-
14/01/2021
-
19
-
85 bài viết
Tin tặc Nga lây nhiễm phần mềm độc hại botnet mới cho các thiết bị mạng
Tin tặc Nga đã lây nhiễm vào các thiết bị mạng gia đình và cơ quan doanh nghiệp nhỏ trên khắp thế giới bằng một phần mềm độc hại chưa từng thấy trước đây, biến các thiết bị này thành nền tảng tấn công và có thể đánh cắp dữ liệu bí mật hoặc nhắm mục tiêu vào các mạng khác.
Cyclops Blink là phần mềm độc hại tinh vi đã lây nhiễm khoảng 1% thiết bị mạng tường lửa (network firewall devices) do WatchGuard sản xuất. Phần mềm độc hại có thể lạm dụng cơ chế update và vẫn tồn tại khi khởi động lại.
Cyclops Blink đã lưu hành gần 3 năm và thay thế VPNFilter, phần mềm độc hại mà các nhà nghiên cứu phát hiện vào năm 2018 đã lây nhiễm cho khoảng 500.000 bộ định tuyến. Nó có tất cả các bẫy được phát triển chuyên nghiệp, nhưng cũng có những mánh khóe mới khiến khó gỡ bỏ hơn. Khi VPNFilter bị lộ, nhóm Sandworm đã xây dựng một phần mềm độc hại mới để lây nhiễm trên các thiết bị mạng.
Phần mềm độc hại bắt đầu bằng cách sao chép firmware images được lưu trữ trên thiết bị và sửa đổi chúng. Sau đó, Cyclops Blink kiểm soát một giá trị HMAC được sử dụng để chứng minh mật mã hình ảnh hợp pháp để các thiết bị khởi chạy. Quá trình như sau:
Phần mềm độc hại chứa mã hóa khóa công khai RSA sử dụng cho giao thức C2, cũng như private key RSA X.509 certificate. Cyclops Blink sử dụng thư viện OpenSSL để mã hóa thông tin liên lạc do TLS cung cấp.
Lời khuyên từ các chuyên gia an ninh mạng: Mỗi khi phần mềm độc hại báo hiệu, nó sẽ chọn ngẫu nhiên một điểm đến từ danh sách địa chỉ IPv4 của máy chủ C2 hiện tại và danh sách được mã hóa cứng của các cổng C2. Báo hiệu bao gồm các thông báo được xếp hàng đợi chứa dữ liệu từ các mô-đun đang chạy. Mỗi tin nhắn được mã hóa riêng bằng AES-256-CBC. Hàm OpenSSL_EVP_SealInit được sử dụng để tạo ngẫu nhiên khóa được mã hóa và IV cho mỗi thư, sau đó mã hóa chúng bằng khóa công khai RSA. Hàm OpenSSL_RSA_public_decrypt được sử dụng để giải mã tác vụ, nhận được phản hồi với các báo hiệu, sử dụng khóa công khai RSA đã được mã hóa cứng.
Tính năng ẩn bao gồm mạng riêng Tor để che giấu các địa chỉ IP được phần mềm độc hại sử dụng. Các thiết bị nhắm mục tiêu được tổ chức thành các cụm và mỗi lần triển khai Cyclops Blink đều có một danh sách các địa chỉ IP và C2 mà nó sử dụng (T1008). Tất cả các địa chỉ IP C2 đã biết cho đến nay đã được sử dụng bởi các thiết bị tường lửa WatchGuard bị xâm phạm. Giao thức giữa client Cyclops Blink và servers được bảo vệ theo TLS (Transport Layer Security) T1071.001, sử dụng các khóa và chứng chỉ được tạo riêng. Sandworm quản lý Cyclops Blink bằng cách kết nối với lớp C2 thông qua mạng Tor
Lỗ hổng đã được vá trong các phiên bản sau của Firmware, hệ điều hành chạy các thiết bị tường lửa WatchGuard: v12.7 update 1, v12.7.2 update 1 trở lên, v12.5.7 update 3 trở lên và v12.1.3 update 5 trở lên. Hãng cho biết, nếu chính sách quản lý cho phép truy cập không hạn chế từ các địa chỉ IP bên ngoài trước khi cài đặt các bản phát hành, thì phần cứng vẫn dễ bị lây nhiễm.
Cyclops Blink là phần mềm độc hại tinh vi đã lây nhiễm khoảng 1% thiết bị mạng tường lửa (network firewall devices) do WatchGuard sản xuất. Phần mềm độc hại có thể lạm dụng cơ chế update và vẫn tồn tại khi khởi động lại.
Cyclops Blink đã lưu hành gần 3 năm và thay thế VPNFilter, phần mềm độc hại mà các nhà nghiên cứu phát hiện vào năm 2018 đã lây nhiễm cho khoảng 500.000 bộ định tuyến. Nó có tất cả các bẫy được phát triển chuyên nghiệp, nhưng cũng có những mánh khóe mới khiến khó gỡ bỏ hơn. Khi VPNFilter bị lộ, nhóm Sandworm đã xây dựng một phần mềm độc hại mới để lây nhiễm trên các thiết bị mạng.
Phần mềm độc hại bắt đầu bằng cách sao chép firmware images được lưu trữ trên thiết bị và sửa đổi chúng. Sau đó, Cyclops Blink kiểm soát một giá trị HMAC được sử dụng để chứng minh mật mã hình ảnh hợp pháp để các thiết bị khởi chạy. Quá trình như sau:
Lời khuyên từ các chuyên gia an ninh mạng: Mỗi khi phần mềm độc hại báo hiệu, nó sẽ chọn ngẫu nhiên một điểm đến từ danh sách địa chỉ IPv4 của máy chủ C2 hiện tại và danh sách được mã hóa cứng của các cổng C2. Báo hiệu bao gồm các thông báo được xếp hàng đợi chứa dữ liệu từ các mô-đun đang chạy. Mỗi tin nhắn được mã hóa riêng bằng AES-256-CBC. Hàm OpenSSL_EVP_SealInit được sử dụng để tạo ngẫu nhiên khóa được mã hóa và IV cho mỗi thư, sau đó mã hóa chúng bằng khóa công khai RSA. Hàm OpenSSL_RSA_public_decrypt được sử dụng để giải mã tác vụ, nhận được phản hồi với các báo hiệu, sử dụng khóa công khai RSA đã được mã hóa cứng.
Tính năng ẩn bao gồm mạng riêng Tor để che giấu các địa chỉ IP được phần mềm độc hại sử dụng. Các thiết bị nhắm mục tiêu được tổ chức thành các cụm và mỗi lần triển khai Cyclops Blink đều có một danh sách các địa chỉ IP và C2 mà nó sử dụng (T1008). Tất cả các địa chỉ IP C2 đã biết cho đến nay đã được sử dụng bởi các thiết bị tường lửa WatchGuard bị xâm phạm. Giao thức giữa client Cyclops Blink và servers được bảo vệ theo TLS (Transport Layer Security) T1071.001, sử dụng các khóa và chứng chỉ được tạo riêng. Sandworm quản lý Cyclops Blink bằng cách kết nối với lớp C2 thông qua mạng Tor
Theo: arstechnica
Chỉnh sửa lần cuối bởi người điều hành: