Kaspersky tìm ra nhóm hacker chuyên cài mã độc vào firmware ổ cứng

Trong nhiều năm qua, Viện Nghiên cứu và Phân tích toàn cầu Kaspersky Lab (GReAT) đã giám sát chặt chẽ hơn 60 mối đe dọa, chịu trách nhiệm về các cuộc tấn công mạng trên toàn thế giới. Các mối đe dọa ngày càng phức tạp hơn vì có sự tham gia của nhiều quốc gia được trang bị những công cụ tiên tiến nhất.

Mặc dù vậy, các chuyên gia Kaspersky Lab đã phát hiện một nhóm tin tặc hoạt động trong gần hai thập kỷ qua, nổi bật với các kỹ thuật phức tạp và tinh vi, mang tên The Equation Group.

The Equation Group là nhóm tin tặc hàng đầu trên thế giới mạng. (Ảnh minh họa) 

Theo Kaspersky Lab, sự độc đáo của Equation Group thể hiện qua các khía cạnh hoạt động, như việc sử dụng các công cụ rất phức tạp và đắt đỏ để lây nhiễm mã độc, đánh cắp dữ liệu, che đậy giấu vết một cách chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại.

Để lây nhiễm mã độc, Equation Group sử dụng kỹ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.

Khả năng tàng hình và bám "dai như đĩa"

Đây có lẽ là công cụ mạnh mẽ nhất trong kho vũ khí của Equation Group, và khả năng đầu tiên được biết đến là lây nhiễm phần mềm độc hại cho các ổ đĩa cứng. Bằng cách tái lập trình firmware của ổ cứng (tức chương trình quản lý và điều khiển ổ đĩa cứng), nhóm tin tặc có thể đạt được hai mục đích:

Mục đích thứ nhất: Phần mềm độc hại tồn tại bền bỉ trong ổ cứng để định dạng đĩa và tái cài đặt firmware. Nếu mã độc được đưa vào firmware, nó có thể tự hồi sinh mãi mãi, đồng thời có có thể ngăn chặn việc xóa một khu vực nhất định.

Ổ cứng trên máy tính của bạn có thể đang bị cài firmware nhiễm độc.

Costin Raiu, Giám đốc GReAT Kaspersky Lab, cho biết: “Một điều nguy hiểm là khi ổ cứng bị nhiễm độc, nó không thể tự quét lại firmware gốc. Nguyên nhân là do hầu hết các ổ cứng có chức năng ghi dữ liệu vào khu vực lưu trữ firmware nhưng không có chức năng để đọc firmware gốc trở lại”.

Ngoài ra, trong một số trường hợp, nó có thể giúp nhóm tin tặc bẻ khóa các mật mã. “Thực tế, việc chúng cấy ghép GrayFish vào quá trình khởi động hệ thống, có thể giúp chúng nắm bắt các mật khẩu mã hóa và lưu nó vào khu vực ẩn này”, Costin Raiu nói thêm.

Trước đó, Kaspersky Lab từng cho biết, các điệp viên đã thực hiện một bước đột phá công nghệ khi tìm ra cách để tích hợp phần mềm độc hại vào các dòng mã phức tạp được gọi là firmware mà sẽ chạy mỗi khi máy tính được bật.

Kaspersky Lab đã tái tạo lại chương trình gián điệp và nhận ra rằng, chúng có thể làm việc trong các ổ đĩa của hơn 10 công ty, bao gồm nhiều tên tuổi trên thị trường, như Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc và Samsung Electronics Co Ltd...

Khả năng truy xuất dữ liệu từ các máy tính không có internet

Sâu Fanny được phát hiện trong tất cả các cuộc tấn công được thực hiện bởi nhóm Equation. Mục đích chính của nó là để lập ra một bản đồ hệ thống mạng cô lập (air-gapped network), nói cách khác là để hiểu được cấu trúc liên kết của một mạng lưới mà chúng không thể đạt được và để thực hiện lệnh cô lập hệ thống. Để làm được điều này, nó được sử dụng một lệnh và kiểm soát cơ chế dựa trên USB đặc biệt, cho phép những kẻ tấn công truyền dữ liệu qua lại giữa các mạng air-gapped network.

Khi một USB nhiễm độc, nó sẽ có một khu vực lưu trữ ẩn được sử dụng để thu thập thông tin cơ bản từ máy tính không có kết nối Internet. Và sau đó gửi thông tin về máy chủ của hacker khi USB được cắm vào một máy tính bị nhiễm sâu Fanny và có kết nối Internet. Nếu kẻ tấn công chạy lệnh trên air-gapped network, chúng có thể lưu các lệnh này trong khu vực ẩn của USB.  Khi USB được cắm trở lại vào các máy trong mạng cô lập, sâu Fanny sẽ nhận lệnh và thực thi chúng.

Sâu Fanny có liên quan tới "bạn đường" STUXNET và FLAME

Nhóm Equation đã tương tác mạnh mẽ với các nhóm khác, chẳng hạn như việc nhóm khai thác sâu Stuxnet và Flame. Nhóm Equation có quyền truy cập vào lỗi zero-day trước khi chúng bị khai thác bởi Stuxnet và Flame, và đồng thời chia sẻ việc khai thác với với những người khác.

Ví dụ, trong năm 2008, sâu Fanny đã khai thác trước hai lỗ hổng zero-day có liên quan đến Stuxnet vào tháng 6/2009 và tháng 3/2010.

Nhóm Equation đã sử dụng một hệ thống máy chủ C&C bao gồm hơn 300 tên miền và hơn 100 máy chủ. Các máy chủ được đặt tại nhiều quốc gia, trong đó có Mỹ, Anh, Ý, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc.

Từ năm 2001, Equation Group đã thực hiện hàng ngàn phiên lây nhiễm, và có thể lên đến hàng chục ngàn nạn nhân ở hơn 30 quốc gia trên toàn thế giới, bao gồm các lĩnh vực: Chính phủ và các cơ quan ngoại giao, các viện viễn thông, hàng không vũ trụ, năng lượng, nghiên cứu hạt nhân, dầu khí, công nghệ nano, các nhà hoạt động quân sự và các học giả, phương tiện truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã hóa.

Sâu Fanny bị phát hiện sau 5 tháng hoạt động

Trong giai đoạn lây nhiễm, nhóm Equation có khả năng đã sử dụng mười cách khai thác trong một chuỗi. Tuy nhiên, các chuyên gia của Kaspersky Lab nhận thấy rằng, không có nhiều hơn ba cách khai thác được sử dụng: Nếu một trong hai cách khai thác đầu tiên không thành công, chúng sẽ thử đến khai thác thứ ba. Nếu cả ba cách khai thác đều thất bại, chúng sẽ không lây nhiễm hệ thống nữa.

Các sản phẩm của Kaspersky Lab đã phát hiện một số hành động tấn công người dùng của mã độc kể trên. Nhiều vụ tấn công không thành công vì vấp phải sự phát hiện và ngăn chặn khai thác các lỗ hổng chưa được biết từ công nghệ Automatic Exploit Prevention. Theo Kaspersky Lab, sâu Fanny có lẽ đã được tạo ra vào tháng 07/2008, được hệ thống tự động của Kaspersky Lab phát hiện lần đầu và đưa vào danh sách đen trong tháng 12/2008.

×