BA SÀM

Cơ quan ngôn luận của THÔNG TẤN XÃ VỈA HÈ

2378. Cẩn thận với mã độc từ Việt Nam: Chúng được gửi dưới vỏ bọc rất cá nhân

Posted by adminbasam trên 24/02/2014

Dân luận

Eva Galperin và Morgan Marquis-Boire

Hoàng Triết chuyển ngữ

1Khi công nghệ mã hóa [encryption] đã trở nên phổ biến trong truyền thông trên mạng như là một biện pháp chống lại giám sát, những kẻ tấn công đã tìm cách đối phó với biện pháp này bằng cách ngấm ngầm cài đặt mã độc vào những máy tính trong tầm nhắm để ghi nhận từng phím bấm, theo dõi người sử dụng từ xa bằng chính ống kính thu hình [webcam] trên máy của họ, sao chép các cuộc gọi qua Skype, và nghe lén bằng microphone trong máy của người bị theo dõi. Có khi thì kẻ tấn công là một tội phạm, chẳng hạn như tin tặc sử dụng một công cụ truy cập từ xa [Remote access tool – RAT] để chụp ảnh của Hoa hậu Thiếu niên Hoa Kỳ [Miss Teen USA]. Có khi thì kẻ tấn công lại thuộc phe ủng hộ một chính quyền, chẳng hạn như những tên tin tặc thân Assad sử dụng mã độc tung những đợt tấn công vào phe đối lập; [những đợt tấn công] mà EFF đã và đang theo dõi từ hai năm nay. Có khi thì kẻ tấn công là một chính phủ hoặc một cơ quan an ninh pháp luật, chẳng hạn như việc ngấm ngầm cài đặt phần mềm theo dõi mục tiêu của các đội Hoạt Động Truy Cập Phù Hợp [Tailored Access Operations] thuộc Cơ Quan An Ninh Quốc Gia Hoa Kỳ.

Mã độc là một công cụ đa số các chính quyền có trong hộp đồ nghề của mình, và Việt Nam cũng không ngoại lệ. Trong vài năm vừa qua, chính quyền Cộng Sản của Việt Nam đã sử dụng mã độc và RAT để theo dõi các phóng viên, nhà đấu tranh, nhà bất đồng chính kiến, và bloggers, trong khi họ đàn áp ngăn chặn đối kháng. Chiến dịch theo dõi mạng Internet của Việt Nam khởi đầu ít nhất là từ tháng 3 năm 2010 khi các kỹ sư phần mềm của Google khám phá ra phần mềm độc hại tấn công rộng rãi vào các máy tính do người Việt sử dụng. Các máy tính bị nhiễm mã độc được sử dụng để theo dõi chủ nhân của chúng cũng như để tham gia các cuộc tấn công từ chối dịch vụ DDoS trên những trang mạng bất đồng chính kiến. Chính phủ Việt Nam đã đàn áp mạnh các blogger đối kháng, thành phần duy nhất của quốc gia này đại diện cho báo chí độc lập. Theo một bản báo cáo 2013 từ Ủy ban Bảo vệ Ký Giả, Việt Nam hiện đang giam giữ 18 blogger và phóng viên báo chí, 14 trong số họ bị giam từ 1 năm trước đây.

EFF đã có nhiều bài viết về tình hình ngày càng tồi tệ đối với các bloggers tại Việt Nam này. [VFF] cũng đã hỗ trợ các chiến dịch giải phóng những blogger cao cấp như Lê Quốc Quân và Điếu Cày, cũng như đã chỉ trích dự luật kiểm duyệt Internet của Việt Nam. Báo cáo này sẽ phân tích phần mềm độc hại tấn công chính nhân viên của EFF và một nhà toán học nổi tiếng.người Việt, một nhà đấu tranh dân chủ người Việt, và một phóng viên của AP tại Việt Nam.

CHIẾN DỊCH TẤN CÔNG NHẮM VÀO EFF VÀ HÃNG THÔNG TẤN AP

Chúng tôi sẽ bắt đầu với cuộc tấn công nhắm vào nhân viên của EFF. Cuộc tấn công này đánh dấu lần đầu tiên chúng tôi khám phá được những kẻ thuộc phe chính quyền sử dụng mã độc để tấn công vào tổ chức của chúng tôi.

Vào ngày 20 tháng 12 năm 2013, hai nhân viên của EFF đã nhận được một điện thư từ “Andrew Oxfam,” mời họ tham dự một buổi “Hội Thảo Á Châu” và mời họ nhấn vào hai đường link để có thêm thông tin về buổi hội thảo và lời mời tham dự này. Hai đường link này rất đáng nghi vì chúng không thuộc máy chủ của Oxfam. Thay vào đó, nó đưa người được mời tham dự vào một trang mạng trên Google Drive, xem hình dưới. Thêm vào đó, điện thư này còn có cả hai file đính kèm về lời mời tham dự hội thảo này.

Hành động tấn công này có một sự thú vị đặc biệt vì nó thể hiện một sự thông hiểu tâm lý về những gì những người tranh đấu quan tâm. Cũng như các phóng viên báo chí rất muốn mở các dữ liệu đính kèm về những câu chuyện scandal, cũng như những nhà ủng hộ phong trào đối kháng người Syria rất muốn mở những dữ liệu nó về sự lạm dụng bạo lực của chính quyền Assad, các nhà đấu tranh nhân quyền như chúng tôi rất muốn mở xem những dữ liệu mời mọc tham dự hội thảo. Để cho có vẻ thật hơn, những kẻ tấn công nên kèm theo trong đó nhã ý trang trả chi phí đi lại và khách sạn.

Cả hai file đính kèm đều giống như nhau:

351813270729b78fb2fe33be9c57fcd6f3828576171c7f404ed53af77cd91206 Invitation.hta
351813270729b78fb2fe33be9c57fcd6f3828576171c7f404ed53af77cd91206 Location.hta

Khả năng bị khám phá của dạng mã độc này rất thấp. Sử dụng Virus Total, chúng tôi thấy chỉ có 1 trong số 47 Cty bán sản phẩm phòng chống virút có thể nhận ra loại mã độc này, tính đến ngày 19/1/14.

Mã độc này cũng được gửi đến một phóng viên AP dưới dạng một bài viết của tổ chức Giám Sát Nhân Quyền.

Trong lần tấn công này, nhấn vào đường link trong điện thư sẽ đưa người sử dụng đến trang mạng chứa mã độc HTML (.hta) file.

Dữ liệu chi tiết meta-data cho thấy thông tin sau:

“Invitation.hta: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00, Create Time/Date: Mon Nov 19 05:02:00 2012, Last Saved Time/Date: Mon Nov 19 05:02:00 2012, Number of Pages: 3, Number of Words: 395, Number of Characters: 2258, Security: 0”

Đoạn HTML này có chứa một file đã mã hóa ở dạng .exe và cũng chứa một Microsoft Word file với tên gọi “baiviet.doc”.

Khi người nhận được điện thư kích hoạt dữ liệu đính kèm, nó bỏ hai file này vào LocalTemp folder:

C:UsersadminAppDataLocalTempbaiviet.doc
C:UsersadminAppDataLocalTempxftygv.exe

Khi “baiviet.doc” hiện ra và “xftygv.exe” được kích hoạt, nó sẽ cài những file này trong máy:

C:Program FilesCommon Filesmicrosoft sharedinkInkObj.dat
C:UsersadminAppDataLocalTemp1959.tmp
C:UsersadminAppDataLocalTemp19A8.tmp
C:UsersadminAppDataLocalTemp1A65.tmp
C:UsersadminAppDataLocalTemp1D72.tmp
C:UsersadminAppDataRoamingHTML Helphelp.dat
C:UsersadminAppDataRoamingKuGou7status.dat
C:UsersadminAppDataRoamingMicrosoftMedia PlayerPLearnL.DAT
C:UsersadminAppDataRoamingMicrosoftWerfaultWerFault.exe
C:WindowsPerformanceWinSATDataStoreFormal.Assessment.WinSAT.xml
C:WindowsPerformanceWinSATShaderCache.vs_3.0
C:WindowsSystem32api-ms-win-core-xstate-l1-1-0.bin
C:WindowsSystem32odbccr64.dll

Một số thay đổi trong registry sẽ xảy ra để giúp phần mềm độc hại này tồn tại sau khi reboot và file api-ms-win-core-xstate-l1-1-0.bin sẽ được ghi vào process space của explorer.exe để mở một cổng kết nối trên port 443 đến yelp.webhop.org.

Khi bản báo cáo này được công bố thì địa chỉ trên dẫn đến IP 62.75.204.91, nơi chứa các tên miền sau:

tripadvisor.dyndns.info,
neuro.dyndns-at-home.com,
foursquare.dyndns.tv,
wowwiki.dynalias.net,
yelp.webhop.org

Nó được sử dụng như một máy chủ chỉ huy và quản lý cho các phần mềm độc hại liên quan đến chính quyền Việt Nam khác:

82f0db740c1a08c9d63c3bb13ddaf72c5183e9a141d3fbd1ffb9446ce5467113 bai viet.hta
9c07d491e4ddcba98c79556c4cf31d9205a5f55445c1c2da563e80940d949356 Unhotien.doc

Quan sát các phần mềm độc hại này cho thấy sự liên hệ đến các chiến dịch trước đây nhằm nhắm vào các nhà hoạt động người Việt.

