Nền tảng này được các nhà nghiên cứu đặt tên là TajMahal, với khoảng 80 mô-đun mã độc và những chức năng chưa từng thấy trong một vụ tấn công có chủ đích (advanced persistent threat - APT), như khả năng đánh cắp thông tin từ hàng đợi máy in hay chiếm lấy những file gần nhất trên một thiết bị USB trong lần kết nối tiếp theo. Kaspersky Lab mới chỉ thấy duy nhất một nạn nhân là đại sứ quán của một quốc gia Trung Á ở nước ngoài, nhưng có thể đã có nhiều nạn nhân khác bị lây nhiễm mã độc này.

TajMahal bị các nhà nghiên cứu tại Kaspersky Lab phát hiện vào cuối năm 2018. Đó là một nền tảng tấn công APT tinh vi được thiết kế cho hoạt động do thám mạng trên phạm vi rộng. Phân tích mã độc cho thấy, nền tảng này đã được phát triển và sử dụng trong ít nhất 5 năm qua, với những mẫu ban đầu từ tháng 4 năm 2013 và mẫu gần nhất là vào tháng 8 năm 2018. Cái tên TajMahal xuất phát từ tên file được sử dụng để truyền dữ liệu đánh cắp được ra bên ngoài.

Nền tảng mã độc TajMahal được cho là bao gồm hai gói sản phẩm chính, với tên gọi tương ứng là “Tokyo” và “Yokohama”.

Tokyo là gói sản phẩm nhỏ hơn, chứa khoảng 3 mô-đun. Nó chứa chức năng cửa hậu (backdoor) chính, và thường xuyên kết nối với máy chủ chỉ huy điều khiển (command and control server). Tokyo sử dụng PowerShell và ẩn mình trong mạng kể cả sau khi quá trình xâm nhập đã chuyển sang giai đoạn thứ hai.

Giai đoạn hai là gói sản phẩm Yokohama: một nền tảng gián điệp mạng được trang bị đầy đủ. Yokohama bao gồm VFS (Virtual File System - Hệ thống file ảo) với tất cả các plug-in, thư viện nguồn mở và nguồn đóng từ bên thứ ba cũng như các file cấu hình. Có gần 80 mô-đun mã độc trên nền tảng này, bao gồm các mô-đun tải file (loader), đồng bộ (orchestrator), truyền thông chỉ huy và điều khiển (command and control communicators), ghi âm (audio recorder), ghi nhận thông tin phím gõ (keylogger), chụp ảnh màn hình và webcam (screen and webcam grabber), công cụ đánh cắp tài liệu và khóa mã hóa (documents and cryptography key stealer).

TajMahal còn có thể thu thập cookie của trình duyệt (browser cookie), danh mục sao lưu dữ liệu (backup list) của các thiết bị Apple, đánh cắp dữ liệu từ một đĩa CD được ghi (burnt) bởi nạn nhân cũng như là các tài liệu trong hàng đợi máy in. Nó cũng có thể yêu cầu lấy cắp một file nhất định từng nhìn thấy trước đây trên một thẻ nhớ USB, và file đó sẽ bị đánh cắp trong lần tiếp theo khi thẻ nhớ USB được cắm vào máy tính.

Các hệ thống đích mà Kaspersky Lab phát hiện bị lây nhiễm cả mã độc Tokyo và Yokohama. Điều đó cho thấy Tokyo được sử dụng để phát tán mã độc trong giai đoạn đầu, triển khai gói sản phẩm Yokohama đầy đủ chức năng trên các nạn nhân mục tiêu và sau đó ẩn mình với vai trò dự phòng.

Cho đến nay, mới chỉ quan sát thấy có một nạn nhân - một cơ quan ngoại giao của một nước Trung Á ở nước ngoài - bị lây nhiễm từ năm 2014. Các véc-tơ phân phối và lây nhiễm mã độc của TajMahal hiện vẫn còn là ẩn số.

“Nền tảng TajMahal là một phát hiện rất thú vị. Mức độ tinh vi về mặt kĩ thuật vượt xa so với hình dung và nền tảng này được trang bị những chức năng chưa từng thấy trong một công cụ tấn công có chủ đích. Vẫn còn có nhiều câu hỏi chưa được trả lời. Ví dụ như, một khoản đầu tư lớn như vậy mà chỉ nhắm vào duy nhất một nạn nhân dường như là không hợp lí. Điều đó cho thấy rằng, có thể có những nạn nhân khác còn chưa được nhận diện, hoặc có các biến thể khác của mã độc này trên mạng, hoặc là cả hai khả năng trên. Các véc-tơ phân phối và lây nhiễm mã độc của mối đe dọa bảo mật này hiện vẫn còn là ẩn số. Tuy nhiên, nó đã nằm trong vùng quét của ra-đa trong hơn 5 năm. Cho dù điều đó là do tính không hoạt động tương đối hoặc một lí do nào khác thì đây vẫn là một câu hỏi thú vị. Chưa có một đầu mối nào về thuộc tính hoặc mối liên hệ nào với các nhóm tội phạm khác,” ông Alexey Shulmin, chuyên gia trưởng về phân tích mã độc của Kaspersky Lab cho biết.

Tất cả mọi sản phẩm của Kaspersky Lab đều phát hiện và chặn đứng thành công mối đe dọa bảo mật này.



Bình luận

  • TTCN (0)