StormBamboo: Cuộc Tấn Công Đáng Báo Động vào Hệ Thống ISP

StormBamboo: Cuộc Tấn Công Đáng Báo Động vào Hệ Thống ISP

Nhóm APT Trung Quốc, được biết đến với các tên như StormBamboo, Evasive Panda, Daggerfly, và StormCloud, đã thực hiện một cuộc tấn công vào một nhà cung cấp dịch vụ internet (ISP). Mục tiêu của họ là đầu độc các cơ chế cập nhật phần mềm không an toàn trên các hệ điều hành macOS và Windows. Cuộc tấn công này đã gây ra nhiều lo ngại về an ninh mạng và sự an toàn của các hệ thống cập nhật phần mềm.

Phương Thức Tấn Công

Nhóm tấn công đã sử dụng kỹ thuật poisoning DNS để thay đổi các phản hồi DNS cho các tên miền liên quan đến cập nhật phần mềm. Điều này cho phép họ chuyển hướng các yêu cầu HTTP đến máy chủ điều khiển của mình. Kỹ thuật poisoning DNS là một phương pháp tấn công phổ biến, trong đó kẻ tấn công thay đổi các phản hồi DNS để chuyển hướng lưu lượng truy cập đến các máy chủ độc hại.

Sau khi chuyển hướng thành công, nhóm tấn công sử dụng các phản hồi DNS bị đầu độc này để cài đặt các phần mềm độc hại như MACMA và POCOSTICK (MGBot). MACMA và POCOSTICK là các loại malware được thiết kế để xâm nhập và kiểm soát hệ thống bị tấn công, cho phép kẻ tấn công thực hiện các hoạt động gián điệp và đánh cắp dữ liệu.

Chi Tiết Vụ Tấn Công

Một trong những mục tiêu cụ thể của nhóm tấn công là quá trình cập nhật của 5KPlayer. 5KPlayer là một phần mềm phát đa phương tiện phổ biến, và quá trình cập nhật của nó đã bị lợi dụng để cài đặt một trình cài đặt có backdoor từ máy chủ điều khiển của nhóm tấn công. Backdoor này cho phép kẻ tấn công truy cập và kiểm soát hệ thống bị tấn công mà không bị phát hiện.

Sau khi hệ thống bị xâm nhập, nhóm tấn công tiếp tục cài đặt một tiện ích mở rộng Google Chrome độc hại, được gọi là ReloadText Extension. Tiện ích mở rộng này được thiết kế để đánh cắp cookie trình duyệt và dữ liệu email, cho phép kẻ tấn công truy cập vào các tài khoản trực tuyến và thông tin cá nhân của người dùng.

Kết Luận

Phương pháp tấn công của StormBamboo rất tinh vi, sử dụng các kỹ thuật như poisoning DNS và lợi dụng các cơ chế cập nhật phần mềm không an toàn. Điều này là một cảnh báo cho các tổ chức về việc cần phải tăng cường bảo mật cho các cơ chế cập nhật phần mềm, sử dụng HTTPS thay vì HTTP để giảm thiểu nguy cơ bị tấn công. HTTPS là một giao thức bảo mật giúp mã hóa dữ liệu truyền tải giữa máy khách và máy chủ, ngăn chặn kẻ tấn công can thiệp và thay đổi dữ liệu.

Bài Học Rút Ra

Các tổ chức cần phải bảo mật các phản hồi DNS để ngăn chặn các cuộc tấn công poisoning DNS. Điều này có thể được thực hiện bằng cách sử dụng các dịch vụ DNS bảo mật và triển khai các biện pháp bảo vệ như DNSSEC (DNS Security Extensions). DNSSEC là một tập hợp các mở rộng bảo mật cho DNS, giúp xác thực tính toàn vẹn và nguồn gốc của các phản hồi DNS.

Đồng thời, việc sử dụng các giao thức bảo mật như HTTPS cho các cơ chế cập nhật phần mềm là cần thiết để tránh bị lợi dụng. Các tổ chức cũng nên thực hiện các biện pháp bảo mật khác như kiểm tra và xác thực chữ ký số của các bản cập nhật phần mềm, cũng như triển khai các hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để phát hiện và ngăn chặn các cuộc tấn công.

Tham Khảo

Chinese StormBamboo APT compromised ISP to deliver malware: https://securityaffairs.com/166552/apt/stormbamboo-compromised-isp-malware.html