ORB: Cách thức ưa thích mới của các nhóm hacker để che giấu các cuộc tấn công của họ

  • Post category:computer


Các nhóm gián điệp mạng đang khiến việc phát hiện các cuộc tấn công của chúng đến từ đâu trở nên khó khăn hơn bằng cách tăng cường sử dụng mạng proxy – được gọi là mạng hộp chuyển tiếp hoạt động hoặc ORB – có thể khiến những người phòng thủ mất cảnh giác.

Công ty an ninh mạng Mandiant đã cảnh báo rằng họ nhận thấy xu hướng ngày càng tăng của các hoạt động gián điệp do Trung Quốc hậu thuẫn, đặc biệt là sử dụng ORB để che dấu vết.

Các mạng ORB này hơi giống các botnet và có thể được tạo thành từ các máy chủ riêng ảo (VPS), cũng như các thiết bị Internet vạn vật (IoT) bị xâm phạm và các bộ định tuyến không an toàn. Sự kết hợp này khiến những người phòng thủ khó theo dõi các cuộc tấn công hơn vì những nhóm này có thể ngụy trang lưu lượng truy cập giữa cơ sở hạ tầng chỉ huy và kiểm soát và các mục tiêu cuối cùng của họ.

Michael Raggi, nhà phân tích chính của Mandiant tại Google Cloud, cho biết mạng ORB là một trong những cải tiến lớn trong hoạt động gián điệp mạng của Trung Quốc, thách thức những người bảo vệ.

“Chúng giống như một mê cung liên tục được cấu hình lại với lối vào và lối ra biến mất khỏi mê cung cứ sau 60 đến 90 ngày,” ông nói. “Để nhắm mục tiêu vào ai đó, những kẻ này có thể đến từ bộ định tuyến gia đình ngay dưới phố. Không có gì lạ khi bộ định tuyến tại nhà của một người hoàn toàn vô tình dính vào một hành động gián điệp.”

Các mạng này thường được xây dựng bằng cách thuê VPS và sử dụng phần mềm độc hại được thiết kế để nhắm mục tiêu vào các bộ định tuyến nhằm tăng số lượng thiết bị có khả năng chuyển tiếp lưu lượng truy cập. Do cấu trúc của các mạng này thay đổi nhanh chóng nên việc sử dụng mạng ORB khiến việc phát hiện các cuộc tấn công và ghim chúng vào một nhóm cụ thể về mặt phân bổ trở nên khó khăn hơn.

Điều đó làm cho các chỉ báo cổ điển về sự thỏa hiệp (IOC) – các chi tiết công nghệ và manh mối thường được chia sẻ về các cuộc tấn công – ít hữu ích hơn vì các nhóm này sẽ thường xuyên duyệt qua cơ sở hạ tầng mạng.

Mandiant cho biết, quy mô của các mạng này có nghĩa là những kẻ tấn công có thể lợi dụng các thiết bị có vị trí địa lý gần với các doanh nghiệp mục tiêu. Điều đó cho phép lưu lượng truy cập độc hại của họ hòa trộn khi được các nhà phân tích xem xét.

Báo cáo của Mandiant cho biết: “Một ví dụ như vậy là lưu lượng truy cập từ một ISP dân cư ở cùng vị trí địa lý với mục tiêu được nhân viên sử dụng thường xuyên và sẽ ít có khả năng được chọn để xem xét thủ công hơn”.

Do đó, công ty bảo mật cho biết, đội ngũ bảo mật doanh nghiệp nên thay đổi suy nghĩ. Điều đó có nghĩa là thay vì coi mạng ORB chỉ là một phần của cơ sở hạ tầng được kẻ tấn công sử dụng, chúng nên theo dõi ORB “giống như các thực thể đang phát triển gần giống với các nhóm APT (mối đe dọa dai dẳng nâng cao)”.

Mạng ORB không phải là một phát minh mới và thường xuyên được sử dụng như một phần của các chiến dịch gián điệp nhằm che giấu kẻ tấn công là ai và chúng ở đâu. Nhưng Mandiant cho biết việc sử dụng các mạng lưới này của các nhóm gián điệp được Trung Quốc hậu thuẫn đã trở nên phổ biến hơn trong những năm gần đây.

Các ORB này là mạng lưới cơ sở hạ tầng do các nhà thầu hoặc những người khác ở Trung Quốc điều hành. Chúng không bị kiểm soát bởi một nhóm gián điệp hoặc nhóm hack APT duy nhất mà được chia sẻ giữa chúng, điều mà Mandiant cho biết có nghĩa là nhiều tác nhân APT sẽ sử dụng mạng ORB để thực hiện hoạt động gián điệp và trinh sát riêng biệt của riêng họ.

