Nguyễn Văn Hưởng » Không gian mạng » APT28 biến ứng dụng LoJack thành backdoor

(Không gian mạng) - Hãng bảo mật Arbor Networks (Mỹ) vừa đưa ra cảnh báo phát hiện một số phiên bản của phần mềm LoJack hợp pháp bị nhiễm mã độc, cho phép tin tặc xâm nhập vào bên trong máy tính những công ty sử dụng phần mềm này.

APT28

APT28 đã lây nhiễm nhiều phiên bản LoJack

Phần mềm bị lợi dụng trong chiến dịch lần này là LoJack, một ứng dụng mà nhiều công ty và cá nhân cài đặt trên thiết bị của mình (máy tính xách tay, máy tính bảng, điện thoại), có chức năng cảnh báo và cho phép người dùng theo dõi, định vị thiết bị trong trường hợp bị mất cắp.

Các chuyên gia tại Arbor Networks cho biết, họ tìm thấy những ứng dụng LoJack bị chỉnh sửa chứa một thành phần sửa đổi nhỏ trong mã nhị phân, kết nối agent LoJack đến một máy chủ C&C lừa đảo.

Điều này có nghĩa là thay vì báo cáo về trung tâm máy chủ của LoJack, các ứng dụng LoJack sẽ báo cáo và nhận chỉ dẫn từ những tên miền do tin tặc APT28 giám sát.

Arbor cho biết họ không thể tìm ra bất kỳ chứng cứ nào về việc nhóm APT28 lợi dụng LoJack để truy cập vào hệ thống của nạn nhân và đánh cắp dữ liệu, mặc dù các chuyên gia không hoàn toàn loại trừ khả năng nó có thể đang xảy ra ngay lúc này.

Các agent LoJack là những cửa hậu hoàn hảo

Nhờ cách thức mà agent LoJack được viết nên, tin tặc có thể truy cập vào một phần quyền lực của phần mềm thông qua một hệ thống bền bỉ được cài sẵn, từ đó cho phép LoJack tiếp tục tồn tại mặc cho sự thay đổi về ổ cứng và cài đặt lại hệ điều hành (OS). Không những vậy, tin tặc còn có thể thực thi bất kì code nào trên hệ thống mục tiêu, với đặc quyền cao nhất có thể.

Tính năng thứ 2 cho phép APT28 tải về mã độc khác, tìm kiếm dữ liệu nhạy cảm, trích xuất dữ liệu lấy cắp được chuyển về máy chủ của mình, xóa nhật ký hoạt động xâm nhập và thậm chí là xóa sạch hoặc phá hoại máy tính nạn nhân.

Vì phần sửa đổi trong mã nhị phân LoJack cực kỳ nhỏ và không đáng kể – để có thể tạo thành một tập cấu hình – hầu hết các công cụ dò tìm virus không nhận dạng những phiên bản này như một mã độc.

“Vì khả năng bị phát hiện thấp, tin tặc như có một mã thực thi lẩn trốn ngay trước măt, một agent hai mang. Chúng đơn giản chỉ cần dựng lên một máy chủ C&C giả mạo, mô phỏng theo giao thức liên lạc của LoJack”, chuyên gia Arbor giải thích.

Phiên bản LoJack độc lây lan qua email giả mạo

Arbor không thể nhận diện cách thức nhóm APT28 phát tán những đoạn mã nhị phân LoJack bị chỉnh sửa vào máy mục tiêu, nhưng họ tin rằng tin tặc đã dùng email giả mạo – như hầu hết các chiến dịch của nhóm – lừa nạn nhân cài đặt phiên bản LoJack độc vào máy.

Các nhà nghiên cứu cũng tin rằng APT28 được truyền cảm hứng từ tài liệu của buổi nói chuyện Black Hat năm 2014, khi chuyên gia bảo mật khám phá ra ý tưởng dùng LoJack – khá phổ biến thời điểm đó – như một backdoor mô-đun và cực kỳ bền bỉ.

Phần mềm LoJack là một sản phẩm của Computrace – công ty chuyên về kiến tạo phần mềm theo dõi. Năm 2010, công ty này là trung tâm của cuộc tranh luận truyền thông khi người ta phát hiện ra một trường quận ở Pennsylvania cài đặt một trong những ứng dụng theo dõi có tên LANrev vào máy tính những học sinh “đặc biệt”, cho phép nhân viên trường theo dõi học sinh ngay tại nhà.

Lâm Quang Dũng (Lược dịch từ: Bleeping Computer)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenvanhuong.org