Khám phá chuyên sâu về phần mềm độc hại do nhà nước tài trợ

Sự vi phạm tinh vi của Turla đối với các chính phủ Liên minh Châu Âu
Lĩnh vực chiến tranh mạng đã chứng kiến một sự tiến bộ đáng kể với sự ra đời của Turla, một nhóm hacker
được biết đến với các phương pháp tinh vi trong việc xâm phạm an ninh của một số chính phủ Liên minh Châu Âu. Điều này
saga bắt đầu diễn ra vào cuối năm 2016, khi một cuộc kiểm toán an ninh mạng ở Đức vào năm 2017 tiết lộ một sự xâm phạm
phiên bản Microsoft Outlook được triển khai trên nhiều bộ phận chính phủ khác nhau của Turla kể từ ít nhất là
năm trước.

Cuộc tấn công này đã thể hiện một phương pháp tỉ mỉ và đa lớp, bắt đầu bằng kỹ thuật phishing – một kỹ thuật lừa đảo
được thiết kế để khiến nạn nhân tin rằng họ đang tương tác với một thực thể đáng tin cậy. Turla đã triển khai một cách có hệ thống
một loạt trojan, mỗi bước cho phép họ truy cập sâu hơn vào hệ thống và cuối cùng khai thác một
lỗ hổng trong Microsoft Outlook để chặn tất cả các email từ các máy bị nhiễm.

Độ phức tạp của phần mềm độc hại của Turla là đáng chú ý, kết hợp các yếu tố của virus, Trojan, rootkit và
sâu, mỗi loại có mục đích riêng biệt – từ việc làm cho các máy tính không thể hoạt động cho đến việc đảm bảo các hoạt động bí mật và
lan tỏa mạng lưới. Lỗ hổng này là sự pha trộn của các chức năng Trojan, rootkit và sâu, được thiết kế để
giữ kín đáo trong khi xâm nhập từ từ vào sâu trong mạng. Hơn nữa, nó sử dụng một phương pháp giao tiếp sáng tạo
với trung tâm điều khiển của Turla và có khả năng nhận các bản cập nhật. Phân tích các tệp bị nhiễm cho thấy nguồn gốc của chúng có từ năm 2009, chỉ ra một mối đe dọa dài hạn và phát triển.

Cốt lõi của khai thác là việc sử dụng chức năng plugin tùy chỉnh của Outlook. Turla đã tìm ra cách cài đặt
plugin độc hại, mặc dù vô hình trong menu của Outlook, có thể quét tất cả email và chuyển tiếp thông tin trở lại
cơ sở của họ. Để vượt qua sự bảo vệ của tường lửa, họ đã sử dụng các tệp PDF được mã hóa được gửi dưới dạng tệp đính kèm email,
chứa cả lệnh và dữ liệu thu thập được. Những tập tin này, mặc dù có vẻ vô hại, chỉ chứa 1×1
hình ảnh pixel trắng. Phần mềm độc hại cũng khai thác hệ thống quản lý email của Outlook để quản lý lệnh và
kiểm soát thông tin liên lạc một cách kín đáo, xóa bỏ mọi dấu vết về sự tồn tại của nó.

Stuxnet: Một vũ khí mạng nhắm vào Iran

Stuxnet là một dấu mốc trong chiến tranh mạng, chủ yếu nhắm vào tham vọng hạt nhân của Iran. Là một con sâu,
Stuxnet được thiết kế để xâm nhập vào hệ thống Windows được kết nối với máy ly tâm làm giàu uranium của Siemens.
Kiến trúc của nó là một kỳ quan của chiến tranh mạng, được lập trình để lây lan một cách lén lút, vẫn không hoạt động cho đến khi xác định được vị trí.
mục tiêu và tự loại bỏ vào tháng 6 năm 2012 để giảm rủi ro phát hiện.
Phương pháp phân phối Stunt là thông qua các ổ USB bị nhiễm, khai thác bốn lỗ hổng chưa biết trước đó
lỗ hổng trong Windows.

Chiến lược hoạt động của nó rất tinh vi nhưng lại mang tính hủy diệt: khi tìm thấy mục tiêu, Stuxnet
sẽ khiến máy ly tâm bị trục trặc, dẫn đến sự phá hủy vật lý của chúng, đồng thời
làm giả báo cáo hoạt động để tránh bị phát hiện. Việc phát hiện ra con sâu vào năm 2010 đã dẫn đến các cuộc điều tra mở rộng
bởi các công ty bảo mật như công ty Belarus và Kaspersky Labs, tiết lộ sự phức tạp của nó và gợi ý
sự tham gia của một nhóm chuyên gia, có thể là do nhà nước tài trợ.

