Ngày 10/11/2021, nhóm Thông tin tình báo mối đe dọa mạng của Công ty an ninh mạng châu Âu SEKOIA.IO đã công bố những nghiên cứu chuyên sâu về vụ xâm nhập mà nhóm tin tặc APT31 đã thực hiện vào đầu năm 2021, cũng là khi Cơ quan Liên bang về bảo vệ Hiến pháp Đức Bundesamt für Verfassungsschutz (BfV) và công ty phần mềm an ninh toàn cầu McAfee (Mỹ) công bố một số thông tin mới. Sau đó, Cơ quan An ninh mạng Quốc gia Pháp (ANSSI) cũng phát hành một công bố ngắn với nhiều trích xuất các dấu vết tấn công hệ thống (Indicators of Compromise - IoC) cho thấy, vụ xâm nhập vẫn đang hoạt động một cách đáng lo ngại do liên quan tới nhiều cơ quan quốc gia.

Tất cả các IoC này hầu hết là địa chỉ IP và phần nhiều được liên kết với các bộ định tuyến SOHO (bộ định tuyến được sử dụng cho các văn phòng nhỏ hoặc văn phòng tại nhà), chủ yếu là bộ định tuyến của hãng Pakedge. Với quan sát ban đầu, các chuyên gia đã điều tra sâu hơn để xem liệu có thể tìm thấy thêm cơ sở hạ tầng và trình cấy mã độc được sử dụng trong vụ xâm nhập này hay không.

Sơ lược về nhóm tin tặc APT31

APT31 (hay còn gọi là Zirconium hoặc Judgment Panda) là một nhóm tin tặc APT có mục đích thu thập thông tin tình báo, được cho là có sự hỗ trợ của chính phủ Trung Quốc. Tương tự như các tác nhân đe dọa khác được hỗ trợ bởi nhà nước, nhóm đang tập trung vào dữ liệu mà Trung Quốc quan tâm và các tham vọng chiến lược cũng như địa chính trị, thay vì theo các ngành dọc cụ thể.

Tin tặc đến từ Trung Quốc được coi là một trong những tác nhân đe dọa có sự hậu thuẫn của nhà nước nguy hiểm nhất trên thế giới. Theo quan sát của Microsoft, từ tháng 07/2020 đến tháng 06/2021, các tác nhân đe dọa Trung Quốc thể hiện mối quan tâm nhiều nhất đến mục tiêu là cơ sở hạ tầng quan trọng, khi so sánh với các mối đe dọa quốc gia, nhà nước khác.

Hình 1. Biểu đồ thời gian của các chiến dịch liên quan đến APT31 trong công bố

Như thể hiện trong Hình 1 và phù hợp với các báo cáo công bố đã có, APT31 đã hoạt động ít nhất từ năm 2013 và chiến dịch năm 2021 vẫn đang tiếp tục nhắm đến nhiều mục tiêu tại Pháp.

Tài liệu công khai về nhóm tin tặc này khá hạn chế, nhưng APT31 được biết đến với cách sử dụng tấn công spear phishing (hình thức lừa đảo nhằm vào một cá nhân, tổ chức hoặc doanh nghiệp cụ thể) để xâm nhập vào được mạng của nạn nhân. Mặc dù các chiến dịch gần đây không phức tạp về mặt kỹ thuật, nhưng chúng đã thành công trong việc vượt qua các biện pháp bảo vệ mạng bằng cách chỉ sử dụng các trang web và dịch vụ hợp lệ để lưu trữ các trình cấy mã độc (như GitHub) và tương tác với chúng sau khi được thực thi trên máy trạm của nạn nhân (sử dụng DropBoxAPI). Nhóm tin tặc cũng bị phát hiện nhắm mục tiêu vào các tổ chức thông qua các cuộc tấn công SQL injection, cũng như lợi dụng thông tin đăng nhập bị đánh cắp để chiếm quyền truy cập ban đầu.

