Không có nghi ngờ gì về điều đó, tội phạm mạng thông thường là một mối đe dọa – từ các hacker trong phòng ngủ cho đến các nhóm ransomware, tội phạm mạng đang gây ra rất nhiều thiệt hại. Nhưng cả các công cụ được sử dụng và mối đe dọa do tội phạm mạng phổ biến gây ra đều nhạt nhòa so với các công cụ được sử dụng bởi các nhóm chuyên nghiệp hơn như các nhóm hack nổi tiếng và các nhóm do nhà nước bảo trợ.
Trên thực tế, những công cụ này hầu như không thể bị phát hiện – và đề phòng. BVP47 là một trường hợp điển hình. Trong bài viết này, chúng tôi sẽ phác thảo cách phần mềm độc hại mạnh mẽ do nhà nước bảo trợ này đã âm thầm lưu hành trong nhiều năm, cách nó ngụy trang khéo léo như thế nào và giải thích điều đó có ý nghĩa như thế nào đối với an ninh mạng trong doanh nghiệp.
Câu chuyện nền đằng sau BVP47
Đó là một câu chuyện dài, phù hợp với một tiểu thuyết gián điệp. Đầu năm nay, một nhóm nghiên cứu an ninh mạng của Trung Quốc có tên Pangu Lab đã công bố một báo cáo chuyên sâu dài 56 trang bao gồm một đoạn mã độc mà nhóm nghiên cứu quyết định gọi là BVP47 (vì BVP là chuỗi phổ biến nhất trong mã, và 47 cho rằng thuật toán mã hóa sử dụng giá trị số 0x47).
Báo cáo thực sự chuyên sâu với giải thích kỹ thuật kỹ lưỡng, bao gồm cả việc đi sâu vào mã phần mềm độc hại. Nó tiết lộ rằng Pangu Lab ban đầu đã tìm thấy mã trong một cuộc điều tra năm 2013 về tình trạng bảo mật máy tính tại một tổ chức rất có thể là một bộ của chính phủ Trung Quốc – nhưng lý do tại sao nhóm chờ đợi cho đến bây giờ để công bố báo cáo không được nêu rõ.
Là một yếu tố chính, báo cáo liên kết BVP47 với “Nhóm phương trình”, đến lượt nó được gắn với Đơn vị Hoạt động Truy cập Phù hợp tại Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). Pangu Lab đưa ra kết luận này vì họ đã tìm thấy một khóa riêng có thể kích hoạt BVP47 trong một tập hợp các tệp được xuất bản bởi nhóm The Shadow Brokers (TSB). TSB đã quy kết tệp đó cho Nhóm phương trình, nhóm này dẫn chúng ta trở lại NSA. Bạn chỉ không thể tạo ra nó, và đó là một câu chuyện phù hợp với một bộ phim điện ảnh.
BVP47 hoạt động như thế nào trong thực tế?
Nhưng đủ về yếu tố gián điệp vs. BVP47 có ý nghĩa gì đối với an ninh mạng? Về bản chất, nó hoạt động như một cửa sau rất thông minh và được che giấu rất tốt vào hệ thống mạng mục tiêu, cho phép bên vận hành nó truy cập trái phép vào dữ liệu – và làm như vậy mà không bị phát hiện.
Công cụ này có một vài thủ thuật rất tinh vi, một phần dựa vào hành vi khai thác mà hầu hết các sysadmins không tìm kiếm – đơn giản vì không ai nghĩ rằng bất kỳ công cụ công nghệ nào cũng hoạt động như vậy. Nó bắt đầu con đường lây nhiễm của mình bằng cách thiết lập một kênh liên lạc bí mật ở một nơi mà không ai có thể nghĩ đến: các gói TCP SYN.
Đặc biệt, BVP47 có khả năng lắng nghe trên cùng một cổng mạng đang được các dịch vụ khác sử dụng, đây là điều rất khó thực hiện. Nói cách khác, có thể cực kỳ khó phát hiện vì rất khó phân biệt giữa dịch vụ tiêu chuẩn sử dụng một cổng và BVP47 sử dụng cổng đó.
Khó khăn trong việc phòng thủ trước đường tấn công này
Trong một bước ngoặt khác, công cụ này thường xuyên kiểm tra môi trường mà nó chạy và xóa các dấu vết của nó trên đường đi, ẩn các quy trình và hoạt động mạng của chính nó để đảm bảo không còn dấu vết nào để tìm thấy.
Hơn nữa, BVP47 sử dụng nhiều phương pháp mã hóa trên nhiều lớp mã hóa để liên lạc và lọc dữ liệu. Đó là điển hình của các công cụ cấp cao nhất được sử dụng bởi các nhóm đe dọa liên tục tiên tiến – bao gồm cả các nhóm được nhà nước bảo trợ.
Được kết hợp lại, nó cho thấy hành vi cực kỳ tinh vi có thể trốn tránh ngay cả những biện pháp phòng thủ an ninh mạng sắc sảo nhất. Sự kết hợp có khả năng nhất của tường lửa, bảo vệ mối đe dọa tiên tiến và những thứ tương tự vẫn có thể không ngăn được các công cụ như BVP47. Những backdoor này rất mạnh mẽ vì các tài nguyên mà các tác nhân nhà nước có thể bỏ ra để phát triển chúng.
Như mọi khi, thực hành tốt là đặt cược tốt nhất của bạn
Tất nhiên, điều đó không có nghĩa là các đội an ninh mạng chỉ nên lăn xả và bỏ cuộc. Ít nhất, có một loạt các hoạt động có thể khiến một tác nhân khó triển khai một công cụ như BVP47. Các hoạt động phát hiện và nâng cao nhận thức rất đáng để theo đuổi, vì việc giám sát chặt chẽ vẫn có thể bắt được kẻ xâm nhập từ xa. Tương tự, honeypots có thể thu hút những kẻ tấn công đến một mục tiêu vô hại – nơi chúng có thể lộ diện.
Tuy nhiên, có một cách tiếp cận đơn giản, theo nguyên tắc đầu tiên mang lại một lượng lớn sự bảo vệ. Ngay cả những công cụ tinh vi như BVP47 cũng dựa vào phần mềm chưa được vá để có được chỗ đứng. Do đó, thường xuyên vá hệ điều hành và các ứng dụng mà bạn phụ thuộc là cổng gọi đầu tiên của bạn.
Hành động áp dụng một bản vá theo đúng nghĩa của nó không phải là bước thử thách nhất để thực hiện – nhưng như chúng ta đã biết, việc vá nhanh chóng mọi lúc là điều mà hầu hết các tổ chức phải vật lộn với.
Và tất nhiên, đó chính xác là những gì mà các tác nhân đe dọa như nhóm đằng sau BVP47 dựa vào, khi họ nói dối và chờ đợi mục tiêu của mình, những người chắc chắn sẽ phải căng ra quá nhiều nguồn lực để vá một cách nhất quán, cuối cùng bỏ lỡ một bản vá quan trọng.
Các đội bị áp lực có thể làm gì? Tự động vá trực tiếp là một giải pháp vì nó loại bỏ nhu cầu vá lỗi theo cách thủ công – và loại bỏ việc khởi động lại tốn thời gian và thời gian chết liên quan. Trong trường hợp không thể vá trực tiếp, có thể sử dụng tính năng quét lỗ hổng để đánh dấu các bản vá quan trọng nhất.
Không phải là đầu tiên – và không phải là cuối cùng
Các báo cáo chuyên sâu như báo cáo này rất quan trọng trong việc giúp chúng tôi nhận thức được các mối đe dọa quan trọng. Nhưng BVP47 đã hoạt động trong nhiều năm trước khi báo cáo công khai này và vô số hệ thống đã bị tấn công trong thời gian chờ đợi – bao gồm cả các mục tiêu nổi tiếng trên khắp thế giới.
Chúng tôi không biết có bao nhiêu công cụ tương tự hiện có – tất cả những gì chúng tôi biết là những gì chúng tôi cần làm để duy trì một thế trận an ninh mạng vững chắc nhất quán: theo dõi, đánh lạc hướng và vá lỗi. Ngay cả khi các nhóm không thể giảm thiểu mọi mối đe dọa thì ít nhất họ cũng có thể xây dựng một hệ thống phòng thủ hiệu quả, khiến việc vận hành thành công phần mềm độc hại càng khó càng tốt.
.
