Sử dụng kỹ thuật ẩn mã, nhóm hacker này đã tấn công nhiều chính phủ trong 6 năm mà không ai biết

Trong hoạt động an ninh mạng, kỹ thuật ẩn mã hay Steganography đã được những nhà nghiên cứu bảo mật nhiều đợt cảnh báo về sự hiểm nguy của nó. Kỹ thuật ẩn mã là phương thức truyền đạt thông điệp một cách bí mật, để không ai biết về sự hiện diện của thông điệp, trừ người gửi và nhận. Trong khi đó, kỹ thuật mật mã chỉ dùng để che giấu dữ liệu trong thông điệp nhưng người dưng vẫn biết về sự tồn tại của thông điệp đó.

Sự hiểm nguy của kỹ thuật ẩn mã nằm ở chỗ, các hacker có thể khiến hệ thống bị nhiễm độc một khoảng thời gian dài mà không hề bị nghi ngờ. Đây cũng chính là phương thức được nhóm PLATINUM, một nhóm hacker chống nhà nước và các tổ chức liên quan ở khu vực Nam Á và Đông Nam Á, sử dụng. Hoạt động cuối cùng của nhóm này diễn ra vào năm 2017.

Những tưởng như nhóm này đã ngừng hoạt động, nhưng gần đây, khi các nhà nghiên cứu của Kaspersky phát hiện và thanh tra một chiến dịch tấn công mạng rất tinh vi nhằm đánh cắp tin tức từ những tổ chức ngoại giao, Chính phủ và quân đội khu vực Nam Á, họ kết luận rằng kẻ tiến công đứng đằng sau chiến dịch này chính là PLATINUM.

Đối với hoạt động của PLATINUM, các lệnh phần mềm độc hại được nhúng vào mã HTML của trang web. Lợi dụng đặc tính phím “tab” và “dấu cách” không thay đổi cách mã HTML được thể hiển thị trên trang web, nhóm hacker đã mã hóa các lệnh theo một trình tự cụ thể với hai phím này. Do đó, các lệnh này gần như chẳng thể bị phát giác trong dữ liệu đang lưu thông trên mạng.

Để phát hiện ứng dụng độc hại, các nhà nghiên cứu đã phải kiểm tra các chương trình có khả năng tải tệp lên thiết bị. Trong qui trình này, các chuyên gia nhận ra một hoạt động khác thường – như truy cập Dropbox và chỉ hoạt động vào một số thời điểm nhất định. Các nhà nghiên cứu sau đó nhận ra mục đích của vấn đề này là để che giấu hoạt động tấn công của phần mềm độc hại trong giờ làm việc – thời điểm hành vi tấn công tránh bị nghi ngờ.

Ông Alexey Shulmin, nhà nghiên cứu bảo mật tại Kaspersky cho biết: ” Trong suốt sự hiện diện của mình, các chiến dịch PLATINUM đã được lên kế hoạch rất kỹ lưỡng. Phần mềm độc hại được dùng trong cuộc tiến công này cũng không ngoại lệ – ngoài kỹ thuật ẩn mã, các tính năng khác cho phép chúng hoạt động và qua mặt radar an ninh trong thời gian dài .”

” Chẳng hạn, nó có khả năng chuyển lệnh không chỉ từ trung tâm chỉ huy mà còn từ máy bị nhiễm sang máy khác. Bằng cách này, nó cũng có thể có thể tiếp cận những thiết bị có cơ sở hạ tầng tương tự với thiết bị bị tiến công (trong tình trạng ngắt kết nối với internet) .”

” Việc phát hiện các tác nhân dọa dẫm như PLATINUM với kỹ thuật ẩn mã là một dấu hiệu cho thấy các mối dọa dẫm đang sẵn có mức độ tinh vi ngày càng tăng, và các nhà sản xuất giải pháp bảo mật cần hết sức chú ý trong qui trình phát triển sản phẩm bảo mật của mình .”

Do vậy, để né trở thành nạn nhân của cuộc tấn công, người sử dụng được khuyến cáo không nên tải xuống và khởi chạy bất kỳ phần mềm hoặc chương trình nào từ các người gửi không đáng tin cậy. Ngoài ra trên máy tính người dùng nên cài đặt các biện pháp phần mềm bảo mật có thể phát hiện sớm cuộc tấn công.