LABSCON – Scottsdale, Ariz. – Một tác nhân đe dọa mới đã lây nhiễm một công ty viễn thông ở Trung Đông và nhiều nhà cung cấp dịch vụ Internet và trường đại học ở Trung Đông và Châu Phi, chịu trách nhiệm về hai nền tảng phần mềm độc hại “cực kỳ phức tạp” - nhưng có rất nhiều về nhóm vẫn còn là bí ẩn, theo nghiên cứu mới được tiết lộ ở đây ngày hôm nay.
Các nhà nghiên cứu từ SentintelLabs, người đã chia sẻ phát hiện của họ tại hội nghị bảo mật LabsCon lần đầu tiên, đã đặt tên cho nhóm là Metador, dựa trên cụm từ “I am meta” xuất hiện trong mã độc và thực tế là các thông báo trên máy chủ thường bằng tiếng Tây Ban Nha. Nhóm này được cho là đã hoạt động từ tháng 2020 năm XNUMX nhưng đã bay thành công dưới tầm radar trong vài năm qua. Juan Andrés Guerrero-Saade, giám đốc cấp cao của SentinelLabs, cho biết nhóm đã chia sẻ thông tin về Metador với các nhà nghiên cứu tại các công ty bảo mật và đối tác chính phủ khác, nhưng không ai biết gì về nhóm.
Các nhà nghiên cứu Guerrero-Saade và SentinelLabs, Amitai Ben Shushan Ehrlich và Aleksandar Milenkoski đã xuất bản một blog đăng bài và chi tiết kỹ thuật về hai nền tảng phần mềm độc hại là metaMain và Mafalda với hy vọng tìm được thêm nhiều nạn nhân bị lây nhiễm. Guerrero-Saade nói: “Chúng tôi biết họ đang ở đâu chứ không phải hiện tại họ đang ở đâu.
MetaMain là một cửa hậu có thể ghi lại hoạt động của chuột và bàn phím, lấy ảnh chụp màn hình cũng như exfiltrate dữ liệu và tệp. Nó cũng có thể được sử dụng để cài đặt Mafalda, một khuôn khổ mô-đun cao cung cấp cho những kẻ tấn công khả năng thu thập thông tin hệ thống và mạng cũng như các khả năng bổ sung khác. Cả metaMain và Mafalda đều hoạt động hoàn toàn trong bộ nhớ và không tự cài đặt trên ổ cứng của hệ thống.
Truyện tranh chính trị
Tên của phần mềm độc hại được cho là lấy cảm hứng từ Mafalda, một phim hoạt hình bằng tiếng Tây Ban Nha nổi tiếng của Argentina thường bình luận về các chủ đề chính trị.
Metador thiết lập các địa chỉ IP duy nhất cho mỗi nạn nhân, đảm bảo rằng ngay cả khi một lệnh và quyền kiểm soát bị phát hiện thì phần còn lại của cơ sở hạ tầng vẫn hoạt động. Điều này cũng khiến việc tìm kiếm các nạn nhân khác trở nên vô cùng khó khăn. Thông thường, khi các nhà nghiên cứu khám phá cơ sở hạ tầng tấn công, họ tìm thấy thông tin của nhiều nạn nhân - điều này giúp vạch ra phạm vi hoạt động của nhóm. Vì Metador tách biệt các chiến dịch mục tiêu của mình nên các nhà nghiên cứu chỉ có cái nhìn hạn chế về hoạt động của Metador và loại nạn nhân mà nhóm đang nhắm mục tiêu.
Tuy nhiên, điều mà nhóm này dường như không bận tâm là việc trà trộn vào các nhóm tấn công khác. Các nhà nghiên cứu nhận thấy công ty viễn thông Trung Đông là một trong những nạn nhân của Metador đã bị ít nhất 10 nhóm tấn công quốc gia khác xâm phạm. Nhiều nhóm khác dường như có liên kết với Trung Quốc và Iran.
Nhiều nhóm mối đe dọa nhắm mục tiêu vào cùng một hệ thống đôi khi được coi là “nam châm thu hút các mối đe dọa”, vì chúng thu hút và lưu trữ các nhóm và nền tảng phần mềm độc hại khác nhau cùng một lúc. Nhiều tác nhân quốc gia dành thời gian để xóa dấu vết lây nhiễm của các nhóm khác, thậm chí còn vá các lỗ hổng mà các nhóm khác đã sử dụng trước khi thực hiện các hoạt động tấn công của riêng họ. Các nhà nghiên cứu của SentinelLabs cho biết, việc Metador lây nhiễm phần mềm độc hại trên một hệ thống đã bị các nhóm khác xâm phạm (liên tục) cho thấy nhóm này không quan tâm đến những gì các nhóm khác sẽ làm.
Có thể công ty viễn thông đó là mục tiêu có giá trị cao mà nhóm sẵn sàng mạo hiểm phát hiện vì sự hiện diện của nhiều nhóm trên cùng một hệ thống làm tăng khả năng nạn nhân nhận thấy điều gì đó không ổn.
Cá mập tấn công
Mặc dù nhóm này dường như có nguồn lực cực kỳ tốt - bằng chứng là sự phức tạp về mặt kỹ thuật của phần mềm độc hại, bảo mật hoạt động nâng cao của nhóm để tránh bị phát hiện và thực tế là nó đang được phát triển tích cực - Guerrero-Saade cảnh báo rằng điều đó là chưa đủ để xác định rằng có sự tham gia của quốc gia-nhà nước. Geurrero-Saade cho biết, có thể Metador là sản phẩm của một nhà thầu làm việc thay mặt cho một quốc gia, vì có những dấu hiệu cho thấy nhóm này rất chuyên nghiệp. Và các thành viên có thể đã có kinh nghiệm thực hiện các cuộc tấn công kiểu này ở cấp độ này, ông lưu ý.
Các nhà nghiên cứu viết: “Chúng tôi coi việc phát hiện ra Metador giống như một chiếc vây cá mập nổi lên trên mặt nước và lưu ý rằng họ không biết chuyện gì đang xảy ra bên dưới. “Đó là một nguyên nhân dẫn đến điềm báo chứng minh sự cần thiết của ngành bảo mật phải chủ động thiết kế theo hướng phát hiện lớp vỏ trên thực sự của các tác nhân đe dọa hiện đang xâm nhập vào các mạng mà không bị trừng phạt.”
