Cuộc tấn công có chủ đích vào Bộ Tài Nguyên Và Môi Trường Việt Nam

Các chuyên gia của ESET gần đây đã báo cáo về một cuộc tấn công có chủ đích vào bộ Tài Nguyên và Môi trường Việt Nam (Bộ TN&MT). Trong báo cáo này, các nhà nghiên cứu đã xem xét cách những kẻ tấn công nhắm mục tiêu vào các nhân viên của các cơ quan chính phủ Việt Nam, đằng sau những hoạt động của các phần mềm độc hại bên trong hệ thống của Bộ TN & MT và cách những tin tặc đã cố gắng đánh cắp dữ liệu như thế nào. Theo ESET những kẻ tấn công đang “rất quan tâm” các cơ quan chính phủ của Việt Nam.

Kịch bản tấn công

Các nhân viên chính phủ Việt Nam tại Bộ TN&MT bị tấn công với kịch bản như sau. Các nhân viên nhận được một email với tập tin đính kèm một tài liệu Microsoft Word. Các nhân viên của Bộ TN & MT sử dụng webmail để truy cập vào email cá nhân của mình, do đó nhân viên sẽ phải tải về các tài liệu Word về máy mà không dùng được các tính năng “xem trước” trong trình duyệt web khiến cho máy tính của họ bị lây nhiễm mã độc. Cụ thể, khi mở tài liệu Microsoft Word, các tài liệu này đã được chèn các mã khai thác lỗ hổng cùng với một tập tin thực thi có tên là “payload.exe” vào máy tính của nạn nhân. Tập tin Trojan dropper này có ba chương trình có thể thực thi bổ sung trong nó. Cụ thể được mô tả dưới đây.

Hoạt động của phần mềm độc hại

Khi chạy, phần mềm độc hại sẽ kiểm tra xem phầm mềm diệt virus Bkav có đang hoạt động trong máy tính hay không. Nó đã được lập trình để thực hiện việc phá vỡ sự bảo vệ của Bkav. Nếu tìm thấy có sự xuất hiện của Bkav trên máy tính, tập tin Trojan này sẽ unloads “BkavFirewallEngine.dll” từ bộ nhớ bằng cách sử dụng FreeLibrary Function như hình bên dưới

Trojan này thuộc loại Win32/Agent.VXU, đã được ESET phân tích gần đây (bạn đọc quan tâm có thể xem tại đây.) Nó sẽ tạo ra 3 tập tin phá hoại được đặt tên Framework.dll, StartExe.exe và W7e1.tmp và lưu trữ trong thư mục % temp%. ESET cho biết, dựa vào dữ liệu về timestamp trong PE file cho thấy Trojan này mới được tạo từ ngày 24 tháng 4/2014.

Bkav là phần mềm diệt virus nổi tiếng nhất Việt Nam và được sử dụng rất nhiều trong các cơ quan của chính phủ Việt Nam.

Tuy nhiên, tập tin chính “payload.exe” không thực hiện thành công trên Windows XP hay các phiên bản trước đó của Windows do lỗi trong mã nguồn của trojan này khi sử dụng startexe.dl thay vì startexe.exe.

SHELLEXECUTEINFO.lpVerb = “mở”
SHELLEXECUTEINFO.lpFile = “% temp% startexe.dll” ← lỗi
SHELLEXECUTEINFO.lpParameters = “-aa”

Tuy nhiên, trong Windows Vista và các phiên bản mới hơn của Windows, các tập tin phá hủy này vẫn thực thi thành công thông qua việc injection (tiêm) mã độc vào explorer.exe. Framework.dll được chạy như một service trên hệ thống có tên là Framework, nó sẽ kết nối tới địa chỉ 31.170.167.168:443 (Mỹ) hoặc www.google.zzux.com:443, một máy chủ đặt tại Hàn Quốc. Đây thực ra là một backdoor sẽ thực hiện một lệnh command trong Windows “system%% cmd.exe” với input/output được điều khiển bởi các hệ thống máy chủ lệnh điều khiển từ xa (C&C – Command and Control Server).

ESET không tiết lộ thủ phạm

ESET cho biết tại thời điểm này không thể chia sẻ thêm bất kỳ thông tin nào về các thủ phạm đằng sau chiến dịch này. Hiện nay, cơ quan Bộ Tài nguyên và Môi trường Việt Nam có thể không để ý rằng mình là một mục tiêu có giá trị của các cuộc tấn công. Tuy nhiên, sẽ có rất nhiều thông tin bí mật cũng như những mối quan tâm về kinh tế hay chiến lược quốc gia có thể rơi vào tay kẻ tấn công. Vấn đề Biển Đông đang được quan tâm hơn hết trong thời điểm hiện tại và các dữ liệu như bản đồ, khảo sát, nghiên cứu và báo cáo có thể sẽ trở thành mối quan tâm của các quốc gia và các tập đoàn hoạt động trong khu vực.

Kết luận

Mối đe dọa này là một lời nhắc nhở rằng ở đâu có thông tin có giá trị thì ở đó có tội phạm mạng sẽ muốn ăn cắp nó. Khi đối mặt với các cuộc tấn công có chủ đích khai thác lỗ hổng, bạn phải luôn đảm bảo rằng các bản vá lỗi bảo mật cho hệ thống phải được cập nhật và áp dụng một cách kịp thời. Bao gồm hệ điều hành, ứng dụng hay các plug-ins của trình duyệt. Cũng không kém quan trọng là việc đào tạo về nhận thức về an ninh. Một số lưu ý đơn giản nhưng hiệu quả bao gồm:

1. Không bao giờ mở file đính kèm không được yêu cầu hoặc nhấp vào liên kết trong email, ngay cả khi chúng được gửi từ những người bạn biết và tin tưởng.
2. Nếu bạn cảm thấy bạn cần phải mở hoặc nhấp chuột, đầu tiên hãy xem xét các câu hỏi sau:
   • Hệ thống hoạt động, ứng dụng phần mềm hay phần mềm bảo mật của bạn có được cập nhật thường xuyên hay không?
   • Bạn có thể liên hệ với người gửi bằng cách sử dụng phương tiện khác như điện thoại, văn bản… để xác thực email hoặc nội dung nhận được, trước khi mở hoặc nhấp chuột.
   • Bạn có thực sự hiểu biết rõ ràng về những tập tin đính kèm hoặc liên kết là về cái gì hay không?
   • Nguồn gốc của các liên kết có được ghi rõ ràng hay không.
3. Khuyến khích nhân viên báo cáo với các nhân viên CNTT với bất kỳ hoạt động đáng ngờ nào máy tính như yêu cầu kết nối, email, hoặc những hoạt động đáng ngờ khác.

Theo ESET|Welivesecurity.com