APT31 và các tác nhân độc hại khác được nhà nước Trung Quốc hậu thuẫn gần đây đã trở thành đối tượng trong các cáo buộc của một số chính phủ châu Âu. Vào tháng 07/2021, Anh đã cáo buộc Bộ An ninh Nhà nước Trung Quốc (MSS) hỗ trợ các hoạt động của nhóm APT31. Gần như cùng thời điểm đó, Liên minh Châu Âu (EU) đã phát hiện ra các hoạt động độc hại với những tác động đáng kể nhắm vào các ngành công nghiệp quan trọng của châu Âu và liên hệ với APT31. Trong cả hai trường hợp, các tuyên bố chính thức đều đề cập đến APT31 cùng với một nhóm tấn công khác của Trung Quốc là APT40.

Hơn nữa, các nhà chức trách nghi ngờ APT31 là một nhóm tin tặc ký hợp đồng trực tiếp với MSS của Trung Quốc, hoặc thậm chí là các thành viên của Lực lượng Hỗ trợ Chiến lược của Quân đội Giải phóng Nhân dân (PLA), như các nguồn tin khác đưa tin.

Săn lùng trong dấu vết cơ sở hạ tầng của APT31

APT31 là một trong số ít những nhóm tin tặc được biết là đã xâm phạm các bộ định tuyến SOHO để tạo cơ sở hạ tầng hoạt động, ít nhất là kể từ tháng 11/2019, thời điểm mà một cửa hậu (backdoor) trên các bộ định tuyến bị xâm nhập được tải lên trang web VirusTotal để phân tích (MD5: 77c73b8b1846652307862dd66ec09ebf). Tuy nhiên, trình cấy mã độc này có thể được sử dụng trước đó nhiều vì không có ngày biên dịch liên quan đến các tệp ELF (có thể thực thi và liên kết).

Các Hộp Tiếp sóng Hoạt động (ORB) được liên kết với cơ sở hạ tầng này được sử dụng làm máy chủ proxy cho các cuộc tấn công trực diện, theo dõi chủ động và thụ động cũng như máy chủ C&C cho một số trình cấy mã độc. Cho đến nay, các chuyên gia không biết rõ nhóm tin tặc đã xâm phạm các bộ định tuyến này như thế nào. Có khả năng là chúng đã sử dụng kết hợp các lỗ hổng đã biết và chưa biết để thực thi mã từ xa nhằm đưa vào các trình cấy mã độc và các công cụ chuyển hướng khác.

Các chuyên gia đã tìm ra các phương pháp và kỹ thuật heuristics (kỹ thuật dựa trên kinh nghiệm) để phát hiện cơ sở hạ tầng của nhóm tin tặc và theo dõi nó theo thời gian. Các tên miền C&C được sử dụng bởi nhóm này có một số đặc điểm như:

• Hình thức: nhiều tên miền có các chuỗi liên quan đến kỹ thuật như “cập nhật”, “kiểm tra”, “đám mây” hoặc “dịch vụ” cùng với một số thương hiệu IoT/bộ định tuyến (Mikrotik, Netgear, Qnap, Nec).
• Cấu hình DNS: hầu hết chúng không phân giải được điều gì nếu không có miền phụ thích hợp như “www”, “api”, “sso”,…
• Nhà cung cấp DNS: APT31 chủ yếu sử dụng bốn nhà cung cấp DNS: Monovm, Cloudflare, Topdns và gần đây nhất là Hosteons với hai tên miền.
• Đăng ký và email được liên kết giả mạo: tên người dùng chủ yếu được viết giống như tên thật (ví dụ: Joseph Edwards) với địa chỉ email liên kết sử dụng protonmail.ch, email.cz, post.cz hoặc inbox.lv.
• Khung thời gian phân giải của các tên miền này không quá vài ngày, điều này cũng có liên quan theo quan điểm của nhà phân tích.

Vì các tên miền được phân giải đến các bộ định tuyến SOHO, nên cũng có thể theo dõi chúng bằng cách này. Thật vậy, tương đối hiếm khi một tên miền từ các nhà cung cấp DNS này trỏ đến một số hệ thống AS trong nước.

