APT - Advanced Persistent Threat là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng kỹ thuật cao, tiên tiến để tấn công vào điểm yếu của hệ thống. Mục tiêu của các cuộc tấn công APT được lựa chọn cẩn thận và thường là các doanh nghiệp lớn, các cơ quan an ninh và cơ quan chính phủ. Các cuộc tấn công này để lại hậu quả nặng nề như đánh cắp tài sản trí tuệ, thông tin nhạy cảm; chiếm quyền tên miền của tổ chức; cơ sở hạ tầng bị phá hủy…

Nhóm APT FunnyDream

Các chuyên gia bảo mật tại BitDefender đã phát hiện ra một nhóm gián điệp mạng mới có liên hệ với Trung Quốc, được đặt tên là FunnyDream. Nhóm này đã phát tán mã độc tới hơn 200 hệ thống trên khắp Đông Nam Á trong hai năm qua.

Theo Kaspersky Lab, FunnyDream đã hoạt động ít nhất kể từ năm 2018 và nhắm mục tiêu đến các mục tiêu lớn ở Malaysia, Đài Loan và Philippines. Đặc biệt, nhóm nhắm mục tiêu đến nạn nhân ở Việt Nam và các tổ chức chính phủ nước ngoài tại các nước trong khu vực Đông Nam Á. FunnyDream vẫn đang hoạt động và duy trì sự tồn tại lâu dài trong mạng lưới của nạn nhân, theo dõi hoạt động và thu thập các tài liệu nhạy cảm, đặc biệt quan tâm đến thông tin về an ninh quốc gia và gián điệp công nghiệp.

Trong các chiến dịch tấn công, FunnyDream đã sử dụng một lượng lớn các biến thể của mã độc dạng Dropper, cổng hậu (backdoor) và các công cụ liên quan đến mã độc Chinoxy, PCShare RAT và FunnyDream. Các công cụ mã độc dạng RAT này có nguồn gốc từ Trung Quốc, với một số thành phần sử dụng tiếng Trung Quốc. Tên của nhóm xuất phát từ một backdoor nguy hiểm được sử dụng trong chính các cuộc tấn công của nhóm.

Sự giống nhau về phương thức sử dụng trong các cuộc tấn công

Theo phân tích bởi các nhà nghiên cứu Bitdefender, các cuộc tấn công thường sử dụng ba loại mã độc là Chinoxy, PCShare và FunnyDream. Funny Dream đã sử dụng cùng một quy trình để tấn công cho các chiến dịch. Bắt đầu bằng việc cài đặt mã độc cửa hậu Chinoxy, nhóm tin tặc này sẽ cài đặt mã độc và duy trì sự kết nối lâu dài tới hệ thống của nạn nhân sau lần truy cập đầu tiên.

Chinoxy Dropper sử dụng một tập tin thực thi được ký điện tử (gọi là Logitech Bluetooth Wizard Host Process) nhằm lẩn tránh sự phát hiện của các giải pháp an toàn thông tin và thực hiện tấn công kênh kề nhằm tải tập tin DLL backdoor vào bộ nhớ.

Sau đó, backdoor thực thi mã nguồn mở RAT được gọi là PcShare, để thu thập thông tin tình báo từ các máy chủ bị nhiễm. Tiếp đến, kẻ tấn công cài đặt FunnyDream là một mã độc cửa hậu đã được tùy chỉnh để hỗ trợ khả năng liên lạc và có độ bền bỉ nâng cao. Backdoor này sử dụng để thu thập thông tin tình báo và lọc dữ liệu.

Các tập tin được nhóm APT sử dụng phần lớn là ở dạng tập tin DLL, nhưng cũng có lúc là các tập tin thực thi dạng EXE với tên được đặt khác nhau cho mỗi cuộc tấn công. Điều này chứng tỏ các cuộc tấn công được thi thực riêng biệt và sử dụng các tập tin có chứa mã độc được tùy chỉnh cho từng đối tượng mục tiêu.

Timeline cho các mã độc được nhóm FunnyDream sử dụng

Sau khi phân tích, các nhà nghiên cứu đã tìm ra máy chủ điều khiển của nhóm FunnyDream do tên miền và địa chỉ của máy chủ quản trị được gán tĩnh trong tập tin thực thi. Hầu hết các máy chủ đặt ở Hồng Kông, ngoại trừ 3 máy chủ đặt ở Việt Nam, Trung Quốc và Hàn Quốc.

Khó khăn trong việc phòng chống các cuộc tấn công APT

Trong các cuộc tấn công APT, kẻ tấn công thường sử dụng các kỹ thuật cao để duy trì sự tồn tại trong hệ thống nạn nhân. Bên cạnh đó, chúng cũng áp dụng các biện pháp kỹ thuật để qua mặt các hệ thống Antivirus, Endpont Detection Response. Điều này khiến cho việc phát hiện các cuộc tấn công APT rất khó khăn và thường chỉ phát hiện được khi các tấn công đã diễn ra trong một thời gian dài.

Theo các chuyên gia, điều tốt nhất để phòng chống tấn công APT đó là đầu tư đồng bộ nhân lực và vật lực, thuê các chuyên gia hoặc tổ chức cung cấp dịch vụ an toàn thông tin chuyên nghiệp để giám sát các hệ thống 24/7, cũng như triển khai đào tạo để nâng cao nhận thức cho cán bộ, nhân viên trong việc sử dụng Internet an toàn.