-
09/04/2020
-
93
-
600 bài viết
Tấn công mạng vào Air India và những manh mối về kẻ tình nghi
Hãng hàng không quốc gia của Ấn Độ - Air India mới đây vừa gia nhập hội những đại gia được hacker “chăm sóc”. Hậu quả để lại là dữ liệu của hành khách sử dụng dịch vụ của hãng tàu bay trong suốt 10 năm từ 2011 đến 2021 đã bị rò rỉ. Theo một nguồn tin, dữ liệu được rao bán trên chợ đen với giá 3.000 Biden đô la (gần 70 triệu VNĐ). Tuy nhiên, dữ liệu được đưa lên kệ có phải hàng thật hay không thì vẫn cần phải được kiểm chứng.
Có một điều rõ ràng là, tại sao Air India lại bị tấn công, kẻ nào đứng sau vụ việc là những câu hỏi mà ai cũng muốn biết.
Air India - hãng hàng không hàng đầu tại Ấn Độ
Air India là hãng hàng không hàng đầu tại Ấn Độ với thị phần lên tới 18,6%. Hãng có hơn 60 điểm đến quốc tế trên khắp bốn châu lục và là thành viên của Star Alliance (Liên minh Ngôi sao) từ năm 2014.
Tính từ năm 2013 đến năm 2019, có tới 22 triệu người sử dụng hãng hàng không Air India trên toàn thế giới. Và cũng trong năm 2019, số lượng hành khách quốc tế bay cùng Air India lên đến 6 triệu người. Với dữ liệu khách hàng lớn như vậy, việc hacker nhóm ngó hãng này cũng không có gì là lạ.
Mối quan hệ giữa Air India và SITA
Đầu tháng 5/2021, Air India cho biết họ đã bị tấn công mạng và nhóm hacker đã lấy đi 4.5 triệu thông tin cá nhân của các khách hàng. Những thông tin bị rò rỉ gồm có tên hành khách, thông tin liên hệ, hành trình bay, hộ chiếu và dữ liệu thẻ tín dụng. Tuy nhiên, theo hãng thì các thông tin quan trọng như mã CVV/CVC và mật khẩu thẻ tín dụng của khách vẫn được đảm bảo an toàn.
Ngay khi phát hiện tấn công, Air India đã lập tức gửi thông báo đến cho hành khách, khuyến cáo người dùng thay đổi mật khẩu bất cứ khi nào có thể, để ngăn chặn các nỗ lực trái phép tiềm ẩn và đảm bảo an toàn cho dữ liệu cá nhân của mình. Trong thông báo, hãng tàu bay hàng đầu Ấn Độ nêu rõ việc rò rỉ thông tin khách hàng xuất phát từ vụ tấn công mạng vào SITA PSS - hệ thống xử lý dữ liệu khách hàng của hãng do công ty SITA cung cấp.
Air India chỉ là một trong rất nhiều khách hàng của SITA - công ty chuyên cung cấp công nghệ thông tin và truyền thông vận tải hàng không đa quốc gia bao gồm hệ thống xử lý vé, hoạt động sân bay, kết nối các hệ thống an ninh, quản lý hành lý, quản lý máy bay… Theo SITA, hiện hãng đang phục vụ cho khoảng 400 thành viên và 2.800 khách hàng trên toàn thế giới, gần như mọi chuyến bay của hành khách đều sử dụng công nghệ SITA.
Tuy nhiên, vào tháng 03/2021, SITA cho biết họ đã phải hứng chịu một cuộc tấn công mạng vào máy chủ đặt tại Atlanta. Vụ việc này khiến dữ liệu hành khách được lưu trữ trên hệ thống bị rò rỉ. Các tổ chức bị ảnh hưởng từ vụ tấn công này có thể kể đến Singapore Airlines, Scandinavian Airlines, Finnair, Malaysia Airlines, Jeju Air ...
Tuy nhiên, sau khi Air India thông báo về nguyên nhân vụ tấn công, SITA đã cho biết đây là hai vụ tấn công tách biệt và không liên quan đến nhau: “Vụ việc của Air India không giống hoặc không có hình thức nào có liên quan đến cuộc tấn công vào SITA PSS”.
Sau hơn 3 tuần điều tra, vụ việc Air India vẫn chưa hề ngã ngũ khi mới đây, một nghiên cứu của các chuyên gia thuộc của Group-IB - công ty chuyên cung cấp dịch vụ và sản phẩm bảo mật - đã chỉ ra rằng hãng hàng không hàng đầu Ấn Độ dường như đã phải chịu một cuộc tấn công mạng kéo dài trong ít nhất 2 tháng 26 ngày. Đặc biệt, cuộc tấn công có khả năng liên quan đến một nhóm hacker quốc tế được chính phủ Trung Quốc bảo trợ mang tên APT41.
Các phát hiện của Group-IB về vụ tấn công
Theo phân tích của Group-IB, kể từ 23/02/2021, một thiết bị bị lây nhiễm trong mạng của Air India đã giao tiếp với một máy chủ điều khiển được cài đặt Cobalt Strike có địa chỉ IP 185.118.166.66.
Cobalt Strike là một bộ công cụ kiểm tra khả năng thâm nhập hợp pháp cho phép kẻ tấn công triển khai các beacon trên thiết bị bị xâm nhập nhằm tạo shell, thực thi tập lệnh PowerShell, thực hiện leo thang đặc quyền ...
Thiết bị đầu tiên (Bệnh nhân số 0) có giao tiếp với máy chủ C&C có tên SITASERVER4 với địa chỉ IP 172.16.11.103. Từ cách đặt tên cho thiết bị, có thể thấy nó có liên quan đến máy chủ xử lý dữ liệu của SITA.
Tiếp đó, những kẻ tấn công bắt đầu thiết lập các kết nối, nằm vùng trong mạng lưới của Air India để lấy được mật khẩu và tiến hành giai đoạn mở rộng phạm vi xâm nhập. Chúng đã thu thập được thông tin trong mạng nội bộ gồm tên của tài nguyên và địa chỉ mạng.
Trong quá trình xâm nhập, tin tặc đã sử dụng 2 công cụ hashdump và mimikatz để trích xuất các mã băm NTLM và mật khẩu dạng plain text từ các máy trạm cục bộ. Sau đó, chúng thử khả năng leo thang đặc quyền với sự trợ giúp từ mã độc BadPotato. Group-IB đã thống kê được có ít nhất 20 thiết bị đã bị xâm phạm trong giai đoạn này.
Chúng cũng sử dụng các truy vấn DNS-txt để kết nối các bot đến máy chủ C&C. Các tên miền được sử dụng cho DNS tunneling (truyền dữ liệu qua nhiều mạng có giao thức khác nhau) gồm có:
Tổng cộng, nhóm tin tặc đã trích xuất 23,33 MB dữ liệu từ năm thiết bị có tên SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 và WEBSERVER3. Những kẻ tấn công chỉ mất 24 giờ và 5 phút để phát tán các “đèn hiệu” Cobalt Strike đến các thiết bị khác trong mạng của Air India.
Chưa rõ làm thế nào kể tấn công có thể xâm nhập được vào “bệnh nhân” số không, nhưng dựa trên bằng chứng thiết bị có kết nối đến máy chủ C&C do tin tặc điều khiển là SITASERVER4 và thực tế là SITA đã thông báo cho Air India về sự cố an ninh của mình, thì có cơ sở để tin rằng vụ xâm nhập vào mạng lưới của Air India là kết quả của một cuộc tấn công chuỗi cung ứng tinh vi, mà bắt nguồn từ vụ việc của SITA hồi tháng 3.
Tại sao APT41 lại là nghi can số 1?
Các nhà nghiên cứu của Group-IB có căn cứ để tin rằng, chiến dịch ColunmTK do nhóm APT41 đến từ Trung Quốc thực hiện.
Còn được biết đến với các biệt danh khác như Winnti Umbrella, Axiom và Barium, APT41 là một nhóm hacker nổi tiếng hoạt động từ năm 2007 với các hoạt động gián điệp mạng chống lại nhiều tổ chức, bao gồm các nhà phát triển phần mềm, công ty trò chơi, nhà sản xuất công nghiệp, công ty viễn thông, cơ sở giáo dục hoặc các cơ quan chính phủ.
Nhóm này cũng chuyên đánh cắp các chứng thư số để thực hiện các chiến dịch gián điệp mà Ấn Độ lại thường là mục tiêu “ưu thích” của chúng.
Khi phân tích cơ sở hạ tầng mạng của máy chủ C&C liên quan đến cuộc tấn công mạng vào Air India, Group-IB tiết lộ rằng tin tặc đã sử dụng một chứng thư số SSL đặc biệt mà mới chỉ được phát hiện trên 5 máy chủ (host).
Trong đó, 1 host có địa chỉ IP 45.61.136.199 được Microsoft quy về cho nhóm APT41 trong một nghiên cứu gần đây của hãng.
Một kết nối khác 104[.]224[.]169[.]214 được sử dụng làm bản ghi A (A record) cho 2 tên miền server04[.]dns04[.]com và service04[.]dns04[.]com. Địa chỉ này cũng từng được dùng để lưu trữ công cụ Cobalt Strike và chia sẻ chứng thư số SSL “b3038101fd0e8b11c519f739f12c7e9b60234d3b”, tương tự với địa chỉ IP (185.118.166[.]66) của chiến dịch ColunmTK.
Phân tích các tên miền phụ của dns04[.]com, Group-IB thấy rằng các tên miền này được sử dụng tại địa chỉ IP 127.0.0.1 vào cùng ngày 15/04/2021. Theo các nhà nghiên cứu, APT41 thường dùng các tên miền này tại địa chỉ 127.0.0.1 một thời gian sau khi các chiến dịch của chúng kết thúc.
Thú vị hơn, một tên miền khác service[.]dns22[.]ml cũng chia sẻ chứng thư số SSL “b3038101fd0e8b11c519f739f12c7e9b60234d3b” với cùng địa chỉ IP của chiến dịch ColunmTK và đặt tại 127.0.0.1 vào ngày 15/01/2021.
Còn địa chỉ IP 104[.]224[.]169[.]214 được sử dụng để tải lên shellcode trong các chiến dịch trước đó của APT41, mà ở đó tên miền service[.]dns22[.]ml cũng từng được sử dụng.
Các nhà nghiên cứu cũng bổ sung thêm bằng chứng liên quan đến APT41 khi phát hiện một file "Install.bat" (SHA1-7185bb6f1dddca0e6b5a07b357529e2397cdee44). File này được kẻ tấn công tải lên một số thiết bị bị xâm phạm trong mạng lưới Air India. File này khá giống với một file đã được APT41 sử dụng trong một chiến dịch được các nhà nghiên cứu của FireEye phát hiện. Ở cả hai vụ việc, các file được sử dụng để nằm vùng trong hệ thống, tương tự như cách chúng khởi tạo một file DLL (thư viện liên kết động) như là một tiến trình và tạo ra các khóa trong registry.
Kết lại: Tất cả các bằng chứng đều dẫn về APT41 nhưng vẫn chỉ ở mức độ tình nghi. Có điều vụ việc tấn công vào Air India khiến rất nhiều các cơ quan, tổ chức lớn phải lo sợ khi không biết liệu mình có phải là mục tiêu tiếp theo của tin tặc hay không?
Có một điều rõ ràng là, tại sao Air India lại bị tấn công, kẻ nào đứng sau vụ việc là những câu hỏi mà ai cũng muốn biết.
Air India - hãng hàng không hàng đầu tại Ấn Độ
Air India là hãng hàng không hàng đầu tại Ấn Độ với thị phần lên tới 18,6%. Hãng có hơn 60 điểm đến quốc tế trên khắp bốn châu lục và là thành viên của Star Alliance (Liên minh Ngôi sao) từ năm 2014.
Tính từ năm 2013 đến năm 2019, có tới 22 triệu người sử dụng hãng hàng không Air India trên toàn thế giới. Và cũng trong năm 2019, số lượng hành khách quốc tế bay cùng Air India lên đến 6 triệu người. Với dữ liệu khách hàng lớn như vậy, việc hacker nhóm ngó hãng này cũng không có gì là lạ.
Mối quan hệ giữa Air India và SITA
Đầu tháng 5/2021, Air India cho biết họ đã bị tấn công mạng và nhóm hacker đã lấy đi 4.5 triệu thông tin cá nhân của các khách hàng. Những thông tin bị rò rỉ gồm có tên hành khách, thông tin liên hệ, hành trình bay, hộ chiếu và dữ liệu thẻ tín dụng. Tuy nhiên, theo hãng thì các thông tin quan trọng như mã CVV/CVC và mật khẩu thẻ tín dụng của khách vẫn được đảm bảo an toàn.
Ngay khi phát hiện tấn công, Air India đã lập tức gửi thông báo đến cho hành khách, khuyến cáo người dùng thay đổi mật khẩu bất cứ khi nào có thể, để ngăn chặn các nỗ lực trái phép tiềm ẩn và đảm bảo an toàn cho dữ liệu cá nhân của mình. Trong thông báo, hãng tàu bay hàng đầu Ấn Độ nêu rõ việc rò rỉ thông tin khách hàng xuất phát từ vụ tấn công mạng vào SITA PSS - hệ thống xử lý dữ liệu khách hàng của hãng do công ty SITA cung cấp.
Air India chỉ là một trong rất nhiều khách hàng của SITA - công ty chuyên cung cấp công nghệ thông tin và truyền thông vận tải hàng không đa quốc gia bao gồm hệ thống xử lý vé, hoạt động sân bay, kết nối các hệ thống an ninh, quản lý hành lý, quản lý máy bay… Theo SITA, hiện hãng đang phục vụ cho khoảng 400 thành viên và 2.800 khách hàng trên toàn thế giới, gần như mọi chuyến bay của hành khách đều sử dụng công nghệ SITA.
Tuy nhiên, vào tháng 03/2021, SITA cho biết họ đã phải hứng chịu một cuộc tấn công mạng vào máy chủ đặt tại Atlanta. Vụ việc này khiến dữ liệu hành khách được lưu trữ trên hệ thống bị rò rỉ. Các tổ chức bị ảnh hưởng từ vụ tấn công này có thể kể đến Singapore Airlines, Scandinavian Airlines, Finnair, Malaysia Airlines, Jeju Air ...
Tuy nhiên, sau khi Air India thông báo về nguyên nhân vụ tấn công, SITA đã cho biết đây là hai vụ tấn công tách biệt và không liên quan đến nhau: “Vụ việc của Air India không giống hoặc không có hình thức nào có liên quan đến cuộc tấn công vào SITA PSS”.
Sau hơn 3 tuần điều tra, vụ việc Air India vẫn chưa hề ngã ngũ khi mới đây, một nghiên cứu của các chuyên gia thuộc của Group-IB - công ty chuyên cung cấp dịch vụ và sản phẩm bảo mật - đã chỉ ra rằng hãng hàng không hàng đầu Ấn Độ dường như đã phải chịu một cuộc tấn công mạng kéo dài trong ít nhất 2 tháng 26 ngày. Đặc biệt, cuộc tấn công có khả năng liên quan đến một nhóm hacker quốc tế được chính phủ Trung Quốc bảo trợ mang tên APT41.
Các phát hiện của Group-IB về vụ tấn công
Theo phân tích của Group-IB, kể từ 23/02/2021, một thiết bị bị lây nhiễm trong mạng của Air India đã giao tiếp với một máy chủ điều khiển được cài đặt Cobalt Strike có địa chỉ IP 185.118.166.66.
Cobalt Strike là một bộ công cụ kiểm tra khả năng thâm nhập hợp pháp cho phép kẻ tấn công triển khai các beacon trên thiết bị bị xâm nhập nhằm tạo shell, thực thi tập lệnh PowerShell, thực hiện leo thang đặc quyền ...
Thiết bị đầu tiên (Bệnh nhân số 0) có giao tiếp với máy chủ C&C có tên SITASERVER4 với địa chỉ IP 172.16.11.103. Từ cách đặt tên cho thiết bị, có thể thấy nó có liên quan đến máy chủ xử lý dữ liệu của SITA.
Tiếp đó, những kẻ tấn công bắt đầu thiết lập các kết nối, nằm vùng trong mạng lưới của Air India để lấy được mật khẩu và tiến hành giai đoạn mở rộng phạm vi xâm nhập. Chúng đã thu thập được thông tin trong mạng nội bộ gồm tên của tài nguyên và địa chỉ mạng.
Trong quá trình xâm nhập, tin tặc đã sử dụng 2 công cụ hashdump và mimikatz để trích xuất các mã băm NTLM và mật khẩu dạng plain text từ các máy trạm cục bộ. Sau đó, chúng thử khả năng leo thang đặc quyền với sự trợ giúp từ mã độc BadPotato. Group-IB đã thống kê được có ít nhất 20 thiết bị đã bị xâm phạm trong giai đoạn này.
Chúng cũng sử dụng các truy vấn DNS-txt để kết nối các bot đến máy chủ C&C. Các tên miền được sử dụng cho DNS tunneling (truyền dữ liệu qua nhiều mạng có giao thức khác nhau) gồm có:
- ns2[.]colunm[.]tk;
- ns1[.]colunm[.]tk.
Tổng cộng, nhóm tin tặc đã trích xuất 23,33 MB dữ liệu từ năm thiết bị có tên SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 và WEBSERVER3. Những kẻ tấn công chỉ mất 24 giờ và 5 phút để phát tán các “đèn hiệu” Cobalt Strike đến các thiết bị khác trong mạng của Air India.
Chưa rõ làm thế nào kể tấn công có thể xâm nhập được vào “bệnh nhân” số không, nhưng dựa trên bằng chứng thiết bị có kết nối đến máy chủ C&C do tin tặc điều khiển là SITASERVER4 và thực tế là SITA đã thông báo cho Air India về sự cố an ninh của mình, thì có cơ sở để tin rằng vụ xâm nhập vào mạng lưới của Air India là kết quả của một cuộc tấn công chuỗi cung ứng tinh vi, mà bắt nguồn từ vụ việc của SITA hồi tháng 3.
Tại sao APT41 lại là nghi can số 1?
Các nhà nghiên cứu của Group-IB có căn cứ để tin rằng, chiến dịch ColunmTK do nhóm APT41 đến từ Trung Quốc thực hiện.
Còn được biết đến với các biệt danh khác như Winnti Umbrella, Axiom và Barium, APT41 là một nhóm hacker nổi tiếng hoạt động từ năm 2007 với các hoạt động gián điệp mạng chống lại nhiều tổ chức, bao gồm các nhà phát triển phần mềm, công ty trò chơi, nhà sản xuất công nghiệp, công ty viễn thông, cơ sở giáo dục hoặc các cơ quan chính phủ.
Nhóm này cũng chuyên đánh cắp các chứng thư số để thực hiện các chiến dịch gián điệp mà Ấn Độ lại thường là mục tiêu “ưu thích” của chúng.
Khi phân tích cơ sở hạ tầng mạng của máy chủ C&C liên quan đến cuộc tấn công mạng vào Air India, Group-IB tiết lộ rằng tin tặc đã sử dụng một chứng thư số SSL đặc biệt mà mới chỉ được phát hiện trên 5 máy chủ (host).
Trong đó, 1 host có địa chỉ IP 45.61.136.199 được Microsoft quy về cho nhóm APT41 trong một nghiên cứu gần đây của hãng.
Một kết nối khác 104[.]224[.]169[.]214 được sử dụng làm bản ghi A (A record) cho 2 tên miền server04[.]dns04[.]com và service04[.]dns04[.]com. Địa chỉ này cũng từng được dùng để lưu trữ công cụ Cobalt Strike và chia sẻ chứng thư số SSL “b3038101fd0e8b11c519f739f12c7e9b60234d3b”, tương tự với địa chỉ IP (185.118.166[.]66) của chiến dịch ColunmTK.
Phân tích các tên miền phụ của dns04[.]com, Group-IB thấy rằng các tên miền này được sử dụng tại địa chỉ IP 127.0.0.1 vào cùng ngày 15/04/2021. Theo các nhà nghiên cứu, APT41 thường dùng các tên miền này tại địa chỉ 127.0.0.1 một thời gian sau khi các chiến dịch của chúng kết thúc.
Thú vị hơn, một tên miền khác service[.]dns22[.]ml cũng chia sẻ chứng thư số SSL “b3038101fd0e8b11c519f739f12c7e9b60234d3b” với cùng địa chỉ IP của chiến dịch ColunmTK và đặt tại 127.0.0.1 vào ngày 15/01/2021.
Còn địa chỉ IP 104[.]224[.]169[.]214 được sử dụng để tải lên shellcode trong các chiến dịch trước đó của APT41, mà ở đó tên miền service[.]dns22[.]ml cũng từng được sử dụng.
Các nhà nghiên cứu cũng bổ sung thêm bằng chứng liên quan đến APT41 khi phát hiện một file "Install.bat" (SHA1-7185bb6f1dddca0e6b5a07b357529e2397cdee44). File này được kẻ tấn công tải lên một số thiết bị bị xâm phạm trong mạng lưới Air India. File này khá giống với một file đã được APT41 sử dụng trong một chiến dịch được các nhà nghiên cứu của FireEye phát hiện. Ở cả hai vụ việc, các file được sử dụng để nằm vùng trong hệ thống, tương tự như cách chúng khởi tạo một file DLL (thư viện liên kết động) như là một tiến trình và tạo ra các khóa trong registry.
Kết lại: Tất cả các bằng chứng đều dẫn về APT41 nhưng vẫn chỉ ở mức độ tình nghi. Có điều vụ việc tấn công vào Air India khiến rất nhiều các cơ quan, tổ chức lớn phải lo sợ khi không biết liệu mình có phải là mục tiêu tiếp theo của tin tặc hay không?
Nguồn: Tổng hợp