Dugu: Con cháu của Stuxnet

Chiến lược hoạt động của nó là tinh vi nhưng hủy diệt: khi tìm thấy mục tiêu của mình, Stuxnet
sẽ gây ra sự cố cho các máy ly tâm, dẫn đến sự phá hủy vật lý của chúng, trong khi đồng thời
làm giả các báo cáo hoạt động để tránh bị phát hiện. Việc phát hiện sâu bọ vào năm 2010 đã dẫn đến các cuộc điều tra sâu rộng
bởi các công ty bảo mật như công ty Belarus và Kaspersky Labs, tiết lộ sự phức tạp của nó và gợi ý
sự tham gia của một đội ngũ chuyên môn, có thể được tài trợ bởi nhà nước.

Flame, còn được biết đến với tên gọi Skywiper, phát hiện vào năm 2012, đại diện cho một mức độ tinh vi mới trong phần mềm độc hại,
chủ yếu nhắm vào Iran. Được trang bị các khả năng của một trojan, sâu và keylogger, Flame có thể ghi lại một
dải rộng các loại dữ liệu, từ lưu lượng mạng đến cuộc trò chuyện Skype, và thậm chí xâm nhập các kết nối Bluetooth
để trích xuất dữ liệu. Kích thước lớn và độ phức tạp của nó đánh dấu nó là một trong những phần mềm độc hại tiên tiến nhất
từng được phát hiện, cho thấy một sự đầu tư lớn vào việc phát triển của nó.

Ngọn lửa, còn được gọi là Skywiper, được phát hiện vào năm 2012, đại diện cho một cấp độ tinh vi mới của phần mềm độc hại,
chủ yếu nhắm vào Iran. Được trang bị khả năng của một trojan, sâu và keylogger, Flame có thể ghi lại
nhiều loại dữ liệu, từ lưu lượng mạng đến các cuộc trò chuyện trên Skype và thậm chí xâm nhập Bluetooth
kết nối để trích xuất dữ liệu. Kích thước lớn và độ phức tạp của nó đã đánh dấu nó là một trong những phần mềm độc hại tiên tiến nhất
từng thấy, cho thấy sự đầu tư đáng kể vào quá trình phát triển.

Vai trò của Mã hóa và Hashing trong
an ninh mạng

Mặc dù mối đe dọa trực tiếp của phần mềm độc hại do nhà nước tài trợ đối với người dùng thông thường là rất nhỏ, nhưng những sự cố này làm nổi bật
tầm quan trọng của các hoạt động bảo mật mạnh mẽ và những thách thức mà các công ty phần mềm phải đối mặt trong
đảm bảo an ninh sản phẩm. Sự tiến bộ của sức mạnh tính toán liên tục thách thức an ninh của
thuật toán mã hóa, khiến việc sử dụng phần mềm cũ ngày càng trở nên rủi ro.

Kết luận
Việc hiểu được hoạt động của phần mềm độc hại tinh vi như Stunt, Duqu và Flame là rất quan trọng để nắm bắt
sự phức tạp và áp lực trong lĩnh vực an ninh mạng. Đối với người dùng trung bình, rủi ro chính bắt nguồn từ
các biện pháp bảo mật kém như sử dụng lại mật khẩu hoặc duy trì các tài khoản không cần thiết. Nhận thức về những điều này
Các mối đe dọa an ninh mạng nghiêm trọng nhấn mạnh tầm quan trọng của việc duy trì an ninh cảnh giác và cập nhật.
các biện pháp bảo vệ chống lại các mối đe dọa mạng tiềm ẩn. Bối cảnh đang thay đổi

Đọc thêm và Tài nguyên

1. TechCrunch: Cách Mỹ tháo dỡ một mạng lưới phần mềm độc hại được các điệp viên Nga sử dụng để đánh cắp bí mật chính phủ – Bài viết này
   thảo luận về cách chính phủ Mỹ đã làm gián đoạn một chiến dịch gián điệp mạng dài hạn của Nga do Turla thực hiện, đã
   đánh cắp thông tin nhạy cảm từ các chính phủ Mỹ và NATO.
2. Kaspersky: Cuộc tấn công hoành tráng của Turla (rắn/Uroburos) – Kaspersky cung cấp tổng quan về Turla, còn được gọi là Rắn hoặc
   Uroburos, mô tả nó như một trong những chiến dịch gián điệp mạng đang diễn ra tinh vi nhất. Bài viết cũng đưa ra các mẹo về cách
   để bảo vệ bạn khỏi những cuộc tấn công như vậy.
3. Tin tức Hacker: Chính phủ Hoa Kỳ vô hiệu hóa công cụ gián điệp mạng tinh vi nhất của Nga – Bài viết này nêu chi tiết
   những nỗ lực của chính phủ Hoa Kỳ trong việc vô hiệu hóa phần mềm độc hại Snake, một công cụ gián điệp mạng tinh vi được Turla sử dụng, đã
   đã đánh cắp các tài liệu nhạy cảm từ nhiều hệ thống máy tính ở nhiều quốc gia.