NHẮM VÀO CÁC BLOGGER VIỆT NAM

Trong tháng Hai 2013, một blogger người Việt và một giáo sư toán học đã nhận được điện thư sau (xem hình).

Cũng như mà độc tấn công EFF và hãng thông tấn AP, file đính kèm là một dữ liệu HTML. Trong trường hợp này, nó đã được nén ở dạng 7zip.

2fa7ad4736e2bb1d50cbaec625c776cdb6fce0b8eb66035df32764d5a2a18013 Thu moi.7z

Sau khi mở ra:

dd100552f256426ce116c0b1155bcf45902d260d12ae080782cdc7b8f824f6e1 Thu moi.hta

Dữ liệu chi tiết meta-data cho thấy như sau:

Thu moi.hta: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Author: pluto, Template: Normal, Last Saved By: pluto, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Total Editing Time: 07:00, Create Time/Date: Thu Mar 1 05:02:00 2012, Last Saved Time/Date: Thu Jan 24 09:28:00 2013, Number of Pages: 3, Number of Words: 277, Number of Characters: 1584, Security: 0

Tương tự như cuộc tấn công đối với EFF và AP, dữ liệu HTML có chứa một file đã mã hóa ở dạng .exe (zzpauvooos.exe”) và một file (“Doc loi.doc”).

Cho chạy “Thu moi.hta” hiện ra “Doc loi.doc” và cài hai file sau:

C:UsersadminAppDataLocalTempDoc loi.doc
C:UsersadminAppDataLocalTempzzpauvooos.exe

Khi chạy “zzpauvooos.exe”, nó cài thêm file:

C:UsersadminAppDataLocalTempC947.tmp

Và rồi mệnh lệnh sau được kích hoạt:

“C:UsersadminAppDataLocalTempC947.tmp” –helpC:UsersadminAppDataLocalTempzzpauvooos.exe D1DF15E4D714BFDB764ECF92AE709D14BCA3E0E6C759CF7C675BE26D0296A63C3B147110AC79543CC31527651D66787152102A66C33710233BD64912707D4E60”

Rồi sau đó các file sau được cài vào hệ thống và bản .exe gốc được xóa mất:

C:UsersadminAppDataRoamingCommon Filesdefrag.exe
C:UsersadminAppDataRoamingIdentities{116380ff-9f6a-4a90-9319-89ee4f513542}disk1.img
C:WindowsTasksScheduledDefrag.job
C:WindowsTasksScheduledDefrag_admin.job

Một số dữ liệu sẽ được ghép vào trong Windows registry cho mục đích kiên trì tồn tại và cài đặt disk1.mdg, liên lạc máy chủ chỉ huy và điều khiển ở địa chỉ static.jp7.org trên port 443/tcp.

Một blogger đấu tranh dân chủ nổi bật ở California đã bị tấn công thành công bằng cách này, dẫn đến việc trang blog của cô ta cùng đời sống riêng tư của cô ta bị xâm phạm.

Nhóm đứng sau các cuộc tấn công này có vẻ như đã hoạt động từ năm 2009 và hiện đang rất năng động trong việc tấn công các nhà bất đồng chính kiến người Việt, những người đang viết về Việt Nam, cũng như cộng đồng người Việt. Đây có vẻ như là việc làm của nhóm có tên gọi là “Sinh Tử Lệnh” và trong lúc nó được xem như là tác phẩm của người Trung Quốc, càng ngày nó càng có vẻ như là việc làm của người Việt tấn công người Việt.

EFF rất bức xúc khi thấy các chiến dịch tấn công bằng mã độc đánh gần đến nhà mình. Trong khi rõ ràng là nhóm tấn công này đang nhắm vào cộng đồng người Việt từ bấy lâu nay, các chiến dịch tấn công này cho thấy rằng các phóng viên quốc tế và nhà tranh đấu Hoa Kỳ cũng đang bị tấn công. Và khi việc những người đấu tranh và phóng viên kỳ cựu nằm trong tầm nhắm của một chính phủ quốc gia họ thường chỉ trích là việc có thể dự đoán được, sự thật cho thấy rằng một bài viết duy nhất trên blog có thể đủ để khiến bạn trở thành một mục tiêu bị theo dõi.

Nguồn: Electronic Frontier Foundation, ngày 19/1/14.

Sorry, the comment form is closed at this time.

 
%d người thích bài này: