Khám phá hoạt động của nhóm APT32: nhóm hacker từng tấn công cả châu Á trong đó có Việt Nam

Một ngày tháng Mười năm 2016, một khách hàng mới tìm đến hãng chuyên về an toàn thông tin Cybereason, cho biết họ lo lắng rằng công ty đã bị xâm nhập dưới một hình thức nào đó.

Trên thực tế, Cybereason nhận ra rằng, khách hàng này đã bị tấn công bởi một trong những nhóm hacker nổi tiếng nhất thế giới: APT32.

Tại thời điểm đó khách hàng này, một công ty quốc tế lớn có trụ sở tại châu Á, không biết những thiết bị hay máy chủ nào của họ bị tác động, hay thậm chí biết vụ hack đó đã xảy ra hay không.

Giám đốc bảo mật cao cấp của Cybereason, Assaf Dahan cho biết. “Họ đã thấy rất nhiều điều kỳ lạ xảy ra trong hệ thống mạng của mình.”

Lúc đó, công ty đã sử dụng các sản phẩm bảo mật như tường lửa, các bộ lọc mạng lưới, và máy quét, nhưng không thiết bị nào phát hiện ra vụ xâm nhập. Cho dù vậy, khi Cybereason điều tra, họ bắt đầu tìm ra ngày càng nhiều các hành vi nguy hiểm và đáng ngờ.

Cuối cùng, hãng an ninh mạng đã phát hiện ra một cuộc tấn công với quy mô lớn đã kéo dài hơn một năm, với các liên kết rõ ràng đến nhóm hacker APT32.

Nhóm tin tặc khét tiếng APT32

Còn được gọi là nhóm OceanLotus, APT32 được biết đến với hàng loạt cuộc tấn công tinh vi vào các công ty tư nhân, các chính phủ nước ngoài, các phóng viên và các nhà hoạt động xã hội.

Hoạt động của nhóm này được biết đến từ năm 2012, khi tổ chức này bắt đầu tấn công vào các pháp nhân Trung Quốc trước khi mở rộng việc hack sang toàn bộ châu Á, bao gồm cả Việt Nam và Philippines.

Và không giống như các nhóm hacker nổi tiếng khác, thường có xu hướng ít nhiều liên quan đến các lợi ích của các quốc gia tài trợ cho nhóm tin tặc, APT32 không dính dáng đến các mối quan tâm của những đối thủ sừng sỏ như Nga hay Trung Quốc.

Các chi tiết mới của cuộc tấn công được Cybereason công bố gần đây đã đóng góp vào việc gia tăng hiểu biết về cách thức hoạt động của APT32 và các động thái có thể của nó.

“Những mối đe dọa thường trực cao cấp” như vậy sẽ tiêu tốn không ít nguồn lực tài chính và giờ làm việc để thiết lập và sau đó theo dõi mọi việc diễn ra, nhưng những nhóm tài trợ cho họ sẽ thu lại được các dữ liệu vô giá.

Trong trường hợp này, Cybereason cho rằng APT32 rõ ràng đã nhắm đến các tài sản trí tuệ và các thông tin kinh doanh bí mật, cũng như theo dõi hoạt động của công ty nạn nhân trong các dự án cụ thể theo thời gian.

“Quy mô của cuộc tấn công rõ ràng rất đáng báo động. Đây không phải là một chiến dịch bột phát và tùy hứng.” Dahan cho biết. “Chúng tôi có thể giấu kín thông tin, nhưng chúng tôi chỉ cố bảo vệ tính ẩn danh của khách hàng mình vì vậy chúng tôi có thể không công bố hết tất cả.

Nhưng chúng tôi cảm thấy rằng, một khi được công bố, sẽ có ngày càng nhiều các công ty bảo mật và các cơ quan chính phủ nhận ra mối nguy hiểm này giúp ngăn chặn nhóm đó.”

Trò chơi mèo và chuột

Trong vụ việc Cybereason đã khắc phục, hãng đã truy ngược ra dấu vết của vụ xâm nhập từ các email lừa đảo, nhằm lôi kéo nạn nhân tải xuống một bộ cài đặt Flash giả mạo hoặc một tài liệu Microsoft Word độc hại, và đưa malware vào hệ thống mạng.

Khi được thiết lập xong, nhóm sẽ sử dụng một số công cụ khai thác lỗ hổng và thao tác để di chuyển qua hệ thống mạng lưới và nhúng vào một loạt chương trình độc hại.

Những kẻ tấn công sử dụng công cụ quản lý cấu hình Windows PowerShell, một điểm xâm nhập phổ biến của hacker, để thiết lập các câu lệnh độc hại vào trong hệ thống.

Sau đó, chúng thao túng các dịch vụ quản lý hệ thống mạng hợp lệ của Windows, như Windows Registry Autorun và Windows Schedule Tasks, để duy trì mã độc của chúng một cách vô hạn định, vì vậy nó có thể sống sót ngay cả khi thiết bị khởi động lại.

