Các nhà nghiên cứu cho biết chính phủ Trung Quốc đứng đằng sau các vụ xâm nhập mạng gần một thập kỷ, sử dụng phần mềm độc hại tiên tiến để xâm nhập các công ty phần mềm và game ở Mỹ, Châu Âu, Nga và các nơi khác. Tin tặc đã tấn công gần đây nhất là vào tháng 3 trong một chiến dịch sử dụng email lừa đảo để truy cập tài khoản Office 365 và Gmail nhạy cảm. Trong quá trình này, họ đã tạo các lỗi bảo mật nghiêm trọng về hoạt động, tiết lộ thông tin quan trọng về các mục tiêu và vị trí có thể của họ.

Chính phủ Trung Quốc đứng đằng sau các cuộc tấn công công ty software
Thông báo lừa đảo này sử dụng dịch vụ rút ngắn liên kết của Google, cho phép các nhà nghiên cứu tìm hiểu chi tiết về các mục tiêu tiềm năng.

Các nhà nghiên cứu từ các tổ chức an ninh khác nhau đã sử dụng nhiều tên khác nhau để phân công trách nhiệm cho các hack, bao gồm LEAD, BARIUM, Wicked Panda, GREF, PassCV, Axiom và Winnti. Trong nhiều trường hợp, các nhà nghiên cứu cho rằng các nhóm là khác biệt và không liên kết. Theo một báo cáo 49 trang được công bố hôm thứ năm (03/05), tất cả các cuộc tấn công là công việc của bộ máy tình báo của chính phủ Trung Quốc, mà các tác giả của báo cáo gọi là Winnti Umbrella. Các nhà nghiên cứu từ 401TRG, nhóm nghiên cứu và phân tích mối đe dọa tại công ty bảo mật ProtectWise, dựa trên cơ sở hạ tầng mạng, chiến thuật, kỹ thuật và thủ tục được sử dụng trong các cuộc tấn công cũng như các lỗi bảo mật hoạt động.

Một thập kỷ tấn công

Các cuộc tấn công liên quan đến Winnti Umbrella đã hoạt động từ ít nhất năm 2009 và có thể có từ năm 2007. Vào năm 2013, công ty chống virus Kaspersky Lab đã báo cáo rằng tin tặc sử dụng máy tính có cấu hình ngôn ngữ Trung Quốc và Hàn Quốc sử dụng một backdoor gọi là Winnti để lây nhiễm hơn 30 công ty trò chơi video trực tuyến vào bốn năm trước. Những kẻ tấn công sử dụng quyền truy cập trái phép của họ để có được thông tin đăng nhập mà sau này được khai thác để cài phần mềm độc hại sử dụng trong các chiến dịch nhắm mục tiêu đến các ngành khác và các nhà hoạt động chính trị.

Cũng trong năm 2013, hãng bảo mật Symantec đã báo cáo về một nhóm hack có tên Hidden Linx bị tấn công bởi hơn 100 tổ chức, bao gồm cả sự xâm nhập năm 2012 đã đánh cắp khóa mật mã từ Bit9 và sử dụng nó để lây nhiễm ít nhất ba khách hàng của công ty bảo mật.

Trong những năm sau đó, các tổ chức an ninh Novetta, Cylance, Trend Micro, Citizen LabProtectWise đã đưa ra các báo cáo về các chiến dịch Winnti Umbrella khác nhau. Một chiến dịch liên quan đến các vụ vi phạm mạng cao cấp đã đánh bại Google và 34 công ty khác trong năm 2010.

Các nhà nghiên cứu của ProtectWise viết: “Mục đích của báo cáo này là tạo ra các liên kết công khai trước đây chưa được báo cáo tồn tại giữa một số hoạt động tình báo của nhà nước Trung Quốc. Những hoạt động này và các nhóm thực hiện chúng đều được liên kết với Winnti Umbrella và hoạt động dưới bộ máy tình báo của Trung Quốc.”

Các nhóm thường sử dụng lừa đảo để xâm nhập vào mạng của mục tiêu. Trong các cuộc tấn công trước đó, các nhóm liên kết sau đó sử dụng xâm nhập ban đầu để cài đặt một backdoor tùy chỉnh. Gần đây hơn, các nhóm đã áp dụng các kỹ thuật lây nhiễm living-off-the-land, dựa trên các hệ thống truy cập được chấp thuận hoặc các công cụ quản trị hệ thống của riêng mục tiêu để lan truyền và duy trì sự truy cập trái phép.

