Nhóm tấn công mạng ẩn 18 tháng trên mạng lưới mà không bị phát hiện

Một nhóm gián điệp mạng chưa được tiết lộ trước đây đang sử dụng các kỹ thuật thông minh để xâm phạm các mạng lưới công ty và đánh cắp thông tin liên quan đến sáp nhập, mua lại và các giao dịch tài chính lớn khác mà có thể không bị phát hiện trong khoảng thời gian tới hơn 18 tháng.

Các nhà nghiên cứu an ninh mạng tại Mandiant đã đặt tên cho nhóm này là UNC3524, đã hoạt động ít nhất từ tháng 12/2019 và sử dụng một loạt các phương pháp tiên tiến để xâm nhập và duy trì sự bền bỉ trên các mạng lưới bị xâm nhập khiến nó khác biệt với hầu hết các nhóm tấn công (hack) khác. Các phương pháp này bao gồm khả năng tái lây nhiễm môi trường ngay lập tức sau khi quyền truy cập bị xóa. Hiện tại vẫn chưa rõ về cách thức đạt được quyền truy cập ban đầu.

Một trong những lý do khiến UNC3524 thành công trong việc duy trì sự bền bỉ trên mạng trong thời gian dài như vậy là do nhóm này cài đặt các cửa hậu (backdoor) trên các ứng dụng và dịch vụ không hỗ trợ các công cụ bảo mật, chẳng hạn như chống virus hoặc bảo vệ điểm cuối.

Các cuộc tấn công cũng khai thác các lỗ hổng trong các sản phẩm IoT (Internet of Things), bao gồm cả camera phòng hội nghị, để triển khai một cửa hậu trên các thiết bị chuyển chúng thành một mạng botnet có thể được sử dụng để di chuyển ngang qua các mạng, cung cấp quyền truy cập vào các máy chủ.

Từ đây, những kẻ tấn công có thể giành được chỗ đứng trong mạng Windows, triển khai phần mềm độc hại hầu như không để lại dấu vết nào, đồng thời khai thác các giao thức Windows tích hợp sẵn, tất cả đều giúp nhóm có quyền truy cập vào thông tin đăng nhập đặc quyền vào môi trường thư Microsoft Office 365 của nạn nhân và các máy chủ Microsoft Exchange.

Sự kết hợp giữa các thiết bị IoT không được giám sát, phần mềm độc hại lén lút và khai thác các giao thức Windows hợp pháp có thể vượt qua để có lưu lượng truy cập thông thường có nghĩa là UNC3524 rất khó phát hiện - và đó cũng là lý do tại sao những kẻ đứng sau các cuộc tấn công có thể ở lại mạng nạn nhân trong một khoảng thời gian đáng kể mà không bị phát hiện.

Các nhà nghiên cứu tại Mandiant cho biết: "Bằng cách nhắm mục tiêu các hệ thống tin cậy trong môi trường nạn nhân không hỗ trợ bất kỳ loại công cụ bảo mật nào, UNC3524 có thể không bị phát hiện trong môi trường nạn nhân trong ít nhất 18 tháng".

Và nếu quyền truy cập của họ vào Windows bằng cách nào đó bị xóa, những kẻ tấn công gần như ngay lập tức quay trở lại để tiếp tục chiến dịch gián điệp và đánh cắp dữ liệu.

UNC3524 tập trung nhiều vào email của các nhân viên làm việc về phát triển công ty, mua bán và sáp nhập, cũng như các giao dịch lớn của công ty. Mặc dù điều này có vẻ như cho thấy động cơ tài chính cho các cuộc tấn công, nhưng thời gian tồn tại hàng tháng hoặc thậm chí hàng năm trong các mạng khiến các nhà nghiên cứu tin rằng động cơ thực sự của các cuộc tấn công là gián điệp.

Theo các nhà nghiên cứu của Mandiant, một số kỹ thuật được UNC3524 sử dụng khi đã ở bên trong các mạng trùng lặp với các nhóm gián điệp mạng bao gồm APT28 (Fancy Bear) và APT29 (Cozy Bear).

Tuy nhiên, họ cũng lưu ý rằng họ hiện "không thể liên kết chắc chắn UNC3524 với một nhóm hiện có", nhưng nhấn mạnh rằng UNC3524 là một chiến dịch gián điệp tiên tiến thể hiện mức độ tinh vi hiếm thấy.

Các nhà nghiên cứu cho biết: "Trong suốt các hoạt động của mình, kẻ tấn công đã chứng minh khả năng bảo mật hoạt động tinh vi mà chúng tôi thấy chỉ có một số lượng nhỏ những kẻ tấn công thể hiện được".

Một trong những lý do khiến UNC3524 mạnh mẽ như vậy là vì nó có khả năng lén lút mà không bị phát hiện với sự trợ giúp của việc khai thác các công cụ và phần mềm ít được giám sát hơn. Theo các nhà nghiên cứu, cơ hội tốt nhất để phát hiện vẫn là ghi nhật ký dựa trên mạng.

Ngoài ra, do các cuộc tấn công tìm cách khai thác các thiết bị và hệ thống IoT không được bảo mật và không được giám sát, nên "các tổ chức nên thực hiện các bước để kiểm kê các thiết bị của họ trên mạng và không hỗ trợ các công cụ giám sát"./.