Những kẻ tấn công cũng khai thác các thuộc tính của Microsoft Outlook, bộ cập nhật ứng dụng của Google, và các công cụ chống Virus để khai thác sâu hơn hệ thống mạng.

Khi đánh giá tình hình vài tuần qua, Cybereason xác định một tập hợp đa dạng các công cụ và kỹ thuật mà những kẻ tấn công sử dụng để duy trì sự hiện diện của mình trong hệ thống mạng.

“Họ nhắm mục tiêu đến đội ngũ quản lý cấp cao như các Phó chủ tịch, các giám đốc và khoảng 40 nhân viên quản lý của công ty, bao gồm cả thư ký của CEO.”

Dahan cho biết. “Họ xác định mục tiêu của mình rất tốt. Họ biết ai để khai thác và nơi để di chuyển tới khi đã ở trong hệ thống mạng. Họ biết chính xác máy móc nào còn tác dụng đối với họ.”

Cho dù vậy, mọi thứ thực sự thú vị, khi Cybereason bắt đầu chặn các kẻ tấn công. Khi chiến dịch chuyển sang việc giới hạn sự hiện diện của nhóm hacker trong hệ thống mạng và cuối cùng loại bỏ chúng, những kẻ xâm nhập bắt đầu tung ra ngày càng nhiều các cuộc tấn công để tái thiết lập bản thân chúng.

Trong khi nhiều nỗ lực ban đầu đã lấn lướt trước các kỹ thuật hack trên thị trường chợ đen, thủ phạm lại tăng cường sử dụng các công cụ tùy chỉnh để chiến đấu với Cybereason trên hệ thống mạng khách hàng.

Sau khi ngăn chặn được những kẻ tấn công khỏi hệ thống mạng, Cybereason cho biết rằng chúng sẽ khôi phục ở bất kỳ đâu trong vòng từ 48 giờ đến 4 tuần tới. Hơn hết, những kẻ tấn công sử dụng đến hơn 70 loại malware khác nhau để thực hiện các giai đoạn của cuộc tấn công dài hạn.

“Họ biết rất rõ về hệ thống mạng, họ có thể tạo ra nhiều cửa hậu hay lối mở để quay lại tấn công, và họ có đủ công cụ trong kho vũ khí của mình.” Dahan cho biết. “Đây thực sự là trò chơi mèo và chuột.”

Những chiến dịch hack cao cấp

Nhiều nhà nghiên cứu đến từ các hãng bảo mật như FireEye đã theo dõi các động thái của APT32, và lưu ý đến các đặc điểm như việc sử dụng cả các công cụ hack phổ biến và tùy chỉnh, cũng như các tài nguyên để duy trì thời gian tồn tại của các công cụ này.

Họ cũng đã công bố một số bộ khai thác mà Cybereason đã chứng kiến hiệu quả của chúng khi được sử dụng.

Nicolas Carr, quản lý cấp cao của Bộ phận Phản ứng Sự cố tại FireEye, người đã tư vấn cho hàng chục trường hợp bị APT32 tấn công, cho rằng loại hình tấn công mà Cybereason mô tả phù hợp với phong cách của APT32, cho dù ông chưa kiểm tra các báo cáo của Cybereason.

"Tôi không mấy ngạc nhiên khi biết rằng APT32 sẽ luôn duy trì việc truy cập vào mạng lưới." Anh cho biết. "Họ quan tâm đến việc truy cập dài hạn tới các nạn nhân mới của mình. Họ có một cơ sở hạ tầng về điều khiển và kiểm soát với quy mô ấn tượng để làm như vậy."

Tuy nhiên, nhiều câu hỏi về APT32 vẫn chưa được giải đáp. FireEye cho rằng các chiến dịch của họ dường như không phục vụ cho lợi ích của chính phủ nào đó, nhưng nhiều nhà nghiên cứu khác chưa tán đồng với nhận định này.

Các chuyên gia cũng chưa chắc chắn về nhận định của Cybereason đối với vai trò của APT32 trong vụ việc cụ thể này.

Nhưng đối với các ví dụ đã biết về những cuộc tấn công của APT32, cả hai bên đều công khai các phân tích của mình và có chung nhận định, APT32 chắc chắn phải có đủ nguồn lực và khả năng để thực thi các cuộc tấn công hệ thống mạng quy mô khổng lồ, đặc biệt cho những chiến dịch giám sát và trích xuất dữ liệu.

"Nếu nhóm này có thể tiến hành đồng thời hàng loạt chiến dịch như vậy, điều đó sẽ nói lên nhiều điều về họ." Dahan cho biết.

“Đó là lời xác nhận cho khả năng, sức mạnh và tài tháo vát của họ.” Tuy nhiên, bằng cách công khai các kỹ thuật của họ, Cybereason hy vọng có thể giảm nhẹ được ảnh hưởng của APT32.

Nguồn: Wired