Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại virus máy tính mới liên quan đến nhóm gián điệp mạng do Stealth Falcon tài trợ, lạm dụng một thành phần tích hợp trong hệ điều hành Microsoft Windows để lén lút dữ liệu bị đánh cắp đến máy chủ do kẻ tấn công kiểm soát.
Hoạt động từ năm 2012, Stealth Falcon là một nhóm hack tinh vi được biết đến với mục tiêu là các nhà báo, nhà hoạt động và nhà bất đồng chính kiến với phần mềm gián điệp ở Trung Đông, chủ yếu ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE).
Được đặt tên là Win32 / StealthFalcon , được đặt tên theo nhóm hack, phần mềm độc hại giao tiếp và gửi dữ liệu được thu thập đến các máy chủ chỉ huy và kiểm soát từ xa (C & C) của nó bằng Dịch vụ chuyển giao thông minh nền tảng Windows (BITS).
BITS là một giao thức truyền thông trong Windows, sử dụng băng thông mạng không được sử dụng để tạo điều kiện cho việc chuyển các tệp không đồng bộ, ưu tiên và điều chỉnh giữa các máy ở nền trước hoặc nền mà không ảnh hưởng đến trải nghiệm mạng.
BITS thường được sử dụng bởi các trình cập nhật phần mềm, bao gồm tải xuống các tệp từ máy chủ của Microsoft hoặc các máy ngang hàng để cài đặt các bản cập nhật trên Windows 10, trình nhắn tin và các ứng dụng khác được thiết kế để hoạt động ở chế độ nền.
Theo các nhà nghiên cứu bảo mật tại công ty bảo mật không gian mạng ESET, vì các nhiệm vụ BITS có thể được cho phép bởi tường lửa dựa trên máy chủ và chức năng tự động điều chỉnh tốc độ truyền dữ liệu, nó cho phép phần mềm độc hại hoạt động lén lút trong nền mà không cần treo cờ đỏ.
“So với giao tiếp truyền thống thông qua các chức năng API, cơ chế BITS được bộc lộ qua giao diện COM và do đó khó phát hiện sản phẩm bảo mật hơn”, các nhà nghiên cứu cho biết trong một báo cáo được công bố hôm nay.
“Việc chuyển tiền sẽ tự động trở lại sau khi bị gián đoạn vì các lý do như mất mạng, người dùng đăng xuất hoặc khởi động lại hệ thống.”
Bên cạnh đó, thay vì lọc dữ liệu được thu thập trong văn bản thuần túy, phần mềm độc hại trước tiên tạo một bản sao được mã hóa của dữ liệu đó và sau đó tải bản sao lên máy chủ C & C thông qua giao thức BITS.
Sau khi thực hiện thành công dữ liệu bