Một ủy ban của chính phủ liên bang Hoa Kỳ liên quan đến các quyền quốc tế đã bị nhắm mục tiêu bởi một cửa sau được cho là đã xâm phạm mạng nội bộ của nó theo cách mà các nhà nghiên cứu mô tả là “hoạt động kiểu APT cổ điển”.
“Cuộc tấn công này có thể mang lại khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể được sử dụng như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn nhằm xâm nhập mạng này hoặc các mạng khác sâu hơn”, công ty an ninh Séc avast cho biết trong một báo cáo được công bố vào tuần trước.
Tên của pháp nhân liên bang không được tiết lộ, nhưng các báo cáo từ Ars Technica và The Record đã gắn nó với Ủy ban Tự do Tôn giáo Quốc tế Hoa Kỳ (USCIRF). Avast cho biết họ đã công khai các phát hiện của mình sau những nỗ lực không thành công để thông báo trực tiếp cho cơ quan về vụ xâm nhập và thông qua các kênh khác do chính phủ Hoa Kỳ thực hiện.
Ở giai đoạn này, chỉ có “các phần của câu đố tấn công” được khám phá, để lại cánh cửa cho rất nhiều ẩn số liên quan đến bản chất của vectơ truy cập ban đầu được sử dụng để xâm phạm mạng, chuỗi các hành động sau khai thác được thực hiện bởi tác nhân và tác động tổng thể của chính sự thỏa hiệp.
Những gì được biết là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại cho phép kẻ thù không xác định chặn lưu lượng truy cập internet và thực thi mã do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị nhiễm. Nó đạt được điều này bằng cách lạm dụng WinDivert, một tiện ích bắt gói hợp pháp cho Windows.
Điều thú vị là không chỉ cả hai mẫu đều giả dạng thư viện Oracle có tên “oci.dll”, trình giải mã giai đoạn hai được triển khai trong cuộc tấn công được phát hiện có chung điểm tương đồng với một tệp thực thi khác được các nhà nghiên cứu của Trend Micro chi tiết vào năm 2018, đã đào sâu vào một vụ đánh cắp thông tin -driven cuộc tấn công chuỗi cung ứng được mệnh danh là “Chiến dịch Chữ ký Đỏ” nhằm vào các tổ chức ở Hàn Quốc. Sự chồng chéo đã khiến Đội tình báo về mối đe dọa của Avast nghi ngờ rằng những kẻ tấn công đã có quyền truy cập vào mã nguồn của sau này.
Các nhà nghiên cứu cho biết: “Có thể cho rằng một số hình thức thu thập và lọc dữ liệu của lưu lượng mạng đã xảy ra, nhưng đó là suy đoán đã được thông báo trước. “Điều đó nói rằng, chúng tôi không có cách nào để biết chắc chắn về quy mô và phạm vi của cuộc tấn công này ngoài những gì chúng tôi đã thấy.”
.
