Nhóm tin tặc Lazarus - Phần 1

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Nhóm tin tặc Lazarus - Phần 1
Nhóm tin tặc Lazarus là một nhóm tội phạm trên mạng được hình thành từ một số lượng cá nhân không rõ. Mặc dù không có nhiều thông tin về nhóm Lazarus, các nhà nghiên cứu của Kaspersky Lab cho rằng nhiều cuộc tấn công không gian mạng tới từ họ trong thập kỷ qua.

lazarus hacker.jpg

Tóm tắt

Lazarus đã hoạt động trong nhiều năm, từ 2009. Phần mềm độc hại do nhóm tạo ra được tìm thấy trong nhiều vụ tấn công mạng nghiêm trọng, ví dụ vụ rò rỉ và xóa hàng loạt dữ liệu của Sony Pictures Entertainment năm 2014; chiến dịch gián điệp mạng nhắm vào Hàn Quốc có tên Operation Troy năm 2013; và chiến dịch DarkSeoul với mục tiêu là các công ty tài chính và truyền thông Hàn Quốc năm 2013.

Đã có nhiều ý kiến cho rằng Lazarus chính là nhóm hacker đứng đằng sau vụ trộm Ngân hàng Trung ương Bangladesh năm 2016 - một trong những vụ tấn công lớn nhất trong lịch sử không gian mạng. Các nhà nghiên cứu phát hiện sự tương đồng giữa backdoor sử dụng tại Bangladesh và code của một trong những công cụ phá hoại dữ liệu của Lazarus. Đây là lí do đầu tiên khiến Lazarus bị quy trách nhiệm. Tuy nhiên, sau đó truyền thông đưa tin có ít nhất ba kẻ tấn công độc lập, gián tiếp phủ định tất cả những suy đoán về danh tính kẻ đứng sau. Điều duy nhất chắc chắn đó là phần mềm độc hại Lazarus đã được dùng cho một trong những vụ tấn công ngân hàng lớn nhất trong lịch sử này. Tuy nhiên, từ thực tế là Lazarus từng được tìm thấy ở hàng chục quốc gia khác, ngay cả ở Bangladesh trước đó cũng đã có hàng chục vụ liên quan đến mã độc này, thì đây cũng không phải là bằng chứng thuyết phục và nhiều nhà nghiên cứu bày tỏ sự hoài nghi về việc quy kết này.

Bài viết này là kết quả của các cuộc điều tra Forensic tại các ngân hàng ở hai quốc gia cách xa nhau do Kaspersky thực hiện. Bài viết tiết lộ các mô-đun mới được Lazarus sử dụng, đồng thời chỉ ra mối liên hệ không nhỏ giữa các công cụ đã được sử dụng để tấn công hệ thống hỗ trợ SWIFT với kho vũ khí của nhóm Lazarus.

Xét rằng Lazarus vẫn đang hoạt động và không ngừng tổ chức các chiến dịch không gian mạng khác nhau, chúng tôi đã tách bộ phận chuyên tấn công vào ngân hàng và tổ chức tài chính của Lazarus thành một nhóm riêng với tên Bluenoroff (theo cách gọi của một trong những công cụ mà nhóm này sử dụng).

Giới thiệu

Đầu năm 2016, thông tin về cuộc tấn công mạng nhắm vào Ngân hàng Trung ương Bangladesh nhằm lấy trộm gần 1 tỷ đô xuất hiện trên khắp các mặt báo. Suốt quá trình điều tra, thỉnh thoảng lại có những dữ kiện mới được đưa ra, có những sự vụ lần đầu được công khai. Một trong số đó là tuyên bố của Ngân hàng Tiên Phong Việt Nam về việc đã kịp ngăn chặn tin tặc trộm 1 triệu đô vào tháng 12/2015.

Các công ty an ninh đã thu thập, phân tích một số công cụ được sử dụng tấn công và nhanh chóng gán trách nhiệm cho Lazarus.

Hoạt động của nhóm Lazarus kéo dài trong nhiều năm từ 2009. Tuy nhiên, các hoạt động của nhóm này tăng vọt kể từ năm 2011. Lazarus đã triển khai nhiều dòng mã độc qua các năm, bao gồm phần mềm độc hại liên quan đến Operation Troy và DarkSeoul, mã độc Hangman (2014-2015) và Wild Positron/Duuzer (2015). Nhóm cũng được cho là đã thực hiện các cuộc tấn công Spear Phishing lợi dụng lỗ hổng zero-day CVE-2015-6585 tại thời điểm lỗ hổng được phát hiện.

Ấn phẩm mới nhất về nhóm Lazarus được thực hiện bởi liên minh bảo mật do hãng phân tích an ninh mạng Novetta lãnh đạo. Nghiên cứu được đặt tên là Operation Blockbuster (Chiến dịch bom tấn).

Trích dẫn sau đây được lấy từ báo cáo của Novetta về mục đích nghiên cứu, đã thu hút sự chú ý của chúng tôi: “Mặc dù việc ngăn chặn hoàn toàn các hoạt động độc hại là không thể, Novetta tin rằng những nỗ lực đó có thể làm gián đoạn đáng kể hoạt động của hacker và khiến chúng phải tăng chi phí hoạt động, đồng thời dần vẽ nên chân dung của những tổ chức mà thành công của chúng vốn phụ thuộc phần lớn vào tính ẩn danh”.

Bluenoroff: Đứa con của Lazarus

Có một thực tế là Lazarus luôn cần nguồn ngân sách khổng lồ cho các hoạt động của mình. Báo cáo của Novetta có thể đã khiến chi phí hoạt động của nhóm tăng lên, đòi hỏi Lazarus phải có tài chính tốt hơn nhằm tiếp tục các hoạt động gián điệp và phá hoại. Đây là lí do để Bluenoroff được thành lập. Dựa trên phân tích, chúng tôi tin rằng Bluenoroff thuộc nhóm Lazarus, tận dụng backdoor có sẵn của nhóm cùng các hệ thống đã lây nhiễm từ trước, đồng thời thâm nhập vào các mục tiêu có dòng tài chính lớn. Tất nhiên, Bluenoroff có ý tập trung chính vào các ngân hàng, nhưng đây không phải là mục tiêu duy nhất: các công ty tài chính, thương nhân và sòng bạc cũng là những đích ngắm ưa thích của nhóm này.

Báo cáo của Novetta không đưa ra được bằng chứng khẳng định thủ phạm là Lazarus, mà chỉ nhắc đến cuộc điều tra của FBI về vụ tấn công Sony Pictures Entertainment và sự tương đồng trong các công cụ phần mềm độc hại. Về sau, truyền thông công bố một số dữ liệu do NSA tiết lộ, một lần nữa khẳng định kết quả điều tra của FBI. Richard Ledgett, Phó giám đốc NSA, gần đây đã bình luận về Lazarus và quan hệ của nhóm với Triều Tiên, tuy nhiên không đưa ra bằng chứng mới về mối liên hệ này.

Mối liên hệ trước đó với Lazarus

Kể từ khi sự cố tại Ngân hàng Trung ương Bangladesh diễn ra, chỉ có một vài bài viết giải thích về sự kết nối giữa nhóm Lazarus và vụ cướp đặc biệt này. Một trong số đó được đăng tải trên chuyên trang về an ninh mạng của BAE Systems tháng 5/2016. Tuy nhiên, bài viết, chỉ có phân tích về mã wiper. Một bài viết khác trên blog của Anomali Labs sau đó cũng xác nhận về sự tương đồng trong mã wiper. Sự tương đồng này có thể đã làm hài lòng rất nhiều độc giả, nhưng chúng tôi muốn tìm ra bằng chứng mạnh mẽ hơn nữa.

Năm 2017, Symantec cho rằng kẻ tấn công nhắm vào lĩnh vực tài chính ở Ba Lan là Lazarus khi hãng này phát hiện string được sử dụng cho mã độc lây nhiễm trên hệ thống của khách hàng tại Ba Lan. Symantec cũng xác nhận đã phát hiện công cụ xóa dữ liệu Lazarus ở Ba Lan, tuy nhiên điều này chỉ có thể chứng minh được rằng Larazus có thể đã tấn công các ngân hàng Ba Lan.

Mặc dù những sự thật này có vẻ hấp dẫn, nhưng mối liên hệ giữa các cuộc tấn công vào các ngân hàng của Lazarus và vai trò của nhóm trong các cuộc tấn công hoạt động back office vẫn còn lỏng lẻo. Vụ Ngân hàng Trung ương Bangladesh là trường hợp duy nhất mà phần mềm độc hại nhắm vào cơ sở hạ tầng sử dụng cho kết nối tới SWIFT được phát hiện. Tuy nhiên, dù sự việc được nhiều người biết đến, nhưng chỉ một vài chi tiết kĩ thuật được tiết lộ từ quá trình điều tra tại hiện trường. Theo thông tin được truyền thông đăng tải, cuộc điều tra đã tìm ra ba kẻ tấn công khác nhau. Nếu vậy, chúng ta chưa thể khẳng định được liệu Lazarus có phải là nhóm đứng đằng sau các giao dịch lừa đảo SWIFT, hay liệu có phải chính Lazarus đã tự phát triển phần mềm độc hại để tấn công các hệ thống ngân hàng.

Ngoài ra, việc chỉ dựa vào một điểm tương đồng duy nhất trên mã wiper là chưa đủ, bởi quy trình xóa tệp là một chức năng tiện ích được sử dụng ngay cả trong nhiều dự án không liên quan đến phần mềm độc hại. Mã này có thể bị lan truyền trong các cộng đồng phát triển phần mềm nhất định ở Châu Á. Ví dụ như dự án mã nguồn mở có tên Sderase được đưa lên SourceForge bởi một nhà phát triển Châu Á - Zhaoliang86. Chúng tôi cho rằng có thể có nhiều dự án khác như Sdersase tồn tại trên các diễn đàn lập trình Châu Á, nơi diễn ra các hoạt động trao đổi mã dạng này.

Chúng tôi muốn đưa ra một vài thông tin chứng minh sự liên quan giữa Lazarus với một số cuộc tấn công ngân hàng, chia sẻ một số phát hiện của chúng tôi và làm sáng tỏ chiến thuật, kĩ thuật và phương thức gần đây được attacker sử dụng, bao gồm một số chi tiết chưa được công bố kể từ vụ tấn công vào Châu Âu năm 2017.

Nguồn: Kaspersky Lab
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên