Cách đây khoảng 10 tháng, vào tháng 12/2020, sự cố bảo mật Sunburst đã gây xôn xao dư luận khi DarkHalo xâm nhập vào một nhà cung cấp phần mềm doanh nghiệp được sử dụng rộng rãi, sau đó sử dụng cơ sở hạ tầng của họ để phát tán phần mềm gián điệp dưới chiêu bài cập nhật phần mềm hợp pháp suốt một thời gian dài.
Sau khi giới truyền thông lên tiếng và giới bảo mật săn lùng ráo riết, kẻ tấn công dường như đã lọt vào tầm ngắm. Sau Sunburst, không có phát hiện lớn nào về các sự cố liên quan đến mối đe dọa này, khiến người ta nghĩ rằng có vẻ như APT DarkHalo đã “offline”.
Tuy nhiên, kết quả nghiên cứu gần đây do Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky thực hiện cho thấy, điều này có thể không đúng.
Cụ thể, vào tháng 6/2021, hơn 6 tháng sau khi DarkHalo ẩn mình, các nhà nghiên cứu tại Kaspersky đã tìm thấy dấu vết của một cuộc tấn công chiếm quyền điều khiển DNS (phân giải tên miền) thành công nhằm mục tiêu chống lại một số tổ chức chính phủ ở một quốc gia.
Mối đe dọa nguy hiểm đứng sau DarkHalo có khả năng đã quay trở lại trong một biến thể mới. (Ảnh minh họa)
Kaspersky giải nghĩa, đánh cắp DNS là một loại tấn công độc hại mà hacker sẽ sửa đổi hướng định tuyến của tên miền đến máy chủ của kẻ tấn công. Hay hiểu đơn giản, bản chất của mỗi tên miền chính là địa chỉ IP (sử dụng tên miền đại diện IP vì dễ nhớ hơn), khi hacker làm thay đổi thành công địa chỉ IP gắn với một tên miền thì họ sẽ dễ dàng thực hiện ý đồ xấu.
Ở trường hợp, Kaspersky điều tra được, các mục tiêu của cuộc tấn công đang cố gắng truy cập dịch vụ email của công ty qua giao diện web, nhưng bị chuyển hướng đến bản sao giả mạo và sau đó bị lừa tải xuống bản cập nhật phần mềm độc hại. Theo dõi đường đi của những kẻ tấn công và phân tích bản cập nhật độc hại, các nhà nghiên cứu của Kaspersky phát hiện ra kẻ gian đã triển khai một backdoor chưa từng biết trước đây: Tomiris.
Tuy nhiên, Kaspersky đưa ra một nhận xét rất đáng chú ý: Backdoor Tomiris giống với Sunshuttle một cách đáng ngờ - phần mềm độc hại được triển khai là kết quả của cuộc tấn công Sunburst khét tiếng trước đó.
Những điểm tương đồng được phát hiện tính đến thời điểm hiện tại:
- Tương tự Sunshuttle, Tomiris được phát triển bằng ngôn ngữ lập trình Go.
- Mỗi backdoor sử dụng một phương thức mã hóa để thay đổi cấu hình và lưu lượng mạng.
- Cả 2 backdoor đều hoạt động theo các nhiệm vụ đã lên lịch để hoạt động lâu dài, sử dụng hàm random và sleep delay để ẩn mình.
- Quy trình làm việc chung của hai chương trình, đặc biệt là cách các tính năng được phân chia trông giống nhau.
- Các lỗi tiếng Anh được tìm thấy trong cả chuỗi Tomiris ('isRunned') và Sunshuttle ('EXECED' thay vì 'execute') cho thấy, cả hai chương trình độc hại được tạo ra bởi những người không nói tiếng Anh. Trước đó, nhóm tin tặc đằng sau DarkHalo được xác định là nói tiếng Nga.
- Tomiris đã được phát hiện trong các mạng nơi các máy khác bị nhiễm Kazuar - backdoor được biết đến với mã độc do Sunburst tạo ra.
“Các điểm nêu trên nếu chỉ xét riêng lẻ thì không thể nhận ra mối liên hệ giữa Tomiris và Sunshuttle. Chúng tôi thừa nhận một số điểm có thể là ngẫu nhiên, nhưng vẫn cảm thấy khi kết hợp chúng lại với nhau thì ít nhất chúng cho thấy khả năng có cùng kẻ đứng sau hoặc được phát triển bằng cách giống nhau”, Pierre Delcher - nhà nghiên cứu bảo mật tại Kaspersky nhận định.
Ivan Kwiatkowski - một nhà nghiên cứu bảo mật khác tại Kaspersky nhận định thêm: “Nếu phỏng đoán của chúng tôi là Tomiris và Sunshuttle có liên hệ với nhau là chính xác, điều đó chứng tỏ cách các mối đe dọa đang cố gắng phục hồi sau khi bị phát hiện. Chúng tôi muốn khuyến cáo cộng đồng tình báo về mối đe dọa này, để nghiên cứu thêm và đưa ra nhận định về những điểm tương đồng như chúng tôi đã phát hiện ra”.