[Tuts] Việt Nam bị tấn công chuỗi cung ứng như thế nào?

SolarWinds

Super Moderate
Nov 16, 2006
51,291
25
48
Hanoi
www.hanoiyeu.com
Các nhà nghiên cứu ESET vừa công bô một cuộc tấn công chuỗi cung ứng xảy ra trên trang web của Chính phủ Việt Nam (Certification Authority (VGCA): ca.gov.vn). Điều này tương tự như cuộc tấn công chuỗi cung ứng vào phần mềm Able Desktop chỉ vài tuần trước. Từ tháng 11 đến này đã xảy ra 1 số cuộc tấn công chuỗi cung ứng vào Chính phủ các nước như:

Vào tháng 11, một chiến dịch Lazarus ở Hàn Quốc đã sử dụng phần mềm bảo mật hợp pháp và đánh cắp chứng chỉ kỹ thuật số để phân phối các công cụ quản trị từ xa (RAT) trên các hệ thống mục tiêu.

Tuần trước, một phần mềm trò chuyện có tên Able Desktop, được sử dụng bởi 430 cơ quan chính phủ ở Mông Cổ, đã bị lạm dụng để cung cấp backdoor HyperBro, Korplug RAT và một Trojan khác có tên là Tmanger.

Cuối cùng, một cuộc tấn công chuỗi cung ứng vào phần mềm SolarWinds Orion được phát hiện trong tuần này đã được khai thác để xâm phạm một số cơ quan chính phủ lớn của Hoa Kỳ, bao gồm Bộ An ninh Nội địa, Thương mại, Kho bạc và Nhà nước.

Tại Việt Nam, phần mềm ký số đã bị Hacker đã sửa đổi 02 trong số các phần mềm cài đặt trên trang web và thêm một cửa hậu (backdoor) để xâm nhập trái phép máy tính người dùng khi cài đặt phần mềm trên.

Việt Nam bị tấn công chuỗi cung ứng như thế nào?


Tấn công chuỗi cung ứng là gì?


Tấn công chuỗi cung ứng, còn được gọi là tấn công chuỗi giá trị hoặc bên thứ ba, xảy ra khi ai đó xâm nhập hệ thống của bạn thông qua đối tác hoặc nhà cung cấp bên ngoài có quyền truy cập vào hệ thống và dữ liệu của bạn. Điều này đã làm thay đổi đáng kể cục diện tấn công của doanh nghiệp điển hình trong vài năm qua, với nhiều nhà cung cấp và nhà cung cấp dịch vụ chạm vào dữ liệu nhạy cảm hơn bao giờ hết.

Cuộc tấn công chuỗi cung ứng ở Việt Nam


Ở Việt Nam, chữ ký điện tử rất phổ biến, vì các văn bản được ký điện tử có mức độ pháp lý ngang với chữ ký “sống”.

Theo Nghị định số 130/2018, các chứng chỉ bảo mật được sử dụng để ký tài liệu phải được cấp bởi một trong những nhà cung cấp chứng chỉ được ủy quyền bao gồm VGCA, một bộ phận của Ban Cơ yếu Chính phủ, thuộc Bộ Quốc phòng.

VGCA phát triển và phân phối bộ công cụ chữ ký số. và được sử dụng bởi chính phủ Việt Nam và các công ty tư nhân để ký các tài liệu công văn số (file pdf, word..)

Hai trong số các trình cài đặt có sẵn để tải xuống, gca01-client-v2-x32-8.3.msigca01-client-v2-x64-8.3.msi, đã bị Hacker sửa đổi để đính kèm một phần mềm độc hại được gọi là PhantomNet hoặc SManager.

Các nhà nghiên cứu xác định những trình cài đặt đó được tải xuống từ ca.gov.vn qua giao thức HTTPS, vì vậy, nó không có khả năng là một cuộc tấn công trung gian .

Sau khi tải xuống và thực thi, trình cài đặt khởi động chương trình GCA chính hãng và mã độc. Mã độc được ghi vào thư mục C:\Program Files\VGCA\Authentication\SAC\x32\eToken.exe.

Cuộc tấn công chuỗi cung ứng ở Việt Nam


Mã độc này sẽ giải nén file 7z.cab để để mở cửa hậu giúp Hacker tấn công từ xa.

Nếu mã độc chạy bằng quyền Administrator, thì backdoor được ghi vào C:\Windows\apppatch\netapi32.dll và để tồn tại lâu dài, và đăng ký DLL độc hại dưới dạng dịch vụ đang chạy.

Đối với User không có quyền Admin, backdoor được lưu ở % TEMP%\Wmedia\<GetTickCount> .tmp

PhantomNet


Backdoor PhantomNet khá đơn giản và có thể thu thập thông tin nạn nhân (tên máy tính, tên máy chủ, tên người dùng, phiên bản hệ điều hành, đặc quyền của người dùng [Admin/User] và địa chỉ IP Public) cũng như cài đặt, gỡ bỏ và cập nhật các plugin độc hại.

Nó có thể truy xuất cấu hình proxy của nạn nhân và sử dụng nó để tiếp cận với máy chủ lệnh và điều khiển (C&C).

PhantomNet thực hiện ghim chứng chỉ, sử dụng các hàm từ thư viện SSPI. Chứng chỉ được tải xuống trong lần kết nối đầu tiên với máy chủ C&C và sau đó được lưu trữ trong kho chứng chỉ Windows .

Phần kết luận


Trong trường hợp này, Hacker đã xâm nhập trang web của một cơ quan cấp chứng chỉ của Việt Nam cụ thể là ca.gov.vn, sau đó UPload file cài đặt có mã độc để người dùng tải về.

Các nhà nghiên cứu của ESET cho biết: “Các cuộc tấn công chuỗi cung ứng thường rất khó tìm, vì mã độc thường ẩn trong rất nhiều mã hợp pháp, khiến việc phát hiện ra nó trở nên khó khăn hơn ”. Cục chứng thực số và bảo mật thông tin – Ban Cơ yếu Chính phủ cho biết họ đã biết về cuộc tấn công trước khi có thông báo và họ đã thông báo cho những người dùng, để tránh trường hợp bị lây nhiễm.

ANV