Các chuyên gia bảo mật vừa báo cáo tìm thấy một số bằng chứng cho thấy nhóm tin tặc APT20 có quan hệ mật thiết với chính phủ Trung Quốc đã tìm ra cách vượt qua cơ chế xác thực hai yếu tố (2FA) và tấn công trái phép nhiều tổ chức khác trong thời gian gần đây.
Tuần trước, công ty an ninh mạng Fox-IT của Hàn Lan vừa công bố báo cáo cho thấy nhóm tin tặc APT20 hoạt động theo lệnh của chính quyền Bắc Kinh. Mục tiêu tấn công chính của nhóm tin tặc này là các tổ chức chính phủ, nhà cung cấp dich vụ được quản lý (MSP), chủ yếu tập trung vào các lĩnh vực như hàng không, y tế, tài chính, bảo hiểm, năng lượng… cả khóa vật lý và cờ bạc.
APT20 bắt đầu hoạt động từ năm 2011 nhưng tới năm 2016-2017 nhóm tin tặc này đã bắt đầu thay đổi phương thức hoạt động khiến các nhà nghiên cứu bảo mật không thể tìm ra dấu vết. Báo cáo của Fox-IT đã góp phần làm rõ về những cuộc tấn công và cách hoạt động của APT20 trong hai năm qua.
Theo các nhà nghiên cứu, nhóm tin tặc đã sử dụng các máy chủ web là điểm xâm nhập ban đầu và tấn công vào các hệ thống mục tiêu. Họ chủ yếu tập trung vào JBoss – nền tảng ứng dụng doanh nghiệp được tìm thấy trong những hệ thống mạng chính phủ hoặc doanh nghiệp lớn.
APT20 đã lạm dụng những lỗ hổng ban đầu để có quyền truy cập vào hệ thống máy chủ, cài đặt vỏ web (web shell) và lây lan qua các hệ thống nội bộ của nạn nhân.
Sau khi xâm nhập thành công, tin tặc sẽ vượt qua mật khẩu, tìm kiếm tài khoản quản trị viên và tối đa hóa quyền truy cập. Mối quan tâm hàng đầu là có được thông tin xác thực mạng riêng ảo VPN, từ đó, nhóm tin tặc có thể leo thang đặc quyền truy cập vào những khu vực an toàn hơn trong cơ sở hạ tầng của nạn nhân hoặc sử dụng tài khoản VPN như cửa hậu (backdoor) ổn định hơn.
Theo Fox-IT, phương thức tấn công này khá tinh vi, giúp APT20 lẩn tránh khá tốt trong hai năm qua. Các chuyên gia giải thích rằng nhóm tin tặc đã sử dụng những công cụ hợp pháp và tận dụng những lỗ hổng có sẵn trên thiết bị bị tấn công. Cách này hiệu quả hơn vì không cần trông chờ hệ thống tải xuống phần mềm độc hại – phương thức cũ dễ bị phần mềm bảo mật phát hiện và ngăn chặn.
Fox-IT cho rằng điểm đáng lo nhất là phương thức bảo mật này là tin tặc có thể qua mặt cơ chế xác thực hai yếu tố và kết nối với tài khoản VPN. Điều này rất nguy hiểm vì xác thực hai yếu tố đang được đánh giá là một trong những phương thức bảo mật an toàn nhất hiện nay.
Vẫn chưa rõ phương thức tấn công của APT20, tuy nhiên Fox-IT đặt giả thuyết như sau: có thể APT20 đã đánh cắp mã thông báo phần mềm RSA SecurID từ hệ thống bị tấn công, sau đó sử dụng để tạo ra mã hợp lệ và qua mặt cơ chế 2FA.
Thông thường điều này rất khó xảy ra. Để sử dụng một trong những mã thông báo phần mềm, người dùng cần kết nối thiết bị vật lý (phần cứng) với máy tính. Thiết bị và mã thông báo phần mềm sẽ tạo mã 2FA hợp lệ, nếu thiếu phần nào thì phần mềm RSA SecureID sẽ phát sinh lỗi.
Fox-IT giải thích cách tin tặc có thể khắc phục vấn đề này như sau:
“Mã thông báo phần mềm được tạo cho một hệ thống cụ thể nhưng có thể dễ bị đánh cắp bởi tác nhân bên ngoài khi có quyền truy cập vào hệ thống của nạn nhân. Tuy nhiên, cách lấy mã thông báo lại không quá phức tạp vì giá trị này được xuất bởi SecurID Token Seed, không liên quan đến quy trình tạo mã xác thực hai yếu tố. Tin tặc chỉ cần bản vá kiểm tra để xác minh mã thông báo đã được nhập cho hệ thống chưa, không cần phải đánh cắp mã thông báo cụ thể.
Tóm lại, tất cả công việc tin tặc cần làm để sử dụng mã xác thực hai yếu tố là đánh cắp Mã thông báo phần mềm RSA SecurID và bản vá một lệnh, sau đó tự tạo ra mã thông báo hợp lệ.
Fox-IT cho biết họ được một trong những công ty bị tấn công nhờ điều tra và đối phó với những vụ tấn công tượng tự. Thông tin về các cuộc tấn công có thể tìm thấy trong báo cáo có tên Operation Wocao (Chiến dịch Wocao).
Chiến dịch tấn công được đặt theo lên phản hồi cuối cùng tin tặc gửi về hệ thống sau khi bị phát hiện.
Trong ảnh chụp màn hình bên dưới, có thể thấy tin tặc đang cố gắng kết nối với vỏ web đã cài đặt trên mạng của nạn nhân.
APT20 thử chạy một số lệnh Windows. Nếu các lệnh không thực thi, tin tặc sẽ hiểu hoạt động tấn công đã bị phát hiện và họ bị đá khỏi mạng. Lệnh cuối cùng họ gửi lại hệ thống là wocao (tiếng lóng của Trung Quốc nghĩa là “chết tiệt”).