Các tên miền được sử dụng để cung cấp phần mềm độc hại và kiểm soát lệnh trên các máy bị nhiễm thường chồng lên nhau. Những kẻ tấn công thường dựa vào mã hóa TLS để che giấu phân phối phần mềm độc hại và lưu lượng truy cập C&C. Trong những năm gần đây, các nhóm dựa vào Let’s Encrypt để thực hiện TLS.

Mục tiêu tấn công

Các nhóm tấn công các tổ chức nhỏ hơn trong ngành công nghiệp game và công nghệ và sau đó sử dụng code-signing certificate và các tài sản khác để xâm nhập các mục tiêu chính, chủ yếu là chính trị. Các mục tiêu chính trong các chiến dịch trước đây đã bao gồm các nhà báo Tây Tạng và Trung Quốc, các nhà hoạt động Uyghur và Tây Tạng, chính phủ Thái Lan và các tổ chức công nghệ nổi bật.

Tháng 8 năm ngoái, Kaspersky Lab đã báo cáo rằng các công cụ quản lý mạng được bán bởi nhà phát triển phần mềm NetSarang của Hàn Quốc đã bị cài một backdoor cho phép kẻ tấn công hoàn toàn kiểm soát các máy chủ NetSarang. Backdoor mà Kaspersky Lab gọi là ShadowPad có điểm tương đồng với backdoor Winnti và một phần mềm độc hại khác cũng liên quan đến Winnti được gọi là PlugX.

Kaspersky cho biết họ phát hiện ShadowPad thông qua một giới thiệu từ một đối tác trong ngành công nghiệp tài chính mà họ quan sát thấy một máy tính được sử dụng để thực hiện các giao dịch đã đưa ra các yêu cầu tra cứu tên miền đáng ngờ. Vào thời điểm đó, các công cụ NetSarang đã được hàng trăm ngân hàng, công ty năng lượng và các nhà sản xuất dược phẩm sử dụng.

Kết luận

ProtectWise cho biết kể từ đầu năm, các thành viên của Winnti đã tiến hành các cuộc tấn công lừa đảo nhằm lừa các nhân viên CNTT trong các tổ chức khác nhau để chuyển thông tin đăng nhập cho các tài khoản trên các dịch vụ đám mây như Office 365 và G Suite. Một chiến dịch được tiến hành trong tám ngày bắt đầu từ ngày 20 tháng 3 sử dụng dịch vụ rút ngắn liên kết goo.gl của Google, qua đó cho phép ProtectWise sử dụng dịch vụ phân tích của Google để thu thập các chi tiết chính. Hình ảnh của thông báo xuất hiện ở đầu bài đăng này.

Dịch vụ cho thấy rằng liên kết đã được tạo vào ngày 23 tháng 2, khoảng ba tuần trước khi chiến dịch hoạt động. Nó cũng cho thấy các liên kết lừa đảo độc hại đã được nhấp tổng cộng 56 lần: 29 lần từ Nhật Bản, 15 lần từ Mỹ, 2 lần từ Ấn Độ, và 1 lần từ Nga. Trình duyệt Chrome đã nhấp vào liên kết 33 lần và 23 nhấp chuột đến từ người dùng Safari. 30 lần nhấp đến từ máy tính Windows và 26 nhấp chuột từ máy chủ MacOS.

Những kẻ tấn công có quyền truy cập vào dịch vụ đám mây của các mục tiêu đã tìm kiếm tài liệu mạng nội bộ và công cụ để truy cập từ xa các mạng công ty. Những kẻ tấn công thành công thường sử dụng các quy trình tự động để quét các mạng nội bộ cho các cổng mở 80, 139, 445, 6379, 8080, 20022 và 30304. Các cổng này cho thấy sự quan tâm đến Web, dịch vụ lưu trữ tệp và khách hàng sử dụng tiền tệ ảo Ethereum.

Hầu hết thời gian, những kẻ tấn công sử dụng máy chủ C&C của họ để che giấu địa chỉ IP thực. Tuy nhiên trong một vài trường hợp, những kẻ xâm nhập đã truy cập nhầm máy bị nhiễm mà không có proxy. Trong tất cả các trường hợp đó, khối IP là 221.216.0.0/13, thuộc mạng lưới China Unicom Beijing Network ở quận Xicheng.

Báo cáo kết luận: “Những kẻ tấn công phát triển và học cách né tránh phát hiện khi có thể nhưng thiếu an ninh hoạt động khi nói đến việc tái sử dụng một số dụng cụ. Khả năng thích ứng với các mạng mục tiêu riêng lẻ cho phép họ hoạt động với tỷ lệ thành công cao. Mặc dù đôi khi họ bị cẩu thả, Winnti Umbrella và các thực thể liên quan của nó vẫn là một mối đe dọa lớn và tiềm năng.”