Chiến dịch “Sandworm” từ Nga theo dõi các chính phủ nước ngoài trong nhiều năm

Một chiến dịch gián điệp được cho là có trụ sở tại Nga đã nhắm mục tiêu vào các nhà lãnh đạo và các tổ chức chính phủ trong gần 5 năm, các nhà nghiên cứu của iSight Partners đã kiểm tra mã sử dụng trong các cuộc tấn công và thông báo.

Chiến dịch này, đặt tên là “Sandworm” được cho là đã được tiến hành từ năm 2009 và khai thác zero-day trên phạm vi rộng, có ảnh hưởng đến hầu hết các phiên bản của hệ điều hành Windows được phát hành kể từ phiên bản Windows Vista.

Mặc dù iSight chỉ quan sát một số lượng nhỏ nạn nhân bị nhắm mục tiêu trong chiến dịch, nhưng các nạn nhân bao gồm nhiều tổ chức khác, Tổ chức Hiệp ước Bắc Đại Tây Dương, các chính phủ Ukraina và Liên minh châu Âu, các công ty năng lượng và viễn thông, các công ty quốc phòng, cũng như ít nhất một học viện tại Hoa Kỳ đã bị chọn do công ty này tập trung về các vấn đề Ukraina. Những kẻ tấn công cũng nhắm mục tiêu vào thành viên tham dự hội nghị GlobSec năm nay, một cuộc họp an ninh quốc gia cấp cao quy tụ ngoại trưởng và các nhà lãnh đạo hàng đầu khác từ châu Âu và các nơi khác mỗi năm.

Có vẻ như Sandworm tập trung vào tìm kiếm tài liệu và email có chứa thông tin tình báo và thông tin về ngoại giao Ukraine, Nga và các chủ đề khác có tầm quan trọng trong khu vực. Nhưng nó cũng tìm cách ăn cắp key SSL và chứng nhận đăng ký code mà kẻ tấn công có thể sử dụng để tiếp tục chiến dịch của chúng và xâm nhập các hệ thống khác, iSight cho biết

Các nhà nghiên cứu gọi là hoạt động “Sandworm” vì những kẻ tấn công tạo ra nhiều chỉ dẫn phức tạp tới loạt khoa học viễn tưởng Dune trong code của chúng. Sandworms, trong cuốn sách Frank Herbert, là những sinh vật sa mạc trên hành tinh Arrakis được thờ phụng như một vị thần.

iSight không phải là công ty đầu tiên phát hiện những kẻ tấn công. Các công ty an ninh khác, trong đó có F-Secure tại Phần Lan, đã phát hiện ra các nạn nhân trong những năm qua. Nhưng iSight có thể liên hệ các cuộc tấn công với nhau để vạch trần sự tương đồng trong chiến dịch 5 năm. Chiến dịch này đã mã hóa các chỉ dẫn tới Dune – xuất hiện trong URL trên máy chủ C&C của những kẻ tấn công – và điều này đã giúp liên kết một số cuộc tấn công với nhau. Các URL bao gồm chuỗi base64 giải mã thành “arrakis02”, “houseatreides94” và “epsiloneridani0” trong số những mã khác.

Lỗ hổng zero-day này sử dụng trong một số cuộc tấn công đã được phát hiện vào đầu tháng 9. Những kẻ tấn công sử dụng nó để lây nhiễm file đính kèm độc hại, chủ yếu là các tập tin PowerPoint cho các nạn nhân. iSight Partners đã làm việc với Microsoft để sửa chữa vấn đề, một bản vá cho lỗ hổng này hiện đang được phát hành.

Zero-day ảnh hưởng đến cách Windows xử lý tập tin PowerPoint và cho phép kẻ tấn công thực hiện mã từ xa trên các hệ thống bị nhắm mục tiêu. Khi nạn nhân nhấp chuột vào một tập tin PowerPoint độc hại, khai thác trong các tập tin cài đặt sẽ mở ra một backdoor vào hệ thống.

Các nhà nghiên cứu đã tìm thấy các mẫu của các phần mềm độc hại được thiết kế để liên lạc thông qua các máy chủ proxy nội bộ trên mạng của nạn nhân. Nhiều công ty cài đặt proxy giữa hệ thống nội bộ và Internet để bảo vệ những hệ thống nội bộ này và thực hiện các chính sách sử dụng Internet. Thông tin liên lạc gửi đi được định tuyến thông qua các máy chủ, sử dụng địa chỉ IP nội bộ riêng mà không công bố ra ngoài. Các nhà nghiên cứu tìm thấy các địa chỉ proxy thuộc mạng nạn nhân mã hóa thành các phần mềm độc hại cho phép chúng gửi dữ liệu bị đánh cắp đến các máy chủ C&C của chúng. Những kẻ tấn công đã hoàn thành việc trinh sát và biết cách bố trí của mạng nội bộ để biết cách lấy các dữ liệu bị đánh cắp ra ngoài.

Hai chi tiết của Sandworm đưa iSight Partner đi đến kết luận nó có nguồn gốc từ Nga, có thể là một hoạt động được nhà nước bảo trợ. Đầu tiên, các tập tin được sử dụng cho  các máy chủ C&C được viết bằng tiếng Nga; và thứ hai, các nạn nhân bị nhắm mục tiêu và các loại thông tin được sử dụng để thu hút họ click chuột vào file đính kèm độc hại tập trung vào chủ đề mà các đối thủ của Nga sẽ quan tâm đến. Một tập tin đính kèm là danh sách ủng hộ “kẻ khủng bố” chống lại Nga và nạn nhân được mời xem thông tin.

Những nạn nhân khác đã trở thành mục tiêu với các email có nội dung cung cấp thông tin về hoạt động quân sự và tình báo nhằm chống lại Nga. Trong năm 2013, NATO đã trở thành mục tiêu với một tài liệu giả mạo tập trung vào ngoại giao châu Âu, một công ty năng lượng Ba Lan đã  trở thành mục tiêu với một tập tin đính kèm có nội dung là về khí đá phiến sét. Đầu năm nay, các quan chức chính phủ cấp cao tham dự hội nghị GlobSec tại Bratislava, Slovakia, đã trở thành mục tiêu với một email độc hại giả mạo đến từ cơ quan tổ chức hội nghị. Thủ tướng Ukraina Arseniy Yatsenyuk và Vitali Klitschko, cựu vô địch quyền Anh hạng nặng và một ứng cử viên cho chức vụ thị trưởng thành phố Kiev, được dự kiến ​​sẽ tham dự hội nghị nhưng bị hủy bỏ vào phút chót.

Wired