Hacker Trung Quốc thực hiện tấn công Watering Hole cấp độ quốc gia

Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch gián điệp nhắm vào một trung tâm dữ liệu quốc gia của một quốc gia châu Á chưa rõ danh tính để tiến hành các cuộc tấn công watering hole.

Chiến dịch này được cho là hoạt động bí mật kể từ mùa thu năm 2017 nhưng chỉ được phát hiện vào tháng 3 bởi các nhà nghiên cứu bảo mật của Kaspersky Labs. Các nhà nghiên cứu nghi ngờ rằng các cuộc tấn công này đến từ một nhóm nguy hiểm đến từ Trung Quốc có tên là LuckyMouse..

LuckyMouse còn được biết đến với tên gọi là Iron Tiger, EmissaryPanda, APT 27 và Threat Group-3390. Đây là nhóm tin tặc Trung Quốc được mục tiêu nhắm đến các quốc gia châu Á với phần mềm độc hại khai thác Bitcoin vào đầu năm nay.  Nhóm này đã hoạt động ít nhất là từ năm 2010 và đứng đằng sau nhiều chiến dịch tấn công được biết đến trước đó. Kết quả các cuộc tấn công này là một lượng lớn dữ liệu bị đánh cắp dữ liệu từ các giám đốc và nhà quản lý của các nhà thầu quốc phòng có trụ sở tại Hoa Kỳ.

Lần này, nhóm đã chọn một trung tâm dữ liệu quốc gia một lượng lớn dữ liệu bị đánh cắp trong với nỗ lực có thể “nhanh chóng đạt được quyền truy cập vào một loạt các tài nguyên của chính phủ.”

Theo các nhà nghiên cứu, nhóm đã tiêm mã JavaScript độc hại vào các trang web chính thức của chính phủ mà có liên kết với các trung tâm dữ liệu để tiến hành các cuộc tấn công “watering hole”.

Mặc dù LuckyMouse đã có từng sử dụng một lỗ hổng đã được sử dụng rộng rãi của Microsoft Office (CVE-2017-11882) nhằm vũ khí hóa các tài liệu Office trong quá khứ, các nhà nghiên cứu lại không có bằng chứng nào về việc kỹ thuật này đang được sử dụng trong cuộc tấn công lần này vào các trung tâm dữ liệu.

Chưa phát hiện ra phương thức tấn công đầu tiên được sử dụng trong cuộc tấn công vào trung tâm dữ liệu nhưng các nhà nghiên cứu tin rằng LuckyMouse có thể đã tiến hành các cuộc tấn công “watering hole” hoặc tấn công lừa đảo để xâm phạm tài khoản của nhân viên tại trung tâm dữ liệu quốc gia.

Cuộc tấn công nhắm vào trung tâm dữ liệu cuối cùng đã lây nhiễm vào hệ thống một phần mềm độc hại được gọi là HyperBro, một Remote Access Trojan (RAT) được lây nhiễm để duy trì quyền admin từ xa trong hệ thống đích.

Trong một bài viết trên blog được xuất bản ngày hôm nay, các nhà nghiên cứu cho rằng: “Đã có dấu vết của HyperBro trong trung tâm dữ liệutừ giữa tháng 11 năm 2017. Kết quả của cuộc tấn công watering hole vào các website của chính phủ là ngay lập tức sau đó những người dùng trong nước bắt đầu được chuyển hướng đến tên miền update.iaacstudio[.]com.”

“Những sự kiện này cho thấy rằng trung tâm dữ liệu bị nhiễm HyperBro và chiến dịch tấn công “watering hole” có liên quan với nhau.”

Sau cuộc tấn công “watering hole”, các trang web của chính phủ bị tấn công đã chuyển hướng các khách truy cập trên phạm vi cả nước đến trình kiểm tra thâm nhập Browser Exploitation Framework (BeEF). Nhắm tới trình duyệt web, hoặc ScanBox reconnaissance framework với chức năng như một keylogger.

Các máy chủ chỉ huy và điều khiển (C&C) được sử dụng trong cuộc tấn công watering hole này được đặt trên một địa chỉ IP thuộc về một UkraineISP, cụ thể  hơn là một bộ định tuyến có tên MikroTik chạy phiên bản firmware được phát hành vào tháng 3 năm 2016.

Các nhà nghiên cứu tin rằng bộ định tuyến Mikrotik đã bị tấn công phục vụ chochiến dịch này đểphần mềm độc hại HyperBro có thể vượt qua các giao thức HTTP mà không bị phát hiện.

THN