Phần mềm độc hại bí mật trong cuộc tấn công Liên minh châu Âu có gốc gác từ tình báo Mỹ và Anh (Phần 1)

By Morgan Marquis-Boire, Claudio Guarnieri, and Ryan Gallagher, 11/25/2014

Theo: https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/

Bài được đưa lên Internet ngày: 25/11/2014

Lời người dịch: Lại một SIÊU SIÊU SIÊU phần mềm độc hại nữa dành riêng cho Windows, được cho là do các cơ quan an ninh và tình báo NSA - Mỹ và GCHQ - Anh cùng tạo ra, đánh vào các hệ thống mạng của hãng viễn thông Bỉ Belgacom và Liên minh châu Âu, có tên là Regin. “Ronald Prins, một chuyên gia an ninh của hãng Fox IT được thuê để loại bỏ phần mềm độc hại đó khỏi các mạng của Belgacom, đã nói cho Intercept rằng đó là “phần mềm độc hại tinh vi phức tạp nhất” mà anh ta từng nghiên cứu”. “Phần mềm độc hại đó ăn cắp dữ liệu từ các hệ thống bị lây nhiễm và tự ngụy trang nó như là phần mềm hợp pháp của Microsoft, cũng đã được xác định trong các hệ thống máy tính của Liên minh châu Âu mà đã bị ngắm đích để Cơ quan An ninh Quốc gia Mỹ (NSA) giám sát”. Để tải về phần mềm độc hại đó, nháy vào đây. Xem thêm: Chương trình gián điệp của NSA trên không gian mạng.

Phần mềm độc hại phức tạp Regin là công nghệ bị nghi ngờ đằng sau các cuộc tấn công không gian mạng tinh vi phức tạp do các cơ quan tình báo của Mỹ và Anh tiến hành nhằm vào Liên minh châu Âu và công ty viễn thông Bỉ, theo các nguồn tin và phân tích kỹ thuật của giới công nghiệp an ninh do Intercept tiến hành.

Regin đã được tìm thấy trong các hệ thống máy tính nội bộ và các máy chủ thư điện tử bị lây nhiễm ở Belgacom, một nhà cung cấp dịch vụ điện thoại và Internet một phần do nhà nước Bỉ sở hữu, sau các báo cáo vào cuối năm ngoái rằng hãng này từng là đích ngắm trong một chiến dịch giám sát tuyệt mật do cơ quan gián điệp Anh GCHQ tiến hành, nguồn của giới công nghiệp đã nói cho tờ Intercept biết.

Phần mềm độc hại đó ăn cắp dữ liệu từ các hệ thống bị lây nhiễm và tự ngụy trang nó như là phần mềm hợp pháp của Microsoft, cũng đã được xác định trong các hệ thống máy tính của Liên minh châu Âu mà đã bị ngắm đích để Cơ quan An ninh Quốc gia Mỹ (NSA) giám sát.

Chiến dịch đột nhập chống lại Belgacom và Liên minh châu Âu lần đầu tiên bị phát hiện vào năm ngoái qua các tài liệu bị người thổi còi NSA Edward Snowden làm rò rỉ. Tuy nhiên, phần mềm độc hại đặc biệt đó được sử dụng trong các cuộc tấn công đã không bao giờ được tiết lộ.

Phần mềm độc hại Regin, sự tồn tại của nó lần đầu tiên được hãng Symantec nêu vào hôm chủ nhật, là trong số các phần mềm độc hại tinh vi phức tạp nhất mà các nhà nghiên cứu từng phát hiện. Symantec đã so sánh Regin với Stuxnet, một chương trình phần mềm độc hại do nhà nước cấp vốn được Mỹ và Israel cùng phát triển để phá hoại các máy tính ở một cơ sở hạt nhân của Iran.

Các nguồn tin thân cận với các cuộc điều tra nội bộ ở Belgacom và Liên minh châu Âu đã khẳng định với tờ Intercept rằng phần mềm độc hại Regin đã được tìm thấy trong các hệ thống của họ sau khi chúng đã bị tổn thương, liên kết công cụ gián điệp đó tới các chiến dịch bí mật của GCHQ và NSA. Ronald Prins, một chuyên gia an ninh của hãng Fox IT được thuê để loại bỏ phần mềm độc hại đó khỏi các mạng của Belgacom, đã nói cho Intercept rằng đó là “phần mềm độc hại tinh vi phức tạp nhất” mà anh ta từng nghiên cứu.

“Đã phân tích phần mềm độc hại này và đã nhìn vào các tài liệu của Snowden [được xuất bản trước đó]”, Prins nói, “Tôi bị thuyết phục Regin được các dịch vụ tình báo của Anh và Mỹ sử dụng”.

Một người phát ngôn cho Belgacom đã từ chối bình luận đặc biệt về các tiết lộ Regin, nhưng nói rằng hãng đã chia sẻ “mọi yếu tố về cuộc tấn công đó” với một công tố viên của liên bang ở Bỉ, người đang tiến hành một cuộc điều tra tội phạm trong vụ đột nhập trái phép đó. “Không có khả năng đối với chúng tôi để bình luận về điều này”, Jan Margot, người phát ngôn cho Belgacom, nói. “Luôn từng rõ ràng đối với chúng tôi rằng phần mềm độc hại đó là tinh vi phức tạp cao độ, nhưng toàn bộ câu chuyện làm sạch nó thuộc về quá khứ đối với chúng tôi”.

Trong một nhiệm vụ đột nhập có tên là Operation Socialist, GCHQ đã giành được sự truy cập tới các hệ thống nội bộ của Belgacom vào năm 2010 bằng việc nhằm vào các kỹ sư ở hãng này. Cơ quan đó đã bí mật cài đặt cái gọi là “các cài cắm” phần mềm độc hại lên các máy tính của các nhân viên bằng việc gửi đi các kết nối Internet của họ tới một trang LinkedIn giả mạo. Trang LinkedIn độc hại đó đã khởi xướng một cuộc tấn công độc hại, gây lây nhiễm cho các máy tính của các nhân viên và trao cho bọn gián điệp toàn bộ sự kiểm soát các hệ thống của họ, cho phép GCHQ đi sâu vào bên trong các mạng của Belgacom để ăn cắp các dữ liệu.

Các cài cắm đã cho phép GCHQ tiến hành sự giám sát các giao tiếp truyền thông nội bộ của Belgacom và trao cho các gián điệp Anh khả năng thu thập dữ liệu từ mạng và các máy tính của hãng, bao gồm cả của Ủy ban châu Âu, Nghị viện châu Âu và Hội đồng châu Âu. Các cài cắm phần mềm đó được sử dụng trong trường hợp này từng là một phần của bộ các phần mềm độc hại bây giờ được biết như là Regin.

Một trong những điều chủ chốt đối với Regin là sự giấu giếm của nó: Để tránh bị dò tìm ra và làm bối rối sự phân tích, phần mềm độc hại được sử dụng trong các chiến dịch như vậy thường xuyên gắn vào một thiết kế dạng theo module. Điều này liên quan tới sự phát triển của phần mềm độc hại theo các bước, làm cho khó khăn hơn để phân tích và làm giảm nhẹ các rủi ro nhất định bị phát bắt.

Dựa vào một phân tích các mẫu phần mềm độc hại, Regin dường như đã được phát triển trong một quá trình dài hơn 1 thập kỷ; Intercept đã nhận diện được các dấu vết các thành phần của nó đề ngày tháng từ năm 2003. Regin từng được nhắc tới trong một hội nghị Hack.lu gần đây ở Luxembourg, và báo cáo của Symantec hôm chủ nhật nói hãng này đã nhận diện ra Regin trong các hệ thống bị lây nhiễm do các công ty tư nhân, các thực thể chính phủ, và các viện nghiên cứu ở các quốc gia như Nga, Ả rập Xê út, Mexico, Ailen, Bỉ và Iran, vận hành.

Việc sử dụng các kỹ thuật đột nhập và phần mềm độc hại trong gián điệp được nhà nước tài trợ từng được công khai viết thành tài liệu trong vài năm qua: Trung Quốc đã có kết nối tới gián điệp không gian mạng cường độ lớn, và gần đây chính phủ Nga cũng bị tố đã đứng đằng sau một cuộc tấn công không gian mạng nhằm vào Nhà Trắng. Regin tiếp tục thể hiện rằng các cơ quan tình báo phương Tây cũng có liên quan trong các vụ gián điệp không gian mạng giấu giếm.

GCHQ đã từ chối bình luận về câu chuyện này. Cơ quan này đã đưa ra câu trả lời tiêu chuẩn của mình cho những yêu cầu, nói rằng “điều đó thuộc về chính sách mà chúng tôi không bình luận về các vấn đề tình báo” và “tất cả công việc của GCHQ được triển khai tuân theo một khung pháp lý và chính sách nghiêm ngặt, đảm bảo rằng các hoạt động của chúng tôi là được phép, cần thiết và phù hợp”.

NSA đã nói trong một tuyên bố, “Chúng tôi sẽ không bình luận về các nghi vấn của tờ Intercept”.

Intercept đã có được các mẫu phần mềm độc hại từ các nguồn tin trong cộng đồng an ninh và đang làm cho nó sẵn sàng công khai để tải về trong một nỗ lực khuyến khích nghiên cứu và phân tích tiếp. (Để tải về phần mềm độc hại đó, nháy vào đây. Tệp này được mã hóa; để truy cập nó trên máy tính của bạn, hãy sử dụng mật khẩu “infected” (bị lây nhiễm)). Những gì tiếp sau là một phân tích kỹ thuật ngắn gọn về Regin do các nhân viên an ninh máy tính của Intercept tiến hành. Regin là một mẩu công việc nhiều khía cạnh và cực kỳ phức tạp và phân tích chưa phải là cuối cùng.

Trong các tuần tới, Intercept sẽ xuất bản nhiều chi tiết hơn về Regin và sự thâm nhập vào Belgacom như một phần của một cuộc điều tra trong mối quan hệ đối tác với các tờ báo của Bỉ và Đức là De Standaard và NRC Handelsblad.

Gốc gác của Regin

Trong thần thoại Bắc Âu, cái tên Regin có liên quan tới một người lùn hung bạo bị hư hỏng do tham lam. Không rõ bằng cách nào mà Regin lần đầu có cái tên đó, nhưng cái tên đó đã xuất hiện lần đầu trên website VirusTotal vào ngày 09/03/2011.

Tờ Der Spiegel đã nêu rằng, theo các tài liệu của Snowden, các mạng máy tính của Liên minh châu Âu đã bị NSA thâm nhập trong các tháng trước khi lần đầu tiên Regin bị phát hiện.

Các nguồn tin của giới công nghiệp thân cận với vụ thâm nhập trái phép vào Nghị viện châu Âu đã nói cho tờ Intercept rằng các cuộc tấn công như vậy đã được tiến hành thông qua sử dụng Regin và các mẫu về mã của nó được cung cấp. Phát hiện này, nguồn tin nói, có thể là những gì mang Regin tới sự chú ý rộng hơn đối với các nhà bán hàng an ninh.

Cũng vào ngày 09/03/2011, Microsoft đã bổ sung các khoản có liên quan vào Bách khoa toàn thư Phần mềm độc hại (Malware Encyclopedia) của hãng:

Mức cảnh báo: Nghiêm trọng

Xác định lần đầu được dò tìm ra: 1.99.894.0

Xác định lần mới nhất được dò tìm ra: 1.173.2181.0 và cao hơn

Lần đầu được dò tìm ra: 09/03/2011

Khoản này lần đầu được xuất bản ngày: 09/03/2011

Khoản này đã được cập nhật tại: Chưa có

2 biến thể nữa về Regin đã được bổ sung vào Bách khoa toàn thư đó, Regin.B và Regin.C. Microsoft dường như dò tìm ra các biến thể 64 bit của Regin như là Prax.A và Prax.B. Không biến thể nào trong số các khoản Regin/Prax được cung cấp với bất kỳ dạng tóm tắt hay thông tin kỹ thuật nào.

Các thành phần Regin sau đây đã được nhận diện:

Các trình tải

Bước đầu tiên là các trình điều khiển mà hành động như các trình tải cho bước 2. Chúng có một khối được mã hóa trỏ tới vị trí của tải bước 2. Trong hệ thống tệp NTFS, đó là một Dòng Ghi nhận Mở rộng (Extended Attribute Stream); còn trên FAT, chúng sử dụng đăng ký để lưu trữ thân nội dung. Khi được khởi động, bước này đơn giản tải và chạy Bước 2.

Các trình tải của Regin được ngụy trang như là các trình điều khiển của Microsoft với các tên như:

serial.sys

cdaudio.sys

atdisk.sys

parclass.sys

usbclass.sys

Việc làm giống như các trình điều khiển của Microsoft cho phép các trình tải ngụy trang tốt hơn sự hiện diện của chúng trong hệ thống và dường như ít bị nghi ngờ hơn đối với các hệ thống dò tìm thâm nhập máy chủ trái phép.

Trình tải bước 2

Khi được khởi tạo, nó xóa sạch các dấu vết của trình tải ban đầu, tải phần tiếp theo của bộ công cụ và giám sát sự thực thi của nó. Nếu hỏng, Bước 2 có khả năng hủy lây nhiễm cho thiết bị bị tổn thương. Phần mềm độc hại sẽ vô hiệu hóa các đầu đề (header) PE (Portable Executable, định dạng thực thi của Windows) của nó trong bộ nhớ, thay thế “MZ” bằng con đánh dấu ma thuật của riêng nó 0xfedcbafe.

Dàn phối

Thành phần này gồm một trình dàn phối dịch vụ làm việc trong nhân Windows. Nó khởi tạo các thành phần cốt lõi của kiến trúc đó và tải các phần tiếp theo của phần mềm độc hại.

Các trình thu hoạch thông tin

Bước này bao gồm một trình dàn phối dịch vụ nằm trong vùng của người sử dụng, được cung cấp bằng nhiều module được tải lên một cách động khi cần thiết. Các module đó có thể bao gồm các trình thu thập dữ liệu, một máy tự bảo vệ để dò tìm ra nếu các nỗ lực dò tìm bộ công cụ đó diễn ra, chức năng cho các giao tiếp truyền thông được mã hóa, các chương trình nắm bắt mạng, và các trình điều khiển từ xa các dạng khác nhau.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com