NSA, FBI cảnh báo về phần mềm độc hại mới được dùng để tấn công gián điệp
An toàn thông tin - Ngày đăng : 21:08, 14/08/2020
Chính phủ Mỹ đã ra cảnh báo về một phần mềm độc hại mới nhắm vào các hệ thống Linux có tên là Drovorub. Mỹ cũng cho rằng phần mềm độc hại này được phát triển cho một đơn vị quân đội Nga để thực hiện các hoạt động gián điệp mạng.
Phần mềm độc hại Drovorub có vô số các khả năng gián điệp, bao gồm đánh cắp tệp và điều khiển máy tính của nạn nhân từ xa. Drovorub rất tinh vi và được thiết kế để tàng hình, sử dụng công nghệ "rootkit" tiên tiến khiến việc phát hiện trở nên khó khăn.
Theo khuyến nghị được đưa ra hôm 13/8 từ NSA và FBI, phần mềm độc hại này là mối đe dọa đặc biệt đối với các hệ thống an ninh quốc gia như Bộ Quốc phòng Mỹ và khách hàng của các cơ sở công nghiệp quốc phòng có sử dụng hệ thống Linux.
Rootkit là phần mềm hoặc bộ công cụ phần mềm che giấu sự tồn tại của một phần mềm khác mà thường là virus xâm nhập vào hệ thống máy tính. Rootkit thường được hacker dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính. Nó sẽ che dấu dữ liệu hệ thống, tập tin hoặc tiến trình đang chạy, từ đó hacker có thể vào hệ thống máy tính mà không thể biết được.
"Drovorub là một bộ công cụ phần mềm độc hại chạy trên Linux, bao gồm một bộ cấy ghép với rootkit, một công cụ chuyển tiếp tệp và chuyển tiếp cổng giao tiếp cũng như máy chủ ra lệnh và điều khiển (C2)", theo một phân tích chuyên sâu dày 45 trang về phần mềm độc hại này do FBI và NSA công bố ngày 13/8.
"Khi được triển khai trên hệ thống máy tính của nạn nhân, bộ cấy Drovorub (máy khách) sẽ cung cấp khả năng liên lạc trực tiếp với cơ sở hạ tầng C2 do những kẻ tấn công kiểm soát; tải xuống và tải lên các tệp tin; thực hiện các lệnh tùy ý như là 'root'; và chuyển tiếp cổng lưu lượng mạng tới các máy chủ khác".
Mặc dù đây là báo cáo chuyên sâu nhưng FBI và NSA lại không nêu chi tiết cách thức tấn công ban đầu của phần mềm độc hại này. Báo cáo cũng không nêu rõ Drovorub đã hoạt động trong bao lâu hoặc bao nhiêu công ty có thể đã bị nó nhắm đến - và liệu đã có bất kỳ cuộc tấn công nào thành công hay chưa. Các cơ quan này cho biết tác nhân đe dọa đằng sau phần mềm độc hại sử dụng "nhiều kỹ thuật độc quyền, được biết đến để nhắm đến mục tiêu là các hệ thống mạng và duy trì phần mềm độc hại này trên các thiết bị thương mại".
Drovorub cho phép khởi động các chiến dịch chống phá
Đáng chú ý, theo báo cáo, cái tên "Drovorub" là từ nhiều bằng chứng được phát hiện trong hồ sơ Drovorub. FBI và NSA nói, đây là tên được sử dụng bởi chính những kẻ tấn công và được dịch ra có nghĩa là "tiều phu" hoặc "đốn cây."
Hồ sơ Drovorub đề cập đến một bộ phần mềm độc hại có 4 thành phần riêng biệt bao gồm: tác nhân, máy khách, máy chủ và mô-đun nhân. Khi được triển khai trên máy của nạn nhân, ứng dụng Drovorub được cài đặt đầu tiên, sau đó nó cung cấp khả năng liên lạc trực tiếp với cơ sở hạ tầng C2 do tác nhân kiểm soát.
Khi máy khách tiếp xúc với máy chủ do kẻ tấn công kiểm soát, nó sẽ sử dụng một thành phần tác nhân để nhận lệnh. Các lệnh đó có thể kích hoạt khả năng tải xuống và tải lên tệp, thực thi các lệnh tùy ý như "root" và chuyển tiếp cổng lưu lượng mạng đến các máy chủ khác trên hệ thống.
Các nhà nghiên cứu bảo mật cho biết, các chức năng của phần mềm độc hại này có thể cho phép những kẻ tấn công khởi động các chiến dịch tác chiến mạng để chống phá các công ty mà không cần quan tâm khoảng cách về địa lý.
Allan Liska, nhà phân tích thông tin về mối đe dọa của Recorded Future, cho biết trên Twitter rằng ông "tò mò về mức độ phổ biến của các cuộc tấn công này".
Theo các cơ quan chức năng Mỹ, việc triển khai SecureBoot ở chế độ "đầy đủ" hoặc "triệt để" (SecureBoot in "full" or "thorough") có thể ngăn chặn các mô-đun độc hại như Drovorub.
FBI và NSA cho biết điều này sẽ ngăn Drovorub có thể ẩn mình trong một hệ thống. Các tùy chọn giúp phát hiện và giảm thiểu các tác hại khác. Chúng phải được sử dụng càng nhanh càng tốt trước khi Drovorub thực hiện các thay đổi.