Tổ chức gián điệp mạng Red October sử dụng Spear-Phishing xâm nhập điện thoại di động

Một chiến dịch tình báo mạng tinh vi được cho là sự tiếp tục của tổ chức Red October đã được xác định nhắm mục tiêu vào người dùng các thiết bị di động Android, iOS và BlackBerry thông qua các cuộc tấn công spear-phishing.

Các nhà nghiên cứu từ nhà cung cấp an ninh và các giải pháp mạng Blue Coat đã phát hiện ra những nỗ lực tận dụng một cơ sở hạ tầng phức tạp dựa trên “một mạng lưới phức tạp của các proxy router và host thuê, rất có thể bị tổn hại vì các cấu hình kém hoặc các thông tin mặc định” nhằm phát tán các email độc hại đến nạn nhân.

Kaspersky cũng phân tích chiến dịch

Chính vì điều này, họ đã đặt tên cho chiến dịch “The Inception Framework”, ám chỉ bộ phim Christopher Nolan’s Inception với diễn xuất của ngôi sao Leonardo DiCaprio.

Các nhà nghiên cứu tại Kaspersky cũng tiến hành phân tích phần mềm độc hại được sử dụng trong hoạt động này. Họ đặt tên cho nó là Cloud Atlas và đã xác định nhiều điểm tương đồng với các công cụ được sử dụng trong các chiến dịch Red October.

Costin Raiu, giám đốc đội Phân tích và nghiên cứu toàn (GReAT) tại Kaspersky Lab, tweet vào hôm thứ Tư (10/12): “CloudAtlas có nhiều điểm tương đồng với RedOctober, kể cả tính đến những thay đổi về địa chính trị từ 2 năm trở lại đây”.

Những kẻ tấn công sử dụng máy chủ ngoại tuyến, tránh bị phân tích đầy đủ

Trong một bản tường trình về Inception/Cloud Atlas, Blue Coat tiết lộ rằng tội phạm lên kế hoạch tấn công vào các thiết bị di động của mục tiêu cao cấp trong các lĩnh vực khác nhau, từ tài chính và công nghiệp dầu mỏ tới quân sự, kỹ thuật và chính trị, tại các nơi khác nhau trên thế giới. Các nhà nghiên cứu phát hiện ra rằng các dịch vụ rút gọn URL Bit.ly đã được sử dụng để tạo ra các liên kết trỏ đến máy phục vụ payload độc hại cho các thiết bị di động.

Từ một tài khoản riêng, khoảng 10.000 liên kết như vậy được tạo ra, tất cả dẫn đến ba địa chỉ IP duy nhất, với một mô hình trong đó có một dụng cụ xác nhận mục tiêu và một mã hoạt động để phục vụ một phần mềm độc hại đội lốt cập nhật ứng dụng (WhatsApp hay Viber) hoặc MMS lừa đảo.

Trong trường hợp lừa đảo, mã hành động cũng xác định các mạng di động cho các thiết bị để cung cấp logo của công ty viễn thông phù hợp. Blue Coat nói rằng họ không thể có được tất cả các dữ liệu về các nhà khai thác di động bị nhắm mục tiêu vì những kẻ tấn công sử dụng máy chủ ngoại tuyến.

Báo cáo cho biết “Chúng tôi cố gắng lấy được 66 trong tổng số 190”, chiếm 35%, sau khi đi qua 3152 trên 4781 liên kết lừa đảo. Theo các thông tin tình báo mà họ thu thập được, có vẻ như ba nhà khai thác hàng đầu bị nhắm mục tiêu là Vodafone, T-Mobile, và Proximus (Belgacom).

Chức năng của các phần mềm độc hại, trích xuất thông tin

Phân tích các bản cập nhật độc hại, Blue Coat thấy rằng các tính năng chính của phiên bản Android của phần mềm độc hại là ghi lại các cuộc gọi, nhưng nó cũng có thể theo dõi vị trí, đọc danh sách liên lạc, theo dõi các cuộc gọi đến/đi hoặc tin nhắn văn bản.

Những kẻ tấn công sử dụng các tài khoản LiveJournal để lưu trữ các thông tin và liên lạc với các thiết bị xâm nhập. Trên iOS, nó bị phát hiện rằng bản cập nhật giả mạo một trình cài đặt Cydia, mà có thể được thêm vào chỉ trên các thiết bị jailbroken.

Các dữ liệu sẽ được gửi đến một tài khoản FTP trên một dịch vụ lưu trữ tại Vương quốc Anh và bao gồm thông tin thiết bị và hệ thống, sổ địa chỉ, số điện thoại, tên của người vận chuyển, trạng thái WiFi, địa chỉ MAC, mức độ pin, tổng dung lượng và dung lượng còn trống, múi giờ (mặc định và địa phương), Apple ID, danh sách các ứng dụng được tải xuống và máy tính được sử dụng để tạo ra một bản sao lưu.

Trên nền tảng BlackBerry, một cài đặt tương tự các chi tiết như trong trường hợp của iOS đã được lấy ra và chuyển giao cho một tên miền DynDNS trong một dịch vụ webhosting trụ sở tại Mỹ.

Điểm quan trọng cần lưu ý là các máy chủ C&C là khác nhau đối với mỗi nền tảng. Trong trường hợp máy tính để bàn, những kẻ tấn công dựa trên dịch vụ lưu trữ đám mây CloudMe Thụy Điển để lưu trữ các dữ liệu bị đánh cắp và để cung cấp mô-đun mới cho hệ thống bị xâm nhập.

Trong một cuộc trò chuyện với Costin Raiu Twitter, CloudMe cho biết họ sẽ xóa tất cả các tài khoản tham gia vào các chiến dịch Inception/Cloud Atlas.

Softpedia