Mustang Panda tấn công các web captive portal trong mạng công cộng
Vừa qua, đội ngũ Threat Intelligence của Google phát hiện nhóm APT Mustang Panda đang triển khai một chiến dịch phát tán phần mềm độc hại mới nhắm tới các trang web captive portal, biến các trang web này trở thành một công cụ nghe lén, giám sát âm thầm các hoạt động của nạn nhân.
Thông thường, khi người dùng kết nối vào một mạng Wi-Fi tại các địa điểm công cộng như khách sạn hoặc sân bay, một trang đăng nhập nhỏ hiện lên với yêu cầu người dùng chấp nhận các điều khoản sử dụng hoặc điền thông tin khảo sát trước khi có thể truy cập internet. Những trang này được gọi là captive portal, là một bước nhỏ và thường được người dùng bỏ qua bằng cách nhấn nút “Tiếp tục” được hiển thị trên web để truy cập được vào mạng.
Tuy nhiên, đội ngũ Threat Intelligence của Google vừa qua đã phát hiện nhóm APT Mustang Panda đã lợi dụng các trang web captive portal này nhằm thu thập, giám sát các hoạt động của người dùng, biến đây thành công cụ nghe lén hiệu quả các hoạt động của người dùng. Lợi dụng vị trí “đáng tin cậy” của các thiết bị biên, các tin tặc có thể chặn quá trình kiểm tra kết nối của trình duyệt, chen vào quy trình captive portal và thay thế trang đăng nhập hợp pháp bằng một trang độc hại.
Chuỗi tấn công
Bước 1 - Chiếm quyền kiểm soát cổng kiểm tra truy cập (portal check)
Thông qua các thiết bị biên (edge device) đã bị xâm nhập, kẻ tấn công tiến hành chặn các yêu cầu và quá trình kiểm tra kết nối tới internet từ người dùng. Tại bước này, thay vì được chuyển hướng tới trang captive portal hợp pháp, người dùng bị chuyển hướng sang một trang đích độc hại do kẻ tấn công dựng lên và kiểm soát, chứa các thông báo như “thiếu plug-in” nhằm yêu cầu người dùng cài đặt một plugin độc hại trước khi có thể truy cập tới internet.
Bước 2 - Cài đặt plugin giả mạo
Khi người dùng nhấp tiếp tục, một tập tin cập nhật plugin giả mạo ngay lập tức được tải xuống thiết bị của người dùng. Ngoài ra, nhằm gia tăng tính thuyết phục, kẻ tấn công cũng cung cấp các hướng dẫn cài đặt từng bước plugin giả mạo trên, từ đó dễ dàng vượt qua các biện pháp bảo mật được tích hợp sẵn trên thiết bị của người dùng.
Bước 3 - Che mắt
Khi tệp tin cài đặt plugin giả mạo trên được khởi chạy, nó hiển thị một cửa sổ cài đặt đơn giản với các nút “Install” và “Cancel”. Tưởng chừng đây chỉ là một cửa sổ cài đặt vô hại, tuy nhiên đây chỉ là biện pháp nhằm che mắt người dùng, bởi cho dù người dùng có ấn vào nút nào thì phần mềm độc hại cũng vẫn được cài đặt và hoạt động ngầm trong thiết bị của nạn nhân.
Phần mềm độc hại này như một backdoor, cho phép kẻ tấn công có quyền truy cập vào thiết bị của người dùng, đồng thời cho phép chúng đánh cắp các thông tin, dữ liệu nhạy cảm bên trong thiết bị bị lây nhiễm.
Khuyến nghị & Khắc phục
Người dùng cần cảnh giác trước bất kỳ các thông báo cài đặt hoặc tải xuống phần mềm nào từ các trang captive portal, đặc biệt là các yêu cầu cập nhật plug-in hoặc phần mềm. Ngoài ra, người dùng có thể thực hiện một số các hành động sau nhằm giảm thiểu khả năng đối mặt với nguy cơ mất an toàn, bảo mật thông tin:
Bảo vệ thiết bị biên (router, firewall...)
Cập nhật firmware thường xuyên, thay đổi mật khẩu mặc định.
Sử dụng captive portal qua HTTPS và giám sát truy cập.
Chặn tải phần mềm độc hại ngay từ trình duyệt
- Dùng công cụ bảo mật như SquareX để ngăn tải file thực thi từ các trang không rõ nguồn gốc.
Nâng cao nhận thức người dùng
Không bao giờ cài phần mềm/plug-in từ trang đăng nhập Wi-Fi.
Sử dụng VPN khi truy cập Wi-Fi công cộng.
Xử lý khi bị tấn công
- Ngắt kết nối mạng, quét malware, đổi mật khẩu, và báo cáo cho bộ phận an ninh/CERT.
