APT33 và năng lực tình báo mạng của Iran

Thứ Ba, 24/10/2017, 23:55
Trong vài năm qua, Công ty an ninh mạng FireEye đặt trụ sở tại California (Mỹ) chú ý theo dõi một nhóm hacker ít được biết đến nhưng sở hữu kho vũ khí tấn công mạng với năng lực hủy diệt đáng gờm mang tên APT33 - viết tắt từ “Advanced Persistent Threat 33” (tạm dịch: Mối đe dọa dai dẳng cấp cao).

Theo phân tích từ FireEye, APT33 là nhóm được chính quyền và lực lượng Cách mạng Hồi giáo Iran (IRGC) bảo trợ và hoạt động ít nhất từ năm 2013. Trong những năm gần đây, Iran đặc biệt quan tâm đầu tư vào năng lực tình báo mạng và nhanh chóng trở thành đối thủ đáng gờm bên cạnh các cường quốc hacker như Nga, Trung Quốc và Triều Tiên. Chính phủ Mỹ cũng thừa nhận hiện nay Iran có đủ khả năng tiến hành những chiến dịch tấn công mạng thu thập thông tin tình báo cực kỳ phức tạp.

APT33 sở hữu những mã độc được thiết kế rất hoàn hảo

APT33 chọn mục tiêu là các công ty trong nhiều ngành công nghiệp đặt trụ sở tại Mỹ, Arập Xêút và Hàn Quốc và đặc biệt quan tâm đến lĩnh vực hàng không (dân sự lẫn quân sự) cũng như khai thác dầu khí.

Từ giữa năm 2016 đến đầu năm 2017, APT33 đã gây tổn hại cho một tổ chức trong ngành hàng không Mỹ và tập đoàn dầu khí ở Arập Xêút. Trong khoảng thời gian này, APT33 cũng tấn công công ty Hàn Quốc hoạt động trong lĩnh vực hóa dầu và lọc dầu.

Thậm chí, nhóm hacker Iran còn để mắt đến ngành hàng không quân sự của Arập Xêút để thu thập thông tin tình báo giúp tăng cường khả năng không quân Iran hay hỗ trợ cho chính sách đối ngoại của nước này. FireEye tin rằng, Hàn Quốc nằm trong danh sách mục tiêu của APT33 bởi vì nước này đang là đối tác với Iran trong lĩnh vực công nghiệp hóa dầu cũng như Seoul có mối quan hệ thương mại với các công ty hóa dầu của Arập Xêút.

Tổng Giám đốc FireEye Kevin Mandia. 

Giới chuyên gia an ninh nhận định Tehran sử dụng APT33 để đạt mục đích mở rộng sản xuất sản phẩm hóa dầu cũng như nâng cao năng lực cạnh tranh của Iran trong khu vực. Phương thức tấn công của APT33 là sử dụng email chứa mã độc với thông tin tuyển dụng giả mạo nhằm thu hút sự chú ý của các nạn nhân quan tâm đến các công việc trong ngành dầu khí ở Arập Xêút.

Trong năm 2016, APT33 đã gửi hàng trăm email giả mạo đến các cá nhân mục tiêu muốn làm việc trong lĩnh vực hàng không và số công ty mà nhóm hacker mạo danh bao gồm: Boeing, Alslam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA).

Trong đó, 2 công ty Boeing và Alsalam giúp thành lập Trung tâm Hỗ trợ máy bay trực thăng Arập Xêút năm 2015 với mục tiêu cung cấp dịch vụ và huấn luyện nhân lực cho phi đội máy bay trực thăng nước này. Alsalam cũng hỗ trợ kỹ thuật, thiết kế nội thất máy bay và dịch vụ nâng cấp cho máy bay dân sự lẫn quân sự của Arập Xêút. Northrop không chỉ hỗ trợ hàng không cho Arập Xêút mà còn cho cả khu vực Trung Đông. Đặc biệt, Northrop giúp huấn luyện cho lực lượng Vệ binh Quốc gia Arập Xêút.

Mô tả về phương thức tấn công DDoS.

Theo báo cáo từ FireEye, nhóm hacker APT33 còn nhận được sự bảo trợ của Viện Nghiên cứu Nasr – tổ chức được cho là liên quan đến tình báo Iran và IRGC. Viện Nasr cũng được coi là “đội quân mạng” nằm dưới sự kiểm soát của chính quyền Iran và FireEye mô tả đây là tổ chức “bóng tối”. APT33 rất khác biệt với các nhóm hacker được nhiều người biết đến của Iran do nó thực hiện những chiến dịch tấn công cực kỳ tinh vi và sở hữu những mã độc được thiết kế rất hoàn hảo.

Giới chuyên gia FireEye cũng báo cáo: họ nhận diện được APT33 nhờ nhóm này sử dụng ngôn ngữ Farsi trong các mã độc cũng như một yếu tố khá đặc biệt – đó là hacker không làm việc vào ngày thứ 5 trong tuần theo lịch lao động của các quốc gia Hồi giáo. Farsi là ngôn ngữ chính thức và được sử dụng phổ biến ở Iran. Theo quy định, tuần làm việc ở Iran kéo dài từ thứ 7 đến thứ 4 tuần sau, trong khi chỉ có một số ít doanh nghiệp tư nhân làm việc nửa ngày thứ 5.

Tổng giám đốc FireEye Kevin Mandia nhận định: Đội quân tình báo mạng của Iran đã tiến bộ vượt bậc kể từ sau vụ tấn công không có gì phức tạp nhằm vào Bộ Ngoại giao Mỹ hồi năm 2008. John Hultquist, Giám đốc tình báo mạng của FireEye, cũng xếp nhóm APT33 ngang hàng với hacker trình độ cao của Trung Quốc và Nga.

Tommy Stiansen, Giám đốc công nghệ và đồng sáng lập Norse.

Mới đây, Bộ Tài chính Mỹ bổ sung thêm 2 nhóm hacker và 8 cá nhân của Iran vào danh sách cấm vận của Washington do cáo buộc liên quan đến một số vụ tấn công mạng vào hệ thống tài chính Mỹ. Mối lo ngại đặc biệt của John Hultquist là APT33 đang nỗ lực xây dựng những cuộc tấn công ngày càng mang tính hủy diệt dữ dội hơn. Joe Slowik, chuyên gia phân tích an ninh của Công ty An ninh mạng Dragos Security (Mỹ) cũng cảnh báo APT33 đang có nỗ lực phá hoại mạng máy tính ở Hàn Quốc, Pakistan, Israel và Anh.

Còn Tommy Stiansen, giám đốc công nghệ và đồng sáng lập Công ty An ninh Norse ở Thung lũng Silicon tuyên bố: Sau nhiều tháng nghiên cứu, công ty đã phát hiện có ít nhất 16.000 hệ thống ở hải ngoại nằm dưới sự kiểm soát của Iran, trong đó 2.000 hệ thống đã lây nhiễm mã độc cho các máy tính của doanh nghiệp Mỹ, Israel, Anh, Đức, Canada và các quốc gia khác.

Đừng xem thường năng lực tình báo mạng Iran

Khi bàn luận về các nhóm hacker vùng Trung Đông sở hữu công cụ có khả năng hủy diệt cao, nhiều người thường liên tưởng ngay đến các nhóm như là Rocketkitten, Charming Kitten hay Shamoon (thường sử dụng mã độc Disttrack làm tê liệt hoạt động máy tính và nhắm mục tiêu vào các công ty vùng Vịnh).

Theo Công ty bảo mật Symantec, Disttrack gây xung đột những tập tin quan trọng trong hệ thống và còn ghi đè lên Bản ghi khởi tạo Hệ thống (Master Boot Records – MBR) của máy tính bị lây nhiễm. FireEye tìm thấy bằng chứng về mã độc DropShot liên kết với ShapeShift (cũng được gọi là StoneDrill) – công cụ mà trước đây được phát hiện bởi Công ty an ninh mạng Nga Kaspersky. ShapeShift thực ra là phiên bản Shamoon được nâng cấp để tấn công mạng lưới máy tính các doanh nghiệp, trong đó nổi bật nhất là vụ tấn công 30.000 hệ thống của Tập đoàn dầu mỏ khổng lồ Saudi Aramco năm 2012.

Các mẫu mã độc từng được sử dụng để tấn công một số hệ thống công nghiệp trong quá khứ của Iran có thể kể đến “Havex” lây nhiễm trong công nghệ của các hệ thống kiểm soát như thiết bị bơm nước và turbine; và “BlackEnergy” chọn mục tiêu là các nhà máy năng lượng.

Theo cuộc điều tra riêng của Hãng tin AP công bố hồi tháng 12-2015, “hacker chuyên nghiệp nước ngoài” đủ sức kiểm soát mọi mạng lưới nhà máy điện lực trên thế giới khoảng chục lần trong thập niên qua.

Gần đây, tờ Wall Street Journal cũng tiết lộ một nhóm hacker Iran xâm phạm hệ thống mạng quản lý một đập nước ở thành phố New York (Mỹ) vào năm 2013. Công ty bảo mật ESET, đặt trụ sở tại Bratislava (Slovakia), cũng tuyên bố mã độc tìm thấy ở Ukraine chính là BlackEnergy.

Trong khi đó Robert M. Lee, cựu chuyên gia chiến dịch mạng Không quân Mỹ và là người sáng lập kiêm Giám đốc điều hành Công ty An ninh Dragos Security, tuyên bố rằng ông có trong tay mẫu mã độc và nhận định “phần mềm độc hại BlackEnergy tồn tại từ năm 2007 và được nhiều hacker sử dụng song điều đó không có nghĩa là nó liên quan đến mọi cuộc tấn công”.

Robert M. Lee, người sáng lập kiêm CEO Công ty an ninh Dragos Security. 

Bởi vì, mã độc tìm thấy ở hệ thống mạng máy tính Công ty điện lực ở miền Tây Ukraine Prykarpattyaoblenergo cũng được sử dụng trong một chiến dịch xâm nhập tấn công một số cơ sở điện lực ở Mỹ năm 2014, mặc dù không gây tổn hại gì nhưng mã độc BlackEnergy đã được cộng đồng an ninh và tình báo nước này ghi nhận.

Những vụ tấn công gây mất điện trên diện rộng là một trong số những kịch bản kinh khủng mà giới chức an ninh quốc gia Mỹ đang nỗ lực ngăn chặn để không xảy đến cho nước này.

FireEye cũng xác định được danh tính một nhà thầu Iran liên quan đến APT33. Bằng chứng là một cái tên – xman_1365_x – để lại trong phần bình luận nơi cửa sau của nhóm hacker gọi là “TurnedUp”.

John Hultquist nhận định “xman_1365_x” liên quan đến Viện Nasr tổ chức được cho là dính líu đến hành vi thực hiện một loạt vụ tấn công DDos nhằm vào những hệ thống ngân hàng trên khắp nước Mỹ - từ Bank of America đến Wells Fargo - vào giữa những năm 2011 và 2013 trong Chiến dịch Ababil – một chiến dịch được cho là nhằm trả thù video chống Hồi giáo “Sự vô tội của người Hồi giáo” trên YouTube.

Tháng 3-2016, Mỹ buộc tội 7 người Iran liên quan đến chiến dịch tấn công DDoS kéo dài hơn 176 ngày. 

Tháng 3-2016, cộng đồng tình báo an ninh mạng Mỹ liệt kê tên của một số tổ chức Iran như ITSecTeam và Mersad Company liên quan đến những vụ tấn công DDoS. Theo trang web công nghệ quốc phòng Mỹ DefenseTech, IRGC dành ngân sách 76 triệu USD cho chiến tranh mạng. Do đó, chính quyền Mỹ có lý khi lo ngại Iran có khả năng phá hoại cơ sở hạ tầng nước này khi quan hệ giữa hai quốc gia gia tăng căng thẳng.

Dmitri Alperovitch, Trưởng ban công nghệ và đồng sáng lập CrowdStrike, nhận định thời gian sau này Iran đầu tư rất nhiều nguồn lực cho chiến tranh mạng. Còn Jaime Blasco, Giám đốc AlienVault Labs cho rằng trong thời gian sắp tới những cuộc tấn công mạng của Iran càng tinh vi hơn và sẽ gây thiệt hại rất lớn. CrowdStrike, đối thủ cạnh tranh của Norse, cũng cho biết công ty đang theo dõi 4 nhóm hacker Iran khác gọi là các Kitten (Mèo con).

Mỗi Kitten đều có thủ đoạn và danh sách mục tiêu riêng – theo Dmitri Alperovitch. Flying Kitten – cũng được gọi là nhóm hacker Ajax – tập trung thu thập thông tin tình báo chính quyền và công ty nước ngoài. Magic Kitten chọn mục tiêu là những đối tượng chống đối bên trong Iran, trong khi Charming Kitten sử dụng các nền tảng mạng xã hội để tấn công nhiều mục tiêu khác biệt.

Cuối cùng, Cutting Kitten được Alperovitch mô tả là “nhóm tạo ra nhiều công cụ xâm nhập website được chính quyền Iran sử dụng”. Giáo sư Ian Brown, Phó giám đốc Trung tâm An ninh mạng thuộc Đại học Oxford, cảnh báo hiện nay có nhiều quốc gia nỗ lực phát triển khả năng tấn công mạng dù rằng chưa đạt đến quy mô của liên minh tình báo Five Eyes, bao gồm 5 quốc gia: Anh, Mỹ, Canada, New Zealand và Australia.

Trang Thuần (tổng hợp)
.
.