Nội dung
Nhóm Thông tin tình báo mối đe dọa mạng của Công ty an ninh mạng châu Âu SEKOIA.IO (Pháp) vừa công bố những nghiên cứu chuyên sâu về vụ xâm nhập mà nhóm tin tặc APT31 thực hiện vào đầu năm 2021. Báo cáo đã tiết lộ, một số cơ sở hạ tầng hoạt động và các công cụ khai thác mà nhóm tin tặc này sử dụng.
Ngày 10/11/2021, nhóm Thông tin tình báo mối đe dọa mạng của Công ty an ninh mạng châu Âu SEKOIA.IO đã công bố những nghiên cứu chuyên sâu về vụ xâm nhập mà nhóm tin tặc APT31 đã thực hiện vào đầu năm 2021, cũng là khi Cơ quan Liên bang về bảo vệ Hiến pháp Đức Bundesamt für Verfassungsschutz (BfV) và công ty phần mềm an ninh toàn cầu McAfee (Mỹ) công bố một số thông tin mới. Sau đó, Cơ quan An ninh mạng Quốc gia Pháp (ANSSI) cũng phát hành một công bố ngắn với nhiều trích xuất các dấu vết tấn công hệ thống (Indicators of Compromise – IoC) cho thấy, vụ xâm nhập vẫn đang hoạt động một cách đáng lo ngại do liên quan tới nhiều cơ quan quốc gia.
Tất cả các IoC này hầu hết là địa chỉ IP và phần nhiều được liên kết với các bộ định tuyến SOHO (bộ định tuyến được sử dụng cho các văn phòng nhỏ hoặc văn phòng tại nhà), chủ yếu là bộ định tuyến của hãng Pakedge. Với quan sát ban đầu, các chuyên gia đã điều tra sâu hơn để xem liệu có thể tìm thấy thêm cơ sở hạ tầng và trình cấy mã độc được sử dụng trong vụ xâm nhập này hay không.
Sơ lược về nhóm tin tặc APT31
APT31 (hay còn gọi là Zirconium hoặc Judgment Panda) là một nhóm tin tặc APT có mục đích thu thập thông tin tình báo, được cho là có sự hỗ trợ của chính phủ Trung Quốc. Tương tự như các tác nhân đe dọa khác được hỗ trợ bởi nhà nước, nhóm đang tập trung vào dữ liệu mà Trung Quốc quan tâm và các tham vọng chiến lược cũng như địa chính trị, thay vì theo các ngành dọc cụ thể.
Tin tặc đến từ Trung Quốc được coi là một trong những tác nhân đe dọa có sự hậu thuẫn của nhà nước nguy hiểm nhất trên thế giới. Theo quan sát của Microsoft, từ tháng 07/2020 đến tháng 06/2021, các tác nhân đe dọa Trung Quốc thể hiện mối quan tâm nhiều nhất đến mục tiêu là cơ sở hạ tầng quan trọng, khi so sánh với các mối đe dọa quốc gia, nhà nước khác.
Hình 1. Biểu đồ thời gian của các chiến dịch liên quan đến APT31 trong công bố
Như thể hiện trong Hình 1 và phù hợp với các báo cáo công bố đã có, APT31 đã hoạt động ít nhất từ năm 2013 và chiến dịch năm 2021 vẫn đang tiếp tục nhắm đến nhiều mục tiêu tại Pháp.
Tài liệu công khai về nhóm tin tặc này khá hạn chế, nhưng APT31 được biết đến với cách sử dụng tấn công spear phishing (hình thức lừa đảo nhằm vào một cá nhân, tổ chức hoặc doanh nghiệp cụ thể) để xâm nhập vào được mạng của nạn nhân. Mặc dù các chiến dịch gần đây không phức tạp về mặt kỹ thuật, nhưng chúng đã thành công trong việc vượt qua các biện pháp bảo vệ mạng bằng cách chỉ sử dụng các trang web và dịch vụ hợp lệ để lưu trữ các trình cấy mã độc (như GitHub) và tương tác với chúng sau khi được thực thi trên máy trạm của nạn nhân (sử dụng DropBoxAPI). Nhóm tin tặc cũng bị phát hiện nhắm mục tiêu vào các tổ chức thông qua các cuộc tấn công SQL injection, cũng như lợi dụng thông tin đăng nhập bị đánh cắp để chiếm quyền truy cập ban đầu.
APT31 và các tác nhân độc hại khác được nhà nước Trung Quốc hậu thuẫn gần đây đã trở thành đối tượng trong các cáo buộc của một số chính phủ châu Âu. Vào tháng 07/2021, Anh đã cáo buộc Bộ An ninh Nhà nước Trung Quốc (MSS) hỗ trợ các hoạt động của nhóm APT31. Gần như cùng thời điểm đó, Liên minh Châu Âu (EU) đã phát hiện ra các hoạt động độc hại với những tác động đáng kể nhắm vào các ngành công nghiệp quan trọng của châu Âu và liên hệ với APT31. Trong cả hai trường hợp, các tuyên bố chính thức đều đề cập đến APT31 cùng với một nhóm tấn công khác của Trung Quốc là APT40.
Hơn nữa, các nhà chức trách nghi ngờ APT31 là một nhóm tin tặc ký hợp đồng trực tiếp với MSS của Trung Quốc, hoặc thậm chí là các thành viên của Lực lượng Hỗ trợ Chiến lược của Quân đội Giải phóng Nhân dân (PLA), như các nguồn tin khác đưa tin.
Săn lùng trong dấu vết cơ sở hạ tầng của APT31
APT31 là một trong số ít những nhóm tin tặc được biết là đã xâm phạm các bộ định tuyến SOHO để tạo cơ sở hạ tầng hoạt động, ít nhất là kể từ tháng 11/2019, thời điểm mà một cửa hậu (backdoor) trên các bộ định tuyến bị xâm nhập được tải lên trang web VirusTotal để phân tích (MD5: 77c73b8b1846652307862dd66ec09ebf). Tuy nhiên, trình cấy mã độc này có thể được sử dụng trước đó nhiều vì không có ngày biên dịch liên quan đến các tệp ELF (có thể thực thi và liên kết).
Các Hộp Tiếp sóng Hoạt động (ORB) được liên kết với cơ sở hạ tầng này được sử dụng làm máy chủ proxy cho các cuộc tấn công trực diện, theo dõi chủ động và thụ động cũng như máy chủ C