Mặt khác, các thiết bị mạng bị xâm phạm bởi APT31 có các đặc tính kỹ thuật (ví dụ: bảng quản trị, chứng thực hoặc biểu ngữ cụ thể) cho phép bất kỳ ai có thể khôi phục hàng nghìn địa chỉ IP bằng cách sử dụng chúng. Bằng cách sử dụng phân giải DNS thụ động trên các địa chỉ IP này, có thể phát hiện ra các máy chủ C&C mới khi một FQDN (Tên miền đủ điều kiện - Fully Qualified Domain Name) trỏ đến chúng có các đặc điểm đã đề cập trước đó.

Cuối cùng, các chuyên gia đã phát hiện ra gần 50 địa chỉ IP và 34 tên miền sau tài liệu công bố của ANSSI, với sự trùng lặp của một địa chỉ IP phân giải bởi tên miền www.fwcheck[.]com. Bảng dưới đây tóm tắt các thương hiệu của thiết bị mạng cấu tạo cơ sở hạ tầng C&C mà APT31 sử dụng đến tháng 07/2021. Độ tin cậy phụ thuộc vào số lượng phân tích heuristics phù hợp cũng như các thông tin từ nguồn khác đã đề cập đến C&C đó hay chưa.

Kể từ tháng 07/2021, các chuyên gia đã quan sát thấy sự thay đổi trong cơ sở hạ tầng của chúng. Chúng đã rời bỏ “Cơ sở hạ tầng Pakedge” trước đó và chuyển sang các cụm mới bao gồm một số thương hiệu và máy chủ định danh khác để tránh bị các nhà phân tích điều tra về cơ sở hạ tầng.

Kể từ đó, việc theo dõi dấu vết của chúng trở nên khó khăn hơn mặc dù các chuyên gia vẫn quan sát được một số C&C mới như neccloud[.]net phân giải thành 5[.]252[.]176[.]102, một máy chủ giả mạo MivoCloud, hoặc netgearcloud[.]net, phân giải tới một địa chỉ IP trong nước có trụ sở tại Thụy Điển vào ngày 22/09/2021. Các chuyên gia liên kết các tên miền này với APT31 với độ tin cậy cao vì chúng khớp với hầu hết các cơ sở hạ tầng được thiết lập trong quá trình điều tra.

Tuy nhiên, cần lưu ý rằng không phải tất cả các ORB của chúng đều được phân giải theo tên miền. Do vậy, danh sách IoC được cung cấp là không đầy đủ và chỉ cho thấy một phần nhỏ cơ sở hạ tầng hoạt động của chúng được sử dụng cho các cuộc tấn công vào năm 2021.

Các trình cấy mã độc phát hiện được trong quá trình điều tra

Bằng cách xem xét các trình cấy mã độc kết nối với cơ sở hạ tầng trong mã nguồn mở, các chuyên gia có thể phân tích được một số trình cấy mã độc đã được APT31 sử dụng trong quá trình hoạt động của chúng, chẳng hạn như gói tin mã độc Cobalt Strike và trình cấy mã độc ELF có tên “unifi-video” (MD5 : 4640805c362b1e5bee5312514dd0ab2b), mạo danh một thương hiệu IoT nổi tiếng.

Hình 2. Liên kết giữa một số chiến dịch APT31, chỉ báo và phần mã độc/công cụ khai thác từ Trung tâm Thông tin tình báo SEKOIA.IO

Trong số các công cụ tiêu chuẩn của Red team, APT31 có vẻ như đang sử dụng mã độc Cobalt Strike như một trình cấy mã độc giai đoạn n để tồn tại bên trong mạng của nạn nhân. Như trình bày trong bảng bên dưới, một số gói tin kết nối với “cơ sở hạ tầng Pakedge” đã được gửi đến VirusTotal, đóng gói trong một tệp tin có thể thực thi (PE) tới trang VirusTotal. Cần lưu ý rằng vì chúng đã được đóng gói trong một tệp PE, nên không thể sử dụng hàm băm tương ứng để tìm kiếm APT31 trong mạng.

Đáng lưu ý, trình theo dõi mã độc Cobalt Strike của các chuyên gia đã phát hiện ra hai tác nhân độc hại lắng nghe Cobalt Strike trên cơ sở hạ tầng được phát hiện:

Tuy nhiên, các cấu hình liên quan đến các gói tin Cobalt Strike được phát hiện là khá phổ biến và điều này ngăn các chuyên gia nhận được các chỉ báo phân biệt liên quan đến việc sử dụng Cobalt Strike của các gói tin.

Trong quá trình điều tra, các chuyên gia đã tìm thấy một trình cấy ELF trên VirusTotal khớp với C&C www[.]moperfectstore[.]com, được mã hóa cứng. Các chuyên gia gán tên miền này với độ tin cậy từ trung bình đến cao đối với APT31 vì nó đã phân giải thành các thiết bị Pakedge và CyberOAM, cũng như phù hợp với một số phương pháp phân tích tên miền được mô tả ở trên. Vì tên miền này không có bất kỳ sự xuất hiện nào trước năm 2021 nên các chuyên gia đánh giá với độ tin cậy từ trung bình đến cao là trình cấy mã độc đã được APT31 sử dụng.

Trình cấy mã độc này được gọi là “unifi-video” (MD5: 4640805c362b1e5bee5312514dd0ab2b), là một ELF 64bit được liên kết tĩnh. Unifi-video là một phần mềm hợp lệ phổ biến được mô tả là “Hệ thống quản lý tập trung cho camera giám sát Ubiquiti UniFi”. Do đó, nó tương ứng với cơ sở hạ tầng thiết bị bị xâm nhập được sử dụng bởi APT31.

Khi phân tích tệp tin, các chuyên gia nhận thấy một số quy trình trùng lặp với cửa hậu Unix tối giản đã biết có tên là Rekoobe, vốn đã được một số nhà cung cấp giải pháp an ninh mạng như Dr Web và Intezer đề cập trước đây. Tuy nhiên, một số câu hỏi vẫn chưa được giải đáp liên quan đến mối liên hệ thực sự giữa APT31 và cửa hậu Rekoobe.

Trước tiên, các chuyên gia không biết liệu mã nguồn của Rekoobe có được chia sẻ giữa các tác nhân đe dọa khác nhau hay không, hay Rekoobe đã được vận hành bởi APT31 kể từ lần đầu tiên được phát hiện vào năm 2015. Hơn nữa, nếu APT31 vận hành mẫu Rekoobe này, thì không có dấu hiệu nào cho biết liệu trình cấy mã độc này được sử dụng trong cơ sở hạ tầng hay tồn tại dai dẳng trong thiết bị của nạn nhân.

Ban đầu, các chuyên gia cho rằng trình cấy mã độc (4640805c362b1e5bee5312514dd0ab2b) được liên kết với Rekoobe, tuy nhiên nhà nghiên cứu bảo mật Billy Leonard đã chỉ ra trên Twitter rằng nó thực sự là Tiny SHell và các chuyên gia hoàn toàn đồng ý. Tiny SHell đã được nhiều tác nhân đe dọa sử dụng từ vài năm gần đây và không có gì ngạc nhiên khi thấy APT31 sử dụng nó.

Kết luận

Bài báo nhằm mục đích tiết lộ một số cơ sở hạ tầng hoạt động và các công cụ khai thác được sử dụng trong năm 2021 để bạn đọc có thể tìm kiếm các dấu hiệu xâm nhập có thể đang diễn ra trong hệ thống mạng của mình. Mặc dù chưa có nhiều tài liệu về nhóm mã độc này, nhưng APT31 vẫn là một mối đe dọa đáng lưu ý trong nhiều năm đối với các mục tiêu phương Tây làm việc về các vấn đề chiến lược và chính phủ.