Tin tặc Trung Quốc xâm nhập vào một công ty viễn thông Châu Á trong 4 năm

Báo cáo mới nhất từ ​​công ty an ninh mạng Sygnia tiết lộ, một công ty viễn thông châu Á đã bị một nhóm tin tặc của Đảng Cộng sản Trung Quốc (ĐCSTQ) xâm nhập cách đây 4 năm.

Tin tặc đã đột nhập vào mạng nội bộ của công ty bằng cách xâm nhập vào bộ định tuyến gia đình và sử dụng nhiều lớp cửa hậu được mã hóa và công cụ tạo đường hầm, để thu thập một lượng lớn thông tin nhạy cảm. Phương pháp tấn công này giống như búp bê Nga và rất khó bị phát hiện.

Hôm thứ Hai (ngày 24/3), Sygnia cho biết trong một báo cáo rằng nhóm tin tặc có tên “Weaver Ant” đã tấn công vào bộ định tuyến gia đình do Zyxel Technology sản xuất, để xâm nhập vào mạng nội bộ của một “công ty viễn thông lớn”, và sử dụng nhiều lớp công nghệ mã hóa, để ẩn núp trong hệ thống trong 4 năm, thu thập một lượng lớn thông tin nhạy cảm.

Các nhà nghiên cứu không tiết lộ tên của công ty viễn thông bị tấn công hoặc quốc gia nơi công ty này đặt trụ sở. Tuy nhiên, các bộ định tuyến gia đình đóng vai trò là bàn đạp cho tin tặc xâm nhập chủ yếu được các nhà mạng viễn thông ở các nước Đông Nam Á cung cấp cho người dùng gia đình.

Nhiều dấu hiệu cho thấy tin tặc Trung Quốc đứng sau vụ việc này

Sygnia xác định rằng hoạt động này có thể được thực hiện bởi các tin tặc được Chính phủ Trung Quốc hỗ trợ, dựa trên các lý do sau: bản chất của mục tiêu, mục đích của hoạt động, giờ làm việc của tin tặc, và thực tế là chúng sử dụng các công cụ cửa hậu web thường được tin tặc Trung Quốc sử dụng, như “China Chopper”.

“China Chopper” là một công cụ thường được các nhóm tin tặc của ĐCSTQ sử dụng để truy cập từ xa vào máy chủ của nạn nhân và đánh cắp thông tin.

Trong một cuộc điều tra khác, Sygnia phát hiện ra rằng một tài khoản bị vô hiệu hóa trước đó được “Weaver Ant” sử dụng đã được kích hoạt lại. Khám phá này thúc đẩy các nhà nghiên cứu tiến hành một cuộc điều tra trên diện rộng.

Cuộc điều tra phát hiện ra rằng “một biến thể của Chinese Chopper” đã ẩn nấp trong máy chủ nội bộ của công ty trong nhiều năm. Công cụ cửa sau được mã hóa này hỗ trợ mã hóa AES và có thể vượt qua sự phát hiện của tường lửa ứng dụng web (WAF).

Ngoài ra, tin tặc còn sử dụng một công cụ web backdoor mới có tên là “INMemory” chạy trực tiếp trong bộ nhớ, tránh được các hệ thống phát hiện và chống virus truyền thống.

Báo cáo cho biết, tin tặc nhắm vào “các nhà khai thác viễn thông lớn ở Châu Á”, một mục tiêu phù hợp với mô hình xâm nhập cơ sở hạ tầng khu vực và thu thập thông tin tình báo của ĐCSTQ.

Báo cáo cho biết: “Các ngành công nghiệp và vị trí địa lý bị nhắm tới phù hợp với chiến lược mạng của Trung Quốc (ĐCSTQ).“

Ngoài ra, hầu hết các cuộc tấn công của nhóm tin tặc đều được thực hiện trong “giờ làm việc” của Trung Quốc, hầu như không có hoạt động nào vào cuối tuần và ngày lễ của Trung Quốc. Điều này rất phù hợp với giờ làm việc của các tổ chức trong nước Trung Quốc. Ngoài ra, tin tặc còn lợi dụng một số lỗ hổng hệ thống được cho là thường được tin tặc ĐCSTQ sử dụng.

Ông Oren Biderman, giám đốc ứng phó sự cố của Sygnia, cho biết những tác nhân quốc gia như Weaver Ant cực kỳ nguy hiểm và rất dai dẳng. Mục tiêu chính của họ là xâm nhập vào cơ sở hạ tầng quan trọng, và thu thập càng nhiều thông tin càng tốt mà không bị phát hiện.

Ông cho biết, Weaver Ant đã hoạt động trong các mạng lưới nạn nhân trong hơn 4 năm, và họ vẫn có thể tiếp tục hoạt động ngay cả sau nhiều lần bị xóa. Họ điều chỉnh chiến thuật của mình theo những thay đổi trong môi trường mạng, cho phép họ tiếp tục truy cập vào các hệ thống và thu thập thông tin nhạy cảm.

Mã hóa nhiều lớp giống như cửa hậu web “búp bê Nga”

Sygnia chỉ ra rằng công cụ cửa hậu web do nhóm Weaver Ant thiết kế được ngụy trang rất kỹ, và sử dụng cơ chế mã hóa và mã hóa nhiều lớp, khiến hệ thống phòng thủ khó có thể xác định được chức năng thực sự của nó.

Các mô-đun độc hại có trong INMemory sẽ được nén và mã hóa, sau đó được giải nén và tải vào bộ nhớ theo thời gian thực khi được thực thi. Điều này có nghĩa là toàn bộ quá trình tấn công hầu như không để lại dấu vết, khiến phần mềm diệt virus và hồ sơ nhật ký khó phát hiện.

Sygnia chỉ ra rằng cuộc tấn công của Weaver Ant giống như búp bê Matryoshka của Nga. Chương trình độc hại được mã hóa từng lớp, và cần được giải mã từng lớp thông qua một cửa hậu cụ thể trước khi có thể triển khai đợt tấn công tiếp theo.

Thiết kế này cực kỳ bí mật, đòi hỏi các nhà nghiên cứu phải tốn rất nhiều nguồn lực để khôi phục và theo dõi hành vi của nó theo từng lớp. Mặc dù Sygnia đã hoàn tất chiến dịch diệt trừ toàn diện, nhưng hoạt động giám sát cho thấy Weaver Ant vẫn tiếp tục tìm cách quay trở lại mạng lưới của công ty viễn thông.

Sygnia cho biết đang tiếp tục theo dõi các hoạt động mới nhất của nhóm này, và dự kiến ​​sẽ công bố các báo cáo tiếp theo tiết lộ các công cụ và phương pháp nâng cấp của họ.