Cơ sở hạ tầng này thường xuyên thay đổi – tuổi thọ của địa chỉ IPv4 được liên kết với nút ORB có thể chỉ là 31 ngày. Mandiant cho biết điểm khác biệt mang tính cạnh tranh giữa các nhà thầu mạng ORB ở Trung Quốc dường như là khả năng xoay vòng tỷ lệ phần trăm đáng kể của cơ sở hạ tầng bị xâm phạm hoặc cho thuê hàng tháng.

Điều đó có nghĩa là chỉ chặn cơ sở hạ tầng được liên kết với mạng ORB tại một thời điểm cụ thể sẽ không hiệu quả như trường hợp trước đây. Mandiant cho biết: “Kết quả là sự tuyệt chủng của IOC đang gia tăng và thời hạn sử dụng của các chỉ số mạng ngày càng giảm”.

“Cơ sở hạ tầng hoặc thiết bị bộ định tuyến bị xâm nhập giao tiếp với môi trường nạn nhân giờ đây có thể được nhận dạng bởi một mạng ORB cụ thể, trong khi tác nhân sử dụng mạng ORB đó để thực hiện cuộc tấn công có thể không rõ ràng và yêu cầu điều tra các công cụ và chiến thuật phức tạp được quan sát như một phần của một sự xâm nhập,” báo cáo cho biết.

John Hultquist, nhà phân tích chính của Mandiant, Google Cloud, nói thêm: “Hoạt động gián điệp mạng của Trung Quốc đã từng rất ồn ào và dễ bị theo dõi. Đây là một loại đối thủ mới.”

Các nút trong mạng ORB thường được phân phối trên toàn cầu. Mandiant đưa ra ví dụ về một mạng mà nó theo dõi là ORB3 hoặc Spacehop, được mô tả là một mạng rất tích cực được nhiều nhóm được Trung Quốc hậu thuẫn sử dụng.

Nó sử dụng một máy chủ chuyển tiếp được các nhà cung cấp đám mây lưu trữ ở Hồng Kông hoặc Trung Quốc, trong khi các nút chuyển tiếp thường là hình ảnh dựa trên Linux được sao chép, được sử dụng để ủy quyền lưu lượng truy cập mạng độc hại qua mạng đến nút thoát giao tiếp với môi trường nạn nhân được nhắm mục tiêu.

Mandiant cho biết điều đáng chú ý là mạng này có “khối lượng mạnh mẽ” các nút ở Châu Âu, Trung Đông và Hoa Kỳ – tất cả đều là những khu vực được APT15 và ATP5 do Trung Quốc hậu thuẫn nhắm đến.

Ngược lại, một mạng khác mà Mandiant theo dõi (được gọi là ORB2 hoặc Florahox) cũng có các bộ định tuyến mạng và thiết bị IOT bị xâm nhập. Mạng dường như chứa một số mạng con bao gồm các thiết bị bị xâm nhập được sử dụng bởi bộ cấy bộ định tuyến có tên Flowerwater.

Mandiant nói rằng tất cả những điều này tạo ra một vấn đề cho những người bảo vệ, bởi vì thay vì chỉ chặn cơ sở hạ tầng liên quan đến những kẻ tấn công, giờ đây họ phải xem xét cơ sở hạ tầng nào là một phần của mạng ORB ngay bây giờ, trong bao lâu và ai đang sử dụng mạng ORB.

Mandiant nói thêm rằng cách tốt nhất để đối phó với thách thức do mạng ORB đặt ra là ngừng theo dõi cơ sở hạ tầng chỉ huy và kiểm soát gián điệp như một chỉ báo trơ về sự thỏa hiệp và bắt đầu theo dõi nó như một thực thể.

“Thay vào đó, cơ sở hạ tầng là một tạo phẩm sống của mạng ORB, là một thực thể riêng biệt và đang phát triển, trong đó các đặc điểm của cơ sở hạ tầng IP, bao gồm cổng, dịch vụ và dữ liệu đăng ký/lưu trữ, có thể được theo dõi dưới dạng hành vi phát triển của quản trị viên đối thủ chịu trách nhiệm về mạng ORB đó,” Mandiant nói.

Nó cảnh báo rằng sự trỗi dậy của ngành công nghiệp ORB ở Trung Quốc cho thấy các khoản đầu tư dài hạn vào việc trang bị cho các hoạt động mạng do Trung Quốc hậu thuẫn những chiến thuật và công cụ tinh vi hơn.

Mandiant cho biết: “Việc những người bảo vệ có vượt qua được thách thức này hay không phụ thuộc vào việc các doanh nghiệp áp dụng trọng tâm chiến thuật sâu sắc tương tự để theo dõi mạng ORB như đã làm cho APT trong 15 năm qua”.

Trả lời