BackdoorDiplomacy khai thác các ứng dụng dễ bị tấn công trên máy chủ web

Đó là kết luận được công bố vào năm 2021 của các chuyên gia đến từ Welivesecurity sau khi quan sát BackdoorDiplomacy.

Vectơ tấn công

Các chuyên gia từ Welivesecurity cho rằng, BackdoorDiplomacy nhắm mục tiêu vào các máy chủ có cổng tiếp xúc với internet, có khả năng khai thác các lỗ hổng chưa được vá hoặc quá trình bảo mật tải tệp dữ liệu được thực thi kém. Trong một trường hợp cụ thể, họ đã quan sát thấy nhóm gián điệp mạng này đã khai thác lỗ hổng F5 BIP-IP (CVE-2020-5902) để loại bỏ cửa hậu Linux. Trong một trường hợp khác, máy chủ Microsoft Exchange đã bị khai thác thông qua trình nhỏ giọt PowerShell đã cài đặt China Chopper, webshell nổi tiếng được nhiều nhóm khác nhau sử dụng, kể từ năm 2013. Trong trường hợp thứ ba, các chuyên gia đã quan sát thấy máy chủ Plesk có tải tệp dữ liệu được định cấu hình kém thực thi webshell khác tương tự như China Chopper. Tổng quan về chuỗi khai thác của nhóm gián điệp BackdoorDiplomacy được Welivesecurity mô tả trong Hình 1.

Hình 1. Khai thác chuỗi từ thỏa hiệp ban đầu đến cửa hậu với truyền thông C&C (Nguồn: //www.welivesecurity.com/)

Trinh sát và lan rộng

Sau sự thỏa hiệp ban đầu, nhóm gián điệp BackdoorDiplomacy đã sử dụng các công cụ trinh sát để đánh giá môi trường cho các mục tiêu bổ sung về cơ hội và khả năng lan rộng. Trong số các công cụ đã được Welivesecurity ghi lại bao gồm:

- EarthWorm, một đường hầm mạng đơn giản với máy chủ SOCKS v5 và các chức năng chuyển cổng.
- Mimikatz và các phiên bản khác nhau bao gồm cả SafetyKatz.
- Nbtscan, trình quét NetBIOS dòng lệnh cho Windows.
- NetCat, một tiện ích mạng đọc và ghi dữ liệu qua các kết nối mạng.
- PortQry, một công cụ để hiển thị trạng thái của các cổng TCP và UDP trên các hệ thống từ xa.
- SMBTouch, được sử dụng để xác định xem mục tiêu có dễ bị tấn công bởi EternalBlue hay không…

Các thư mục thường được sử dụng cho các công cụ trinh sát và lan rộng bao gồm:

C:\Program Files\Windows Mail\en-US\
%LOCALAPPDATA%\Microsoft\InstallAgent\Checkpoint\
C:\ProgramData\ESET\ESET Security\Logs\eScan\
%USERPROFILE%\ESET\ESET Security\Logs\eScan\
C:\Tệp chương trình\hp\hponcfg\
C:\Tệp chương trình\hp\hpssa\
C:\hp\hpsmh\
C:\ProgramData\Mozilla\updates\

Công cụ truy cập từ xa

Welivesecurity đã phát hiện ra rằng, nhóm gián điệp BackdoorDiplomacy đã sử dụng các công cụ truy cập từ xa nguồn mở, chẳng hạn như Quasar. Các công cụ này cung cấp nhiều tính năng khác nhau và chạy trên hầu như tất cả các phiên bản Windows.

Thông qua tên miền máy chủ chỉ huy và kiểm soát (C&C) dùng chung, họ cũng đã phát hiện ra cửa hậu Linux sử dụng cơ sở hạ tầng mạng tương tự. Cửa hậu này được triển khai sau khi khai thác lỗ hổng đã biết trong giao diện người dùng quản lý lưu lượng (TMUI) của bộ cân bằng tải F5 BIG-IP, cho phép thực thi mã từ xa (RCE). Biến thể Linux duy trì sự tồn tại của mình bằng cách tự ghi vào thư mục /etc/init.d/rc.local.

BackdoorDiplomacy tấn công cả hệ thống Windows và Linux 

Welivesecurity nhận định rằng, BackdoorDiplomacy là nhóm tập trung chủ yếu nhắm vào các tổ chức ngoại giao ở Trung Đông và Châu Phi. Hình 2 mô tả các khu vực và các ngành bị tấn công, bao gồm cơ quan ngoại giao của một số quốc gia châu Phi, cũng như ở châu Âu, Trung Đông và châu Á. Các mục tiêu khác bao gồm các công ty viễn thông ở Châu Phi và tổ chức từ thiện ở Trung Đông. 

Hình 2. Nạn nhân theo quốc gia và các lĩnh vực (Nguồn //www.welivesecurity.com/)

Phương pháp tấn công ban đầu của nhóm này tập trung vào việc khai thác các ứng dụng tiếp xúc với internet dễ bị tấn công trên máy chủ web, để loại bỏ và thực thi webshell. Sau khi thỏa hiệp, thông qua webshell, BackdoorDiplomacy triển khai phần mềm nguồn mở để do thám và thu thập thông tin, đồng thời chiếm quyền điều khiển lệnh tìm kiếm DLL để cài đặt cửa hậu. Cuối cùng, BackdoorDiplomacy sử dụng tệp thực thi riêng biệt để phát hiện phương tiện di động, có thể là ổ đĩa flash USB và sao chép nội dung của chúng vào thùng rác của ổ đĩa chính.

BackdoorDiplomacy là một phần của nhóm hack APT15

Palo Alto Networks, một công ty an ninh mạng của Hoa Kỳ, đã công bố về biến thể Playful Taurus của BackdoorDiplomacy vào tháng 1/2023. Nhóm Unit42 của Palo Alto Networks cho biết, nghiên cứu của họ cho thấy BackdoorDiplomacy có liên kết với nhà nước Trung Quốc và là một phần của nhóm hack APT15.

BackdoorDiplomacy hoạt động từ năm 2010

Theo Unit42, Playful Taurus, còn được gọi với các tên khác như là APT15, BackdoorDiplomacy, Vixen Panda, KeChang và Nickel, là một nhóm đe dọa mạng hoạt động dai dẳng của Trung Quốc thường xuyên tiến hành các chiến dịch gián điệp mạng. Nhóm này đã hoạt động từ năm 2010 và có lịch sử nhắm mục tiêu vào các tổ chức chính phủ và ngoại giao trên khắp Bắc và Nam Mỹ, Châu Phi và Trung Đông.

Vào tháng 6/2021, rằng, nhóm BackdoorDiplomacy này đã nâng cấp bộ công cụ tấn công, trong đó bao gồm một cửa hậu mới có tên là Turian. Cửa hậu này vẫn đang được phát triển tích cực và Unit42 đánh giá rằng nó chỉ được sử dụng bởi các biến thể Playful Taurus. Unit42 đã xác định được các biến thể mới của cửa hậu này cũng như cơ sở hạ tầng chỉ huy và kiểm soát chúng. Phân tích cả mẫu và các kết nối với cơ sở hạ tầng độc hại cho thấy rằng, một số mạng của chính phủ Iran có thể đã bị Playful Taurus xâm nhập.

Cơ sở hạ tầng Playful Taurus

Vào năm 2021, tên miền vpnkerio[.]com được xác định là một phần của chiến dịch Playful Taurus nhắm vào các tổ chức ngoại giao và công ty viễn thông trên khắp Châu Phi và Trung Đông. Kể từ đó, tên miền này và các tên miền phụ được liên kết của nhóm gián điệp đã chuyển dịch vụ lưu trữ sang một số địa chỉ IP mới. Đáng chú ý, một số tên miền phụ được phân giải thành 152.32.181[.]16.
Khi phân tích IP này, Unit42 đã xác định được chứng chỉ X.509 (Bảng 1) đã hết hạn dường như được liên kết với Bộ Ngoại giao Senegal (MFA), CN=diplosen.gouv[.]sn.

Bảng 1. Chứng chỉ Playful Taurus bị nghi ngờ (nguồn Palo Alto Networks)

Theo dõi các kết nối đến cơ sở hạ tầng độc hại, Unit42 đã quan sát thấy bốn tổ chức của Iran (Bảng 2) đang cố gắng kết nối với 152.32.181[.]16 trong khoảng thời gian từ tháng 7 đến tháng 12/2022.

Bảng 2. Các kết nối của Iran với cơ sở hạ tầng Playful Taurus (nguồn Palo Alto Networks)

Tính chất bền vững theo thời gian của các kết nối này với cơ sở hạ tầng do Playful Taurus kiểm soát cho thấy khả năng các mạng của các tổ chức này đã bị xâm phạm. Ngoài ra, các mục tiêu này cũng phù hợp với các mục đích của nhóm BackdoorDiplomacy trong quá trình hoạt động. Phân tích của Unit42 về các mẫu và kết nối với cơ sở hạ tầng độc hại cho thấy các mạng khác của chính phủ Iran có thể đã bị xâm phạm. Đồng thời, Unit42 cũng cảnh báo rằng, Playful Taurus thường xuyên triển khai các chiến thuật và kỹ thuật tương tự để vượt quá kiểm soát của các tổ chức chính phủ và ngoại giao khác trên khắp Bắc và Nam Mỹ, Châu Phi và Trung Đông.

Thay cho lời kết

Cộng đồng bảo mật phỏng đoán BackdoorDiplomacy xuất hiện sớm nhất là vào năm 2010, biến thể Quarian đã được sử dụng để tấn công mục tiêu vào Bộ Ngoại giao Syria vào năm 2012, Bộ Ngoại giao Hoa Kỳ vào năm 2013. BackdoorDiplomacy cũng thực hiện chia sẻ các chiến thuật, kỹ thuật và thủ tục với các nhóm gián điệp khác trong khu vực châu Á. Biến thể Turian được cho là một biến thể ở giai đoạn phát triển tiếp theo của biến thể Quarian, cửa hậu quan sát được lần cuối vào năm 2013 được sử dụng nhằm vào các mục tiêu ngoại giao ở Syria và Hoa Kỳ. Giao thức mã hóa mạng của Turian gần giống với giao thức mã hóa mạng được sử dụng bởi Whitebird, một cửa hậu do Calypso, một nhóm gián điệp mạng châu Á khác vận hành. Whitebird đã được triển khai trong các tổ chức ngoại giao ở Kazakhstan và Kyrgyzstan trong cùng khung thời gian với BackdoorDiplomacy (2017-2020).

Tháng 12/2021, Microsoft thông báo rằng, Đơn vị Tội phạm Kỹ thuật số của Microsoft (Digital Crimes Unit - DCU) đã làm gián đoạn hoạt động của một nhóm tin tặc có trụ sở tại Trung Quốc mà họ đặt tên là Nickel. Nickel đã nhắm mục tiêu vào các tổ chức ở cả khu vực tư nhân và công cộng, bao gồm các tổ chức ngoại giao và bộ ngoại giao ở Bắc Mỹ, Trung Mỹ, Nam Mỹ, Caribe, Châu Âu và Châu Phi. Thường có mối tương quan giữa các mục tiêu của Nickel và lợi ích địa - chính trị của Trung Quốc. Cộng đồng bảo mật đã tốn nhiều công sức để nghiên cứu nhóm gián điệp mạng này với những biến thể đa dạng và đặt cho những tên gọi khác nhau. Thông báo cũng cho biết rằng, tòa án liên bang ở Virginia đã chấp thuận yêu cầu của DCU về việc thu giữ các trang web mà Nickel đang sử dụng để tấn công các tổ chức ở Hoa Kỳ và 28 quốc gia khác trên thế giới, cho phép DCU cắt quyền truy cập của Nickel tới các nạn nhân của nó và ngăn chặn các trang web được sử dụng để thực hiện các cuộc tấn công. 

Tuy nhiên, theo các nghiên cứu của Palo Alto Networks thì Playful Taurus biến thể mới của BackdoorDiplomacy vẫn thường xuyên thay đổi các chiến thuật và kỹ thuật để dai dẳng tồn tại trên không gian mạng. Những nâng cấp đối với cửa hậu Turian và cơ sở hạ tầng C&C cho thấy rằng, nhóm BackdoorDiplomacy này tiếp tục đạt được thành công trong các chiến dịch tấn công mạng và có liên kết với các nhóm gián điệp mạng khác. 

Welivesecurity đã tóm lược tổng quan chuỗi tấn công của nhóm gián điệp mạng này và kết luận rằng, BackdoorDiplomacy là nhóm đa nền tảng nhắm đến cả hệ thống Windows và Linux; Palo Alto Networks cũng đã chia sẻ những phát hiện về BackdoorDiplomacy, bao gồm các mẫu tệp và chỉ báo về sự xâm phạm với các đồng nghiệp… 

Tất cả các nỗ lực trên với hy vọng cộng đồng bảo mật nhanh chóng triển khai các biện pháp bảo vệ cho khách hàng và loại bỏ được nhóm gián điệp BackdoorDiplomacy nguy hiểm hoạt động dai dẳng trên không gian mạng.