaves thành một cửa hậu nổi tiếng có tên là ANEL. ANEL thường bắt đầu bằng một tài liệu từ bị nhiễm có chứa macro VBA gây lây nhiễm cho các mô-đun ANEL.

Để che giấu tốt hơn hành tung của mình, APT10 đã dùng các phương pháp someanti-AV và chống đảo ngược trong ANEL và những mô-đun của nó như: mã hóa chống đảo ngược, mã hóa nhiều lần cho cấu hình mã độc và kết nối với C2 (máy chủ chỉ huy và kiểm soát), cũng như mã độc không dây chỉ được thực thi trong bộ nhớ như Redleaves.

“Với các tệp đính kèm được bảo vệ bằng mật khẩu, các mã ẩn phức tạp, các thủ thuật ẩn tiên tiến và mô-đun được mã hóa bằng nhiều thuật toán, APT10 chắc chắn đang đầu tư rất nhiều vào cách tiến hành tấn công. Thông qua phương pháp thử và sai, chúng đang tìm kiếm kỹ thuật tốt nhất để lây nhiễm các mục tiêu. Dựa trên kết quả điều tra của chúng tôi và mô hình hành vi tấn công của APT10, ngành y tế và chăm sóc sức khỏe chắc chắn đang nằm trong mục tiêu tấn công của nhóm này”, ông cho biết thêm.

Xây dựng hàng rào chống lại APT10

Do tính chất tinh vi của các kỹ thuật của APT10, Kaspersky đề xuất các tổ chức chăm sóc sức khỏe ngoài các giải pháp bảo mật chống virus, nên tập trung vào giải pháp xây dựng xung quanh lõi Machine Learning (Phân tích tấn công nhắm mục tiêu) kết hợp các khả năng phát hiện nâng cao sử dụng danh tiếng tĩnh, cơ sở hành vi, đám mây, sandboxing, YARA và các công cụ phát hiện dựa trên mô hình.

Các dịch vụ tình báo mối đe dọa toàn diện và thời gian thực cũng rất cần thiết để xây dựng hệ thống chống lại các cuộc tấn công mạng vô hình. Dịch vụ này mang đến góc nhìn 360^o về các chiến thuật và công cụ được sử dụng bởi các tác nhân đe dọa được biết đến trong quá khứ và hiện tại, giúp dễ dàng ngăn chặn và phát hiện các nỗ lực tấn công phức tạp.

Ông Stephan Neumeier, Giám đốc điều hành châu Á - Thái Bình Dương tại Kaspersky cho biết: “Khi số hóa nhanh chóng thâm nhập vào lĩnh vực chămsóc sức khoẻ, tội phạm mạng đang nhìn thấy nhiều cơ hội hơn để tấn công ngành sinh lợi và quan trọng này, đãchưa thực sự không được trang bị đủ để đối mặt với mối nguy hiểm ảo này”.

Các cuộc tấn công vào bệnh viện và các cơ sở dược phẩm đã xảy ra trên toàn thế giới, đặc biệt là ở các nước phát triển ở phương Tây. Tuy nhiên, những năm gần đây đã chứng kiến mối đe dọa leo lên châu Á - Thái Bình Dương. Các báo cáo thậm chí còn dự báo rằng ngành y tế trong khu vực này có thể phải chịu thiệt hại kinh tế lên tới 23,3 triệu USD từ các sự cố an ninh mạng.

Singapore, được xem là trung tâm công nghệ và kinh doanh của châu Á, đã phải hứng chịu 4 vụ xâm phạm dữ liệu liên quan đến các tổ chức chăm sóc sức khỏe chỉ trong 12 tháng năm ngoái. Trong đó, một sự cố thậm chí đã liên quan đến hồ sơ sức khỏe của Thủ tướng Singapore.

Không chỉ đối với lĩnh vực y tế, Kaspersky tiết lộ một xu hướng đáng báo động được quan sát thấy trong ngành dược phẩm - sự gia tăng ổn định hàng năm về số lượng thiết bị bị tấn công bởi tội phạm mạng. Từ 44% số máy móc bị nhiễm trong năm 2017, năm 2018 tăng thêm 1% là 45%. Năm nay cũng đã phát hiện thấy 5 trong 10 thiết bị tại một cơ sở dược phẩm hiện đang được nhắm mục tiêu trên toàn cầu.