Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm.

Một ủy ban của chính phủ liên bang Hoa Kỳ liên quan đến các quyền quốc tế đang là mục tiêu mà một cửa hậu nhắm tới. Theo báo cáo, cửa hậu này đã xâm nhập vào mạng nội bộ của cơ quan thông qua một phương pháp được các nhà nghiên cứu cho là “thao tác kiểu ATP cổ điển.”

Một công ty an ninh mạng cho biết: “Cuộc tấn công này có thể dẫn đến khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể đóng vai trò như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn để xâm nhập sâu hơn vào mạng này hoặc các mạng khác.”

Tên của cơ quan liên bang đó không được tiết lộ, nhưng theo các báo cáo từ Ars Technica và The Record, đó chính là Ủy ban Tự do Tôn giáo Quốc tế Hoa Kỳ (USCIRF). Ở giai đoạn này, chỉ phát hiện được một vài manh mối về cuộc tấn công, vẫn còn nhiều ẩn số liên quan đến bản chất của vectơ truy cập ban đầu được sử dụng để xâm phạm mạng, chuỗi các hành động sau khai thác của kẻ tấn công và tác động tổng thể của sự xâm phạm.

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm. Để làm được điều đó, tin tặc đã lạm dụng WinDivert, một tiện ích thu thập gói hợp pháp của Windows.

Đáng chú ý là cả hai mẫu giả dạng một thư viện Oracle có tên “oci.dll“, trình giải mã giai đoạn hai được triển khai trong cuộc tấn công được phát hiện có chung điểm tương đồng với một tệp thực thi khác được các nhà nghiên cứu bảo mật khác công bố vào năm 2018. Nội dung công bố đã đào sâu vào một cuộc tấn công vào chuỗi cung ứng để đánh cắp thông tin được mệnh danh là “Chiến dịch Chữ ký Đỏ” nhằm vào các tổ chức ở Hàn Quốc. Sự trùng lặp này đã dấy lên nghi ngờ rằng những kẻ tấn công đã có quyền truy cập vào mã nguồn sau này.

Các nhà nghiên cứu cho biết: “Có thể cho rằng một số hình thức thu thập và lọc dữ liệu của lưu lượng mạng đã xảy ra, nhưng đó là suy đoán đã được thông báo từ trước. Điều đó cho thấy, chúng tôi không có cách nào để biết chắc chắn về quy mô và phạm vi của cuộc tấn công này ngoài những gì chúng tôi đã thấy.”

Theo The Hacker News