Vì sao gián điệp mạng Equation Group khét tiếng nguy hiểm?

Các chuyên gia Kaspersky Lab đã phát hiện một nhóm tin tặc hoạt động trong gần hai thập kỷ, nổi bật bởi các kỹ thuật phức tạp và tinh vi, mang tên The Equatation Group. Nhóm tin tặc này đã sử dụng các công cụ phức tạp và đắt tiền để lây nhiễm mã độc cho máy tính, đánh cắp dữ liệu, che đậy giấu vết một cách chuyên nghiệp cũng như là  tận dụng các kỹ thuật gián điệp cổ điển nhằm phát tán phần mềm độc hại.

Hàng ngàn nạn nhân cao cấp trên toàn cầu

Từ năm 2001, Equation Group đã thực hiện hàng ngàn việc lây nhiễm, hoặc có thể lên đến hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới, bao gồm các lĩnh vực : Chính phủ và các cơ quan ngoại giao, các viện viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, công nghệ nano, các nhà hoạt động quân sự và các học giả, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã hóa.

Để lây nhiễm nạn nhân, Equation Group sử dụng kĩ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.

Điều gì tạo nên sự độc đáo của Equation Group?

Khả năng bền bỉ và tàng hình

Viện nghiên cứu và phân tích toàn cầu Kaspersky Lab – GreAT - đã có thể khôi phục lại hai mô-đun cho phép việc tái lập trình firmware ổ cứng của hơn một tá nhãn hiệu HDD phổ biến. Đây có lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group và khả năng đầu tiên được biết đến là lây nhiễm phần mềm độc hại cho các ổ đĩa cứng.

Bằng cách tái lập trình firmware của ổ cứng (tức là viết lại hệ điều hành của ổ đĩa cứng), nhóm đạt được hai mục đích:

1. Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặthệ điều hành. Nếu mã độc được đưa vào firmware, nó có thể tự hồi sinh mãi mãi. Nó có thể ngăn chặn việc xóa một khu vực nhất định hoặc thay thế một ổ địa khác trong quá trình khởi động hệ thống.

Costin Raiu, Giám đốc GReAT Kaspersky Lab, cho biết: “Một điều nguy hiểm là khi ổ cứng bị nhiễm độc, nó không thể tự quét firmware. Nguyên nhân là dohầu hết các ổ cứng có chức năng để viết vào phần cứng của firmware nhưng không có chức năng để đọc nó trở lại.”

2. Khả năng tạo ra một thế giới vô hình ẩn bên trong ổ đĩa cứng. Nó được sử dụng để lưu thông tin bí mật mà sau này có thể được lấy ra bởi những kẻ tấn công. Ngoài ra, trong một số trường hợp, nó có thể giúp nhóm để crack các mật mã:“Thực tế rằng việc chúng cấy ghép GrayFish từ việc khởi động hệ thống, có thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này,” Costin Raiu nói thêm.

Khả năng truy xuất dữ liệu từ các mạng bị cô lập

Sâu Fanny được phát hiện ra từ tất cả các cuộc tấn công được thực hiện bởi các nhóm Equation. Mục đích chính của nó là để lập bản đồ hệ thống mạng cô lập (air-gapped network), nói cách khác là để hiểu được cấu trúc liên kết của một mạng lưới mà chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để làm được điều này, nó sử dụng 1 USB đặc biệt dựa trên cơ chế C&C cho phép kẻ tấn công truyền dữ liệu qua lại từ air-gapped network.

Khi một USB nhiễm độc có một khu vực lưu trữ ẩn, được sử dụng để thu thập thông tin cơ bản từ máy tính không kết nối Internet và gửi thông tin về máy chủ C&C. Khi USB được cắm vào một máy tính bị nhiễm sâu Fanny và có kết nối Internet.Nếu kẻ tấn công muốn chạy lệnh trên air-gapped network, chúng có thể lưu được các lệnh này trong khu vực ẩn của USB.  Khi USB được cắm trở lại vào các máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi chúng.

Phương pháp gián điệp cổ điển để phát tán phần mềm độc hại

Những kẻ tấn công sử dụng phương pháp phổ quát để lây nhiễm các mục tiêu: không chỉ thông qua các trang web, mà còn trong thế giới vật chất. Chúng đã dùng một kỹ thuật ngăn chặn hàng hóa vật lý và thay thế những hàng hóa này bằng các phiên bản đã nhiễm Trojan. Một trường hợp tấn công thực tế được ghi nhận như sau: một số đại biểu tham gia tại hội nghị khoa học ở Houston:khi trở về nhàđã nhận được bản sao của các tài liệu hội nghị  được chép vào CD-ROM, thực chất đã được Equation sử dụng để cài DoubleFantasy vào máy của mục tiêu. Phương pháp chính xác để ngăn chặn các đĩa CD này hiện nay vẫn chưa được làm rõ.

Những người bạn nổi tiếng: STUXNET và FLAME

Có liên kết vững chắc cho thấy rằng nhóm Equation đã tương tác mạnh mẽ với các nhóm khác chẳng hạn như việc khai thác Stuxnet và Flame. Nhóm Equation có quyền truy cập vào zero-day trước khi chúng được sử dụng bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác với với những người khác.

Ví dụ, trong năm 2008 sâu Fanny sử dụng hai lỗ hổng zero-day có liên quan đến Stuxnet vào tháng 6/2009 và tháng 3/2010 . Một trong những lỗ hổng zero-day trong Stuxnet đã thực sự là một mô-đun của Flame nhằm khai thác các lỗ hổng tương tự và được lấy trực tiếp từ các nền tảng Flame cũng như xây dựng thành Stuxnet

Cơ sở hạ tầng mạnh mẽ và rộng lớn

Nhóm Equation đã sử dụng một hệ thống máy C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. Các máy chủ được đặt tại nhiều quốc gia, trong đó có Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc. Kaspersky Lab hiện đang huyển hướng 24 trong số 300 máy chủ C&C đến các máy chủ để thu thập dữ liệu – một hoạt động được gọi là sinkholing.

Các sản phẩm của Kaspersky Lab phát hiện được những gì?

Kaspersky Lab quan sát được 7 khai thác được sử dụng trong phần mềm độc hại của Equation. Ít nhất 4 trong số này được sử dụng như các lỗ hổng zero-day. Ngoài ra, việc sử dụng các khai thác chưa được biết đến, có thể là zero-day chống lại Firefox 17 và được sử dụng trong trình duyệt Tor, cũng được ghi nhận.

Trong giai đoạn lây nhiễm, nhóm Equation có khả năng đã sử dụng mười khai thác trong một chuỗi.Tuy nhiên, các chuyên gia của Kaspersky Lab nhận thấy rằng không có nhiều hơn ba khai thác được sử dụng: nếu một trong những khai thác đầu tiên không thành công, chúng sẽ thử đến khai thác thứ 3. Nếu cả ba khai thác thất bại, chúng không lây nhiễm hệ thống.

Các sản phẩm của Kaspersky Lab đã phát hiện một số nỗ lực để tấn công người dùng. Nhiều vụ tấn công không thành công vì vấp phải sự phát hiện và ngăn chặn khai thác các lỗ hổng chưa được biết từ công nghệ Automatic Exploit Prevention. Sâu Fanny, có lẽ được tạo ra vào tháng 07/2008, được hệ thống tự động của Kaspersky Lab phát hiện lần đầu và đưa vào danh sách đen trong tháng 12/2008.

Để tìm hiểu thêm về hoạt động của Equation Group, xin vui lòng đọc các bài viết có sẵn trên blog tại Securelist.com

Theo Kaspersky Lab