- Các tác nhân bị nghi là do chính phủ Triều Tiên hậu thuẫn mà Google TAG đang theo dõi tiếp tục nhắm vào các nhà nghiên cứu bảo mật làm về nghiên cứu và phát triển lỗ hổng, và trong chiến dịch gần đây cũng đã xác nhận có 0-day bị khai thác tích cực
- Kẻ tấn công tạo dựng quan hệ trên X, sau đó chuyển cuộc trò chuyện sang Signal, WhatsApp và Wire, rồi gửi cho các nhà nghiên cứu đã tạo được lòng tin những tệp độc hại chứa 0-day của các gói phần mềm phổ biến
- Sau khi exploit thành công, shellcode thực hiện phát hiện máy ảo và gửi thông tin thu thập được cùng ảnh chụp màn hình tới tên miền C2 do kẻ tấn công kiểm soát
- Công cụ Windows GetSymbol, bị nghi là một đường lây nhiễm riêng, trông giống tiện ích tải debugging symbol nhưng có thể tải xuống và thực thi mã tùy ý từ tên miền do kẻ tấn công kiểm soát
- TAG đã thêm các tên miền liên quan vào Safe Browsing, gửi cảnh báo tác nhân được chính phủ hậu thuẫn tới người dùng Gmail và Workspace bị nhắm mục tiêu, đồng thời khuyến nghị bật Chrome Enhanced Safe Browsing và cập nhật thiết bị
Việc nhắm mục tiêu lặp đi lặp lại vào các nhà nghiên cứu bảo mật
- Vào tháng 1/2021, Google Threat Analysis Group (TAG) từng công bố một chiến dịch trong đó tác nhân được chính phủ Triều Tiên hậu thuẫn nhắm vào các nhà nghiên cứu bảo mật nghiên cứu lỗ hổng bằng các 0-day exploit
- Trong hai năm rưỡi sau đó, TAG tiếp tục theo dõi và chặn các chiến dịch cùng họ, đồng thời tìm ra 0-day để bảo vệ người dùng trực tuyến
- Chiến dịch mới được xác nhận gần đây có thể do cùng một tác nhân thực hiện vì có nhiều điểm tương đồng với hoạt động trước đó
- Trong vài tuần gần đây, các cuộc tấn công nhắm vào nhà nghiên cứu bảo mật đã sử dụng ít nhất một 0-day bị khai thác tích cực, và lỗ hổng liên quan đã được báo cho nhà cung cấp bị ảnh hưởng
- Nhà cung cấp đã phát hành bản vá vào ngày 12/9/2023, và TAG đã công bố phân tích nguyên nhân gốc rễ theo chính sách công bố của Google
Tạo quan hệ xã hội rồi chuyển tệp độc hại
- Giống các chiến dịch trước, kẻ tấn công trước tiên tiếp cận các nhà nghiên cứu mục tiêu trên mạng xã hội như X
- Trong một trường hợp, chúng duy trì đối thoại với một nhà nghiên cứu bảo mật suốt nhiều tháng dựa trên mối quan tâm chung và tìm cách hợp tác
- Cuộc trò chuyện bắt đầu trên X sau đó được chuyển sang các ứng dụng nhắn tin mã hóa như Signal, WhatsApp và Wire
- Khi đã tạo được lòng tin, kẻ tấn công gửi các tệp độc hại chứa ít nhất một 0-day của các gói phần mềm phổ biến
- Nếu exploit thành công, shellcode sẽ thực hiện nhiều kiểm tra né tránh máy ảo
- Sau đó, nó gửi thông tin thu thập được và ảnh chụp màn hình tới tên miền command-and-control do kẻ tấn công kiểm soát
- Cách tổ chức shellcode tương tự shellcode từng được quan sát trong các exploit trước đây của Triều Tiên
Con đường lây nhiễm thứ cấp tiềm tàng qua GetSymbol
- Ngoài hoạt động nhắm mục tiêu bằng 0-day, kẻ tấn công còn phát triển một công cụ Windows độc lập
- Công cụ này tự giới thiệu là dùng để tải debugging symbol từ các symbol server của Microsoft, Google, Mozilla và Citrix cho các kỹ sư đảo ngược
- Mã nguồn lần đầu được công bố trên GitHub vào ngày 30/9/2022, và sau đó nhiều bản cập nhật đã được phát hành
- Bề ngoài, nó trông như một tiện ích giúp tải nhanh thông tin symbol từ nhiều nguồn
- Symbols cung cấp thêm thông tin về binary, có thể hữu ích cho việc debug lỗi phần mềm hoặc nghiên cứu lỗ hổng
- Tuy nhiên, công cụ này cũng bao gồm chức năng tải xuống và thực thi mã tùy ý từ tên miền do kẻ tấn công kiểm soát
- TAG khuyến nghị nếu đã tải hoặc chạy công cụ này thì cần xác minh hệ thống đang ở trạng thái sạch đã biết, và có thể phải cài đặt lại hệ điều hành
Các biện pháp bảo vệ của Google
- TAG sử dụng các kết quả nghiên cứu nhằm ứng phó với các tác nhân đe dọa nghiêm trọng để cải thiện độ an toàn và bảo mật của các sản phẩm Google
- Tất cả website và tên miền đã được xác nhận đều được thêm vào Safe Browsing ngay khi phát hiện để bảo vệ người dùng khỏi bị khai thác thêm
- Người dùng Gmail và Workspace bị nhắm mục tiêu sẽ nhận được cảnh báo tác nhân được chính phủ hậu thuẫn
- Các mục tiêu tiềm năng được khuyến nghị bật Enhanced Safe Browsing của Chrome và luôn cập nhật tất cả thiết bị
- Khi hiểu biết về chiến thuật và kỹ thuật tăng lên, năng lực threat hunting và mức độ bảo vệ người dùng trên toàn ngành cũng có thể được tăng cường
Các website và tài khoản do kẻ tấn công kiểm soát
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
C2 IPs/Domains
23.106.215[.]105www.blgbeach[.]com
-
Tài khoản X
-
Tài khoản Wire
@paul354
-
Tài khoản Mastodon
1 bình luận
Ý kiến trên Hacker News
Công cụ getsymbol trên GitHub đã nhận 214 sao, nhưng hoàn toàn không thấy banner nào cho biết đây là công cụ độc hại
Trong issue mới đăng gần đây có link tới bài blog của Google, nhưng chỉ có vậy
Nếu có người của GitHub đang xem, tôi mạnh mẽ khuyến nghị thêm banner hoặc modal cảnh báo backdoor cho công cụ này và các phần mềm khác đã biết có backdoor (ví dụ: các fork)
Tôi cũng đã làm vậy nhiều lần :(
Backdoor nhiều khả năng đã nằm trong bản phát hành nhị phân hoặc binary tự động cập nhật
Nếu tự biên dịch rồi chấp nhận tự động cập nhật thì vẫn có thể bị nhiễm, và binary lớn hơn 15MB nên dư sức để giấu một backdoor nhỏ
Nếu có điểm chung với các dự án obscure khác, đó có thể là dấu hiệu các tài khoản đó là tài khoản con rối
Tôi tò mò các trang tải xuống phổ biến đáng tin đến mức nào
Ví dụ, binary ffmpeg cho Windows[1] được host trên một trang cá nhân nào đó
Có thể kiểm tra checksum v.v., nhưng vẫn không có gì đảm bảo nó gắn với một commit Git cụ thể
Với các bản tải xuống được host không chính thức/không qua GitHub và không có build tái lập được hoặc đã chứng minh được, mặc định tôi sẽ giả định đó là tác nhân nhà nước
Tôi có hoang tưởng quá không? Trình quản lý gói trên Linux/Mac giải quyết việc này thế nào?
[1] https://ffmpeg.org/download.html
Thực tế Linux Mint từng gặp chuyện như vậy
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
Nếu không xem phần issue thì trông nó hoàn toàn bình thường
https://github.com/dbgsymbol/getsymbol
Bản tải xuống Windows do "shinchiro" trên SourceForge cung cấp, còn bản tải xuống MacOS do "stolendata" trên stolendata.net cung cấp
Nó vẫn còn gần như ở giai đoạn đầu
Không gây sốc hay mới mẻ, nhưng cũng thú vị
Tại sao lại dùng 0-day nhắm vào nhà nghiên cứu bảo mật? Theo tôi đoán, đó là một bài kiểm thử có lợi
Nếu nó có tác dụng với nhà nghiên cứu bảo mật thì có thể xem là lỗ hổng tốt và đưa vào thực chiến; về dài hạn, họ có lẽ cũng tính đến khả năng thu được 1+x 0-day từ nhà nghiên cứu đó
Với nhà nghiên cứu bảo mật thì đây cũng là tình huống thú vị
Nếu đủ cẩn thận và có thể giả vờ ngu đủ tốt, họ có thể “miễn phí” thu hoạch vector tấn công mới hoặc 0-day mới, nhưng nếu đánh giá quá cao bản thân thì sẽ bị hạ ngay
Công cụ này cũng có chức năng tải xuống và chạy mã tùy ý từ một domain do kẻ tấn công kiểm soát
Nói cách khác, đó là tự động cập nhật
Thật mỉa mai là nhờ Big Tech đã nhồi vào công chúng hoặc cưỡng ép loại bỏ lựa chọn để họ chấp nhận kiểu phụ thuộc này, giờ thái độ phụ thuộc và tin tưởng đó đã lan tới cả các nhà nghiên cứu bảo mật rồi quay lại cắn họ
Một số người trong chúng ta đã biết ngay từ đầu thái độ này sẽ dẫn tới đâu, và không phải ai cũng là nhà nghiên cứu bảo mật
Chỉ là chúng tôi đã thấy những tác động tiêu cực khác khi cho phép ai đó đẩy thứ gì đó vào máy của mình và chạy nó, rồi nối hai chuyện đó lại với nhau
Hoàn toàn là suy đoán, nhưng bản cập nhật bảo mật macOS mới vừa ra mắt và có nội dung này
“Tác động: Việc xử lý một hình ảnh được tạo độc hại có thể dẫn đến thực thi mã tùy ý. Apple biết về báo cáo rằng vấn đề này có thể đã bị khai thác trong thực tế.”
https://support.apple.com/en-us/HT213906
Tôi không phải người thích cá cược, nhưng tôi đoán lỗ hổng đang được bàn đến chính là cái này
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
Điều tôi thắc mắc là thế này
Những người Triều Tiên này rõ ràng có quyền truy cập Internet không hạn chế, vì trên thực tế đó là điều cần thiết nếu muốn tìm 0-day, và rõ ràng ít nhất cũng hiểu tiếng Anh
Vậy làm sao họ lại chưa từng tình cờ tiếp xúc với những phương tiện truyền thông cho thấy các thứ mà truyền thông nhà nước che giấu?
Thực tế thì, như các cơ quan tình báo nước khác, chắc chắn họ sẽ tuyển người dựa trên lòng yêu nước
Câu hỏi này cũng giống như hỏi vì sao một nhân viên tình báo Mỹ, dù tiếp xúc với thông tin về Triều Tiên vượt quá mức tuyên truyền, lại không đào tẩu sang Triều Tiên vì nước này có bảo hiểm y tế tốt hơn, trường học không có xả súng hàng loạt, và quản lý rác thải tốt hơn
Có khả năng họ không coi trọng những khía cạnh có vẻ tốt hơn trong xã hội Triều Tiên, và cũng không tin rằng trong những tình huống cụ thể chúng thực sự tốt hơn
Tôi không thấy có nhiều lý do để nghĩ cơ quan tình báo Triều Tiên sẽ khác
Có lẽ họ biết
Có những cách khác để kiểm soát những người này; củ cà rốt là đặc quyền trong nước Triều Tiên, còn cây gậy là hậu quả sẽ giáng xuống bản thân và gia đình họ nếu vượt lằn ranh
Sang một quốc gia tự do hơn là điều khó với mọi người Triều Tiên, và vì củ cà rốt lẫn cây gậy, họ có lẽ cũng không thể cứ thế bỏ nghề hack
Khả năng cao là họ bị giám sát chặt chẽ
Một số người có thể thực sự tin vào tuyên truyền, và những người này có lẽ được đối đãi khá tốt
Điều đó không có nghĩa là những sai trái của Triều Tiên được miễn trừ
Họ bị giám sát chặt chẽ tại nơi làm việc, và thường bị đe dọa nhắm vào gia đình
Tôi tò mò khả năng một nhà nghiên cứu bảo mật chạy một binary Windows nhận được từ người lạ qua chat là bao nhiêu
Chuyện này giờ gần như là kiến thức phổ thông, còn trước cả mức nhập môn bảo mật
Ngược lại, có lẽ các nhà nghiên cứu đã có cơ hội nghịch binary đó trong môi trường an toàn
Kẻ tấn công đã công khai mã nguồn nên cũng chẳng cần reverse engineering
Đúng là các blackhat tốt bụng
Nhân tiện, có ai tìm được exploit trong repository được liên kết không? Tôi tò mò nó làm gì nhưng lười rà hết mọi file
Bài gốc lẽ ra cũng có thể đặt link đó và nói căn cứ nào khiến họ cho rằng dự án này có liên hệ với hacker Triều Tiên
Các nhân sự an toàn thông tin trẻ được khuyến khích lấy các chứng chỉ như OSCP, eJPT, và trong mảng kinh doanh chứng chỉ kiểu này thường phải khai thác các box đã biết
Vì vậy hình thành văn hóa “giúp đỡ” lẫn nhau trên các server Discord, và một phần sự giúp đỡ đó ở dạng binary hoặc mã nguồn đã bị obfuscate
Rồi họ chạy nó trên laptop dùng cho công việc pentest
Laptop đó có SSH key để vào server viết báo cáo, và rốt cuộc nếu bị chiếm thì Triều Tiên sẽ có quyền truy cập vào dữ liệu và lỗ hổng của các công ty tư nhân Mỹ
Có thể tôi đã thực sự từng thấy chuyện như vậy
Nội dung là một tài liệu được chương trình nào đó đọc đã khai thác 0-day, và họ đã nhận tài liệu đó
Vì nếu công khai thì có lẽ nó sẽ không còn dùng được nữa
Nếu môi trường của nhà nghiên cứu bảo mật không được thiết kế tốt, dù vì vấn đề ngân sách hay do bất cẩn, chuyện đó thực sự xảy ra, và kẻ tấn công có thể rất nhanh chóng chạm tới phần lõi ngon lành bên trong
Tôi lo ngại việc các nhà nghiên cứu attribution các chiến dịch như thế này một cách quá thản nhiên
Họ tuyệt đối không cho biết phương pháp attribution, nhưng thứ mà người không chuyên về kỹ thuật chú ý nhất luôn là attribution đó
Ngay bài này thôi, hai từ đầu tiên đã là tác nhân được attribution
Nhưng hoàn toàn không có cách nào chứng minh điều đó
Trên Internet, attribution thực sự, thực sự, thực sự khó
Chúng ta thậm chí không biết nó khó đến mức nào vì không có cách độc lập để phán đoán mình đúng hay sai
Sẽ là ngây thơ nếu nghĩ attribution không liên quan tới động cơ chính trị
Dựa vào đó, tôi giả định attribution nhìn chung là chính xác
Tuy nhiên, lùi lại một bước và nhìn khách quan thì việc nguồn của phần tình báo đó có tính xâm phạm quyền riêng tư khiến nó trông khá đạo đức giả
Thật đáng ngạc nhiên là dù trình độ giáo dục điện toán của dân số nói chung ở Triều Tiên yếu như vậy, họ vẫn tìm đủ hacker và nhân lực an ninh mạng cao cấp để làm những việc này
Nếu một đứa trẻ Triều Tiên bộc lộ năng khiếu toán, nó sẽ bị đưa vào diện theo dõi; nếu đủ xuất sắc, nó được gửi tới trường toán đặc biệt, nơi về cơ bản gần như không học gì khác
Sau đó được đưa vào trường đại học kỹ thuật duy nhất, học lập trình máy tính chuyên sâu trong nhiều năm
Nếu đạt tiêu chuẩn, họ được gửi sang Trung Quốc và tận dụng khả năng truy cập Internet tốt hơn để làm đủ việc, từ trộm vàng MMORPG đến tấn công phishing và tìm kiếm 0-day
Nghe như một cuộc sống u ám: làm 12 tiếng mỗi ngày, liên tục chịu áp lực thành tích, sống trong ký túc xá chật chội
Vậy nên cũng hơi giống Silicon Valley ;)
Ngay cả nhà độc tài tối cao cũng từng học cấp hai và cấp ba ở Thụy Sĩ
“Ngay khi được phát hiện, tất cả website và domain đã được xác nhận sẽ được thêm vào Safe Browsing để bảo vệ người dùng khỏi bị khai thác thêm.”
Trên trình duyệt Brave, dbgsymbol.com không hiện cảnh báo Safe Browsing
Cảnh báo: vector chưa được biết