Phát hiện Dragonfly - chiến dịch malware tương tự Stuxnet

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Phát hiện Dragonfly - chiến dịch malware tương tự Stuxnet
Nhóm tội phạm Dragonfly có xuất xứ từ khu vực Đông Âu đã đột nhập vào hệ thống mạng của một số công ty năng lượng ở châu Âu thông qua các bản update phần mềm hệ thống điều khiển công nghiệp (ICS) và có thể lấy đó làm bàn đạp cho một cuộc tấn công phá hoại, Symantec công bố.

1490893044dragonfly_concept.png

Dragonfly đã tấn công 3 nhà cung cấp ICS và chèn vào các bản update phần mềm một loại malware điều khiển từ xa. Tội phạm mạng đã nhắm vào điểm yếu của các công ty năng lượng, đó chính là tấn công thông qua các nhà cung cấp phần mềm – thường là các công ty nhỏ và ít được bảo vệ hơn.

Các công ty năng lượng đã vô tình cài đặt malware sau khi tải về các bản cập nhật phần mềm. Symantec không công bố tên các nhà cung cấp ICS, tuy nhiên khẳng định đã thông báo đến các công ty bị tấn công và một số trung tâm ứng cứu máy tính.

Nạn nhân trong vụ việc là các công ty vận hành hệ thống đường dây điện, nhà máy điện và công ty vận hành đường ống dẫn dầu tại Mỹ, Tây Ban Nha, Pháp, Ý, Đức, Thổ Nhĩ Kỳ và Ba Lan.

Theo điều tra, các bản update phần mềm đã bị chèn loại Trojan điều khiển từ xa Havex (có tên khác là Backdoor.Oldrea hoặc Energetic Bear) có chức năng tải các loại malware khác lên hệ thống, thu thập thông tin về hệ thống mạng và gửi lên server C&C của kẻ tấn công.

3 phần mềm mà Symantec phát hiện đã bị Dragonfly chèn mã độc gồm:

  • Một phần mềm cung cấp truy cập VPN đến các thiết bị điều khiển logic có thể lập trình (Programmable Logic Controller – PLC).
  • Một bản driver nằm trong gói phần mềm của một nhà sản xuất thiết bị PLC. Phần mềm bị chèn mã độc đã nằm trên trang download trong ít nhất 6 tuần, từ tháng 6 đến tháng 7/2013.
  • Phần mềm quản lý tuốc bin gió và nhà máy khí sinh học, bị chèn malware và được tải về trong 10 ngày vào tháng 4/2014.
Nhóm Dragonfly bắt đầu hoạt động từ khoảng năm 2011. Vào thời điểm đó, nhóm nhắm vào các công ty quốc phòng và hàng không tại Mỹ, Canada trước khi chuyển hướng tấn công sang các công ty năng lượng từ đầu năm 2013.

Symantec đã so sánh chiến dịch tấn công của Dragonfly với chiến dịch Stuxnet – vụ tấn công malware được cho là do Mỹ và Israel thực hiện nhằm phá hoại hoạt động của các máy ly tâm tinh luyện uranium của Iran. “Trong khi Stuxnet thu hẹp đối tượng tấn công vào chương trình hạt nhân của Iran và mang mục tiêu phá hoại là chính thì Dragonfly dường như có đối tượng rộng hơn với mục tiêu gián điệp và phá hoại chỉ là một chức năng tùy chọn nếu cần thiết”.

Khi phân tích malware, có thể thấy các tác giả của nó làm việc trong khoảng từ 9h sáng đến 6h tối từ thứ 2 đến thứ 6, trong một múi giờ được xác định là thuộc khu vực Đông Âu, Symantec khẳng định.

Các chuyên gia nhận định khung giờ làm việc định kỳ như thế thường cho thấy một quốc gia nào đó đang đứng đằng sau tài trợ cho cuộc tấn công. “Dragonfly có nhiều dấu hiệu đây là một chiến dịch được nhà nước tài trợ và có trình độ công nghệ ở mức cao”, Symantec nhận định.

Giả mạo các bản update phần mềm có lẽ điểm thông minh nhất trong cách tấn công của Dragonfly, tuy nhiên nhóm này cũng có nhiều phương pháp khác để tấn công vào các cá nhân có quan hệ gần gũi với công ty mà nhóm nhắm tới.

Các phương pháp này bao gồm gửi email spam đính kèm file PDF có chứa virus và email có chứa đường link dẫn người dùng tới website có khả năng quét các lỗ hổng phần mềm trên máy tính nạn nhân. Dragonfly sử dụng 2 gói khai thác có tên là “Lightsout” và “Hello”. Đây là các nền tảng có thể cấy lên các website thật và có thể phát tán malware đến các máy tính ghé thăm website đó.

Nguồn: PCWorld
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên