2 điểm bởi GN⁺ 2023-09-08 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các tác nhân bị nghi là do chính phủ Triều Tiên hậu thuẫn mà Google TAG đang theo dõi tiếp tục nhắm vào các nhà nghiên cứu bảo mật làm về nghiên cứu và phát triển lỗ hổng, và trong chiến dịch gần đây cũng đã xác nhận có 0-day bị khai thác tích cực
  • Kẻ tấn công tạo dựng quan hệ trên X, sau đó chuyển cuộc trò chuyện sang Signal, WhatsApp và Wire, rồi gửi cho các nhà nghiên cứu đã tạo được lòng tin những tệp độc hại chứa 0-day của các gói phần mềm phổ biến
  • Sau khi exploit thành công, shellcode thực hiện phát hiện máy ảo và gửi thông tin thu thập được cùng ảnh chụp màn hình tới tên miền C2 do kẻ tấn công kiểm soát
  • Công cụ Windows GetSymbol, bị nghi là một đường lây nhiễm riêng, trông giống tiện ích tải debugging symbol nhưng có thể tải xuống và thực thi mã tùy ý từ tên miền do kẻ tấn công kiểm soát
  • TAG đã thêm các tên miền liên quan vào Safe Browsing, gửi cảnh báo tác nhân được chính phủ hậu thuẫn tới người dùng Gmail và Workspace bị nhắm mục tiêu, đồng thời khuyến nghị bật Chrome Enhanced Safe Browsing và cập nhật thiết bị

Việc nhắm mục tiêu lặp đi lặp lại vào các nhà nghiên cứu bảo mật

  • Vào tháng 1/2021, Google Threat Analysis Group (TAG) từng công bố một chiến dịch trong đó tác nhân được chính phủ Triều Tiên hậu thuẫn nhắm vào các nhà nghiên cứu bảo mật nghiên cứu lỗ hổng bằng các 0-day exploit
  • Trong hai năm rưỡi sau đó, TAG tiếp tục theo dõi và chặn các chiến dịch cùng họ, đồng thời tìm ra 0-day để bảo vệ người dùng trực tuyến
  • Chiến dịch mới được xác nhận gần đây có thể do cùng một tác nhân thực hiện vì có nhiều điểm tương đồng với hoạt động trước đó
  • Trong vài tuần gần đây, các cuộc tấn công nhắm vào nhà nghiên cứu bảo mật đã sử dụng ít nhất một 0-day bị khai thác tích cực, và lỗ hổng liên quan đã được báo cho nhà cung cấp bị ảnh hưởng
  • Nhà cung cấp đã phát hành bản vá vào ngày 12/9/2023, và TAG đã công bố phân tích nguyên nhân gốc rễ theo chính sách công bố của Google

Tạo quan hệ xã hội rồi chuyển tệp độc hại

  • Giống các chiến dịch trước, kẻ tấn công trước tiên tiếp cận các nhà nghiên cứu mục tiêu trên mạng xã hội như X
    • Trong một trường hợp, chúng duy trì đối thoại với một nhà nghiên cứu bảo mật suốt nhiều tháng dựa trên mối quan tâm chung và tìm cách hợp tác
    • Cuộc trò chuyện bắt đầu trên X sau đó được chuyển sang các ứng dụng nhắn tin mã hóa như Signal, WhatsApp và Wire
  • Khi đã tạo được lòng tin, kẻ tấn công gửi các tệp độc hại chứa ít nhất một 0-day của các gói phần mềm phổ biến
  • Nếu exploit thành công, shellcode sẽ thực hiện nhiều kiểm tra né tránh máy ảo
    • Sau đó, nó gửi thông tin thu thập được và ảnh chụp màn hình tới tên miền command-and-control do kẻ tấn công kiểm soát
    • Cách tổ chức shellcode tương tự shellcode từng được quan sát trong các exploit trước đây của Triều Tiên

Con đường lây nhiễm thứ cấp tiềm tàng qua GetSymbol

  • Ngoài hoạt động nhắm mục tiêu bằng 0-day, kẻ tấn công còn phát triển một công cụ Windows độc lập
  • Công cụ này tự giới thiệu là dùng để tải debugging symbol từ các symbol server của Microsoft, Google, Mozilla và Citrix cho các kỹ sư đảo ngược
  • Mã nguồn lần đầu được công bố trên GitHub vào ngày 30/9/2022, và sau đó nhiều bản cập nhật đã được phát hành
  • Bề ngoài, nó trông như một tiện ích giúp tải nhanh thông tin symbol từ nhiều nguồn
    • Symbols cung cấp thêm thông tin về binary, có thể hữu ích cho việc debug lỗi phần mềm hoặc nghiên cứu lỗ hổng
  • Tuy nhiên, công cụ này cũng bao gồm chức năng tải xuống và thực thi mã tùy ý từ tên miền do kẻ tấn công kiểm soát
  • TAG khuyến nghị nếu đã tải hoặc chạy công cụ này thì cần xác minh hệ thống đang ở trạng thái sạch đã biết, và có thể phải cài đặt lại hệ điều hành

Các biện pháp bảo vệ của Google

  • TAG sử dụng các kết quả nghiên cứu nhằm ứng phó với các tác nhân đe dọa nghiêm trọng để cải thiện độ an toàn và bảo mật của các sản phẩm Google
  • Tất cả website và tên miền đã được xác nhận đều được thêm vào Safe Browsing ngay khi phát hiện để bảo vệ người dùng khỏi bị khai thác thêm
  • Người dùng Gmail và Workspace bị nhắm mục tiêu sẽ nhận được cảnh báo tác nhân được chính phủ hậu thuẫn
  • Các mục tiêu tiềm năng được khuyến nghị bật Enhanced Safe Browsing của Chrome và luôn cập nhật tất cả thiết bị
  • Khi hiểu biết về chiến thuật và kỹ thuật tăng lên, năng lực threat hunting và mức độ bảo vệ người dùng trên toàn ngành cũng có thể được tăng cường

Các website và tài khoản do kẻ tấn công kiểm soát

1 bình luận

 
GN⁺ 2023-09-08
Ý kiến trên Hacker News
  • Công cụ getsymbol trên GitHub đã nhận 214 sao, nhưng hoàn toàn không thấy banner nào cho biết đây là công cụ độc hại
    Trong issue mới đăng gần đây có link tới bài blog của Google, nhưng chỉ có vậy
    Nếu có người của GitHub đang xem, tôi mạnh mẽ khuyến nghị thêm banner hoặc modal cảnh báo backdoor cho công cụ này và các phần mềm khác đã biết có backdoor (ví dụ: các fork)

    • Đây cũng là một lời nhắc nhở tốt rằng code trên GitHub cũng có thể độc hại, và không nên tin mù quáng chỉ vì tác giả trông có vẻ cùng mối quan tâm
      Tôi cũng đã làm vậy nhiều lần :(
    • Bản thân mã nguồn trông tương đối sạch, và chức năng tự động cập nhật dường như cũng nằm sau hộp thoại xác nhận
      Backdoor nhiều khả năng đã nằm trong bản phát hành nhị phân hoặc binary tự động cập nhật
      Nếu tự biên dịch rồi chấp nhận tự động cập nhật thì vẫn có thể bị nhiễm, và binary lớn hơn 15MB nên dư sức để giấu một backdoor nhỏ
    • Có thể đáng phân tích các tài khoản đã bấm sao cho getsymbol trước khi sự việc được công khai
      Nếu có điểm chung với các dự án obscure khác, đó có thể là dấu hiệu các tài khoản đó là tài khoản con rối
    • Có vẻ như vừa bị gỡ xuống
    • Tôi đã báo cáo kho lưu trữ là mã độc, để xem họ xử lý thế nào
  • Tôi tò mò các trang tải xuống phổ biến đáng tin đến mức nào
    Ví dụ, binary ffmpeg cho Windows[1] được host trên một trang cá nhân nào đó
    Có thể kiểm tra checksum v.v., nhưng vẫn không có gì đảm bảo nó gắn với một commit Git cụ thể
    Với các bản tải xuống được host không chính thức/không qua GitHub và không có build tái lập được hoặc đã chứng minh được, mặc định tôi sẽ giả định đó là tác nhân nhà nước
    Tôi có hoang tưởng quá không? Trình quản lý gói trên Linux/Mac giải quyết việc này thế nào?
    [1] https://ffmpeg.org/download.html

    • Ngay cả binary trên website chính thức cũng có thể bị dính nếu website bị hack và checksum cũng bị thay đổi
      Thực tế Linux Mint từng gặp chuyện như vậy
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • Tại sao lại tin GitHub? Công cụ GetSymbol cũng nhận 215 sao ở đó
      Nếu không xem phần issue thì trông nó hoàn toàn bình thường
      https://github.com/dbgsymbol/getsymbol
    • mpv cũng có cùng vấn đề: https://mpv.io/installation/
      Bản tải xuống Windows do "shinchiro" trên SourceForge cung cấp, còn bản tải xuống MacOS do "stolendata" trên stolendata.net cung cấp
    • Chẳng phải trình quản lý gói Linux/Mac giải quyết bằng cách build binary từ source và host trên máy chủ của họ sao?
    • Từ khóa/buzzword trong lĩnh vực này là build tái lập được (Reproducible Builds)
      Nó vẫn còn gần như ở giai đoạn đầu
  • Không gây sốc hay mới mẻ, nhưng cũng thú vị
    Tại sao lại dùng 0-day nhắm vào nhà nghiên cứu bảo mật? Theo tôi đoán, đó là một bài kiểm thử có lợi
    Nếu nó có tác dụng với nhà nghiên cứu bảo mật thì có thể xem là lỗ hổng tốt và đưa vào thực chiến; về dài hạn, họ có lẽ cũng tính đến khả năng thu được 1+x 0-day từ nhà nghiên cứu đó
    Với nhà nghiên cứu bảo mật thì đây cũng là tình huống thú vị
    Nếu đủ cẩn thận và có thể giả vờ ngu đủ tốt, họ có thể “miễn phí” thu hoạch vector tấn công mới hoặc 0-day mới, nhưng nếu đánh giá quá cao bản thân thì sẽ bị hạ ngay

    • Các nhà nghiên cứu bảo mật nhìn chung có nhiều 0-day hơn
    • Hoặc có thể họ chỉ nhắm vào quyền truy cập mà mục tiêu đang có
    • Chắc chắn là do Triều Tiên không muốn trả giá thị trường cho 0-day
  • Công cụ này cũng có chức năng tải xuống và chạy mã tùy ý từ một domain do kẻ tấn công kiểm soát
    Nói cách khác, đó là tự động cập nhật
    Thật mỉa mai là nhờ Big Tech đã nhồi vào công chúng hoặc cưỡng ép loại bỏ lựa chọn để họ chấp nhận kiểu phụ thuộc này, giờ thái độ phụ thuộc và tin tưởng đó đã lan tới cả các nhà nghiên cứu bảo mật rồi quay lại cắn họ
    Một số người trong chúng ta đã biết ngay từ đầu thái độ này sẽ dẫn tới đâu, và không phải ai cũng là nhà nghiên cứu bảo mật
    Chỉ là chúng tôi đã thấy những tác động tiêu cực khác khi cho phép ai đó đẩy thứ gì đó vào máy của mình và chạy nó, rồi nối hai chuyện đó lại với nhau

  • Hoàn toàn là suy đoán, nhưng bản cập nhật bảo mật macOS mới vừa ra mắt và có nội dung này
    “Tác động: Việc xử lý một hình ảnh được tạo độc hại có thể dẫn đến thực thi mã tùy ý. Apple biết về báo cáo rằng vấn đề này có thể đã bị khai thác trong thực tế.”
    https://support.apple.com/en-us/HT213906
    Tôi không phải người thích cá cược, nhưng tôi đoán lỗ hổng đang được bàn đến chính là cái này

  • Điều tôi thắc mắc là thế này
    Những người Triều Tiên này rõ ràng có quyền truy cập Internet không hạn chế, vì trên thực tế đó là điều cần thiết nếu muốn tìm 0-day, và rõ ràng ít nhất cũng hiểu tiếng Anh
    Vậy làm sao họ lại chưa từng tình cờ tiếp xúc với những phương tiện truyền thông cho thấy các thứ mà truyền thông nhà nước che giấu?

    • “Đặc vụ bí mật của chúng ta đều là những người yêu nước trung thành, còn đặc vụ phía bên kia đều là con tin bị tẩy não!”
      Thực tế thì, như các cơ quan tình báo nước khác, chắc chắn họ sẽ tuyển người dựa trên lòng yêu nước
      Câu hỏi này cũng giống như hỏi vì sao một nhân viên tình báo Mỹ, dù tiếp xúc với thông tin về Triều Tiên vượt quá mức tuyên truyền, lại không đào tẩu sang Triều Tiên vì nước này có bảo hiểm y tế tốt hơn, trường học không có xả súng hàng loạt, và quản lý rác thải tốt hơn
      Có khả năng họ không coi trọng những khía cạnh có vẻ tốt hơn trong xã hội Triều Tiên, và cũng không tin rằng trong những tình huống cụ thể chúng thực sự tốt hơn
      Tôi không thấy có nhiều lý do để nghĩ cơ quan tình báo Triều Tiên sẽ khác
    • Bạn nghĩ cơ quan tình báo Triều Tiên không biết nội dung của truyền thông phương Tây sao?
      Có lẽ họ biết
      Có những cách khác để kiểm soát những người này; củ cà rốt là đặc quyền trong nước Triều Tiên, còn cây gậy là hậu quả sẽ giáng xuống bản thân và gia đình họ nếu vượt lằn ranh
    • Có vẻ họ không có nhiều lựa chọn
      Sang một quốc gia tự do hơn là điều khó với mọi người Triều Tiên, và vì củ cà rốt lẫn cây gậy, họ có lẽ cũng không thể cứ thế bỏ nghề hack
      Khả năng cao là họ bị giám sát chặt chẽ
      Một số người có thể thực sự tin vào tuyên truyền, và những người này có lẽ được đối đãi khá tốt
    • Họ cũng có thể thấy yên tâm hơn khi nhìn vào những thứ điên rồ mà cỗ máy tuyên truyền phương Tây tuôn ra về Triều Tiên
      Điều đó không có nghĩa là những sai trái của Triều Tiên được miễn trừ
    • Podcast rất hay của BBC The Lazarus Heist có đề cập phần nào đến cuộc sống của các hacker Triều Tiên: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      Họ bị giám sát chặt chẽ tại nơi làm việc, và thường bị đe dọa nhắm vào gia đình
  • Tôi tò mò khả năng một nhà nghiên cứu bảo mật chạy một binary Windows nhận được từ người lạ qua chat là bao nhiêu
    Chuyện này giờ gần như là kiến thức phổ thông, còn trước cả mức nhập môn bảo mật
    Ngược lại, có lẽ các nhà nghiên cứu đã có cơ hội nghịch binary đó trong môi trường an toàn
    Kẻ tấn công đã công khai mã nguồn nên cũng chẳng cần reverse engineering
    Đúng là các blackhat tốt bụng
    Nhân tiện, có ai tìm được exploit trong repository được liên kết không? Tôi tò mò nó làm gì nhưng lười rà hết mọi file
    Bài gốc lẽ ra cũng có thể đặt link đó và nói căn cứ nào khiến họ cho rằng dự án này có liên hệ với hacker Triều Tiên

    • Chuyện này xảy ra thường xuyên hơn nhiều so với bạn nghĩ
      Các nhân sự an toàn thông tin trẻ được khuyến khích lấy các chứng chỉ như OSCP, eJPT, và trong mảng kinh doanh chứng chỉ kiểu này thường phải khai thác các box đã biết
      Vì vậy hình thành văn hóa “giúp đỡ” lẫn nhau trên các server Discord, và một phần sự giúp đỡ đó ở dạng binary hoặc mã nguồn đã bị obfuscate
      Rồi họ chạy nó trên laptop dùng cho công việc pentest
      Laptop đó có SSH key để vào server viết báo cáo, và rốt cuộc nếu bị chiếm thì Triều Tiên sẽ có quyền truy cập vào dữ liệu và lỗ hổng của các công ty tư nhân Mỹ
      Có thể tôi đã thực sự từng thấy chuyện như vậy
    • Mối đe dọa họ nói không phải là chuyện đó
      Nội dung là một tài liệu được chương trình nào đó đọc đã khai thác 0-day, và họ đã nhận tài liệu đó
    • Nếu hỏi căn cứ nào để liên hệ dự án này với hacker Triều Tiên, thì khi họ attribution với mức độ chắc chắn đủ cao nhưng không công khai phương pháp, có thể suy đoán khá hợp lý rằng họ không muốn đốt nguồn hoặc chỉ báo có thể còn hữu ích trong tương lai
      Vì nếu công khai thì có lẽ nó sẽ không còn dùng được nữa
    • Câu “các tác nhân đe dọa đã gửi các tệp độc hại, trong đó có ít nhất một 0-day của một gói phần mềm phổ biến” nghĩa là nó không phải file thực thi
    • Cốt lõi của nhập môn bảo mật là một ngày nào đó ai cũng sẽ mắc lỗi. Ai cũng vậy
      Nếu môi trường của nhà nghiên cứu bảo mật không được thiết kế tốt, dù vì vấn đề ngân sách hay do bất cẩn, chuyện đó thực sự xảy ra, và kẻ tấn công có thể rất nhanh chóng chạm tới phần lõi ngon lành bên trong
  • Tôi lo ngại việc các nhà nghiên cứu attribution các chiến dịch như thế này một cách quá thản nhiên
    Họ tuyệt đối không cho biết phương pháp attribution, nhưng thứ mà người không chuyên về kỹ thuật chú ý nhất luôn là attribution đó
    Ngay bài này thôi, hai từ đầu tiên đã là tác nhân được attribution
    Nhưng hoàn toàn không có cách nào chứng minh điều đó
    Trên Internet, attribution thực sự, thực sự, thực sự khó
    Chúng ta thậm chí không biết nó khó đến mức nào vì không có cách độc lập để phán đoán mình đúng hay sai
    Sẽ là ngây thơ nếu nghĩ attribution không liên quan tới động cơ chính trị

    • Citlab hợp tác với nhiều data broker tư nhân để thu thập tình báo bảo mật thương mại, và trong các báo cáo cũng thường được tham chiếu
      Dựa vào đó, tôi giả định attribution nhìn chung là chính xác
      Tuy nhiên, lùi lại một bước và nhìn khách quan thì việc nguồn của phần tình báo đó có tính xâm phạm quyền riêng tư khiến nó trông khá đạo đức giả
  • Thật đáng ngạc nhiên là dù trình độ giáo dục điện toán của dân số nói chung ở Triều Tiên yếu như vậy, họ vẫn tìm đủ hacker và nhân lực an ninh mạng cao cấp để làm những việc này

    • Theo những gì tôi đọc được từ các chuyên gia về Triều Tiên, nước này cố ý đào tạo hacker rất khắc nghiệt
      Nếu một đứa trẻ Triều Tiên bộc lộ năng khiếu toán, nó sẽ bị đưa vào diện theo dõi; nếu đủ xuất sắc, nó được gửi tới trường toán đặc biệt, nơi về cơ bản gần như không học gì khác
      Sau đó được đưa vào trường đại học kỹ thuật duy nhất, học lập trình máy tính chuyên sâu trong nhiều năm
      Nếu đạt tiêu chuẩn, họ được gửi sang Trung Quốc và tận dụng khả năng truy cập Internet tốt hơn để làm đủ việc, từ trộm vàng MMORPG đến tấn công phishing và tìm kiếm 0-day
      Nghe như một cuộc sống u ám: làm 12 tiếng mỗi ngày, liên tục chịu áp lực thành tích, sống trong ký túc xá chật chội
      Vậy nên cũng hơi giống Silicon Valley ;)
    • Những người Triều Tiên giàu có hoặc có quan hệ được giáo dục tại nhiều trường danh tiếng ở phương Tây và Trung Quốc
      Ngay cả nhà độc tài tối cao cũng từng học cấp hai và cấp ba ở Thụy Sĩ
    • Gần như chắc chắn họ đang tận dụng nguồn nhân tài của một trong các nước lân cận
  • “Ngay khi được phát hiện, tất cả website và domain đã được xác nhận sẽ được thêm vào Safe Browsing để bảo vệ người dùng khỏi bị khai thác thêm.”
    Trên trình duyệt Brave, dbgsymbol.com không hiện cảnh báo Safe Browsing
    Cảnh báo: vector chưa được biết

    • Safe Browsing không phải để phát hiện hack, mà là để Google dễ dàng giám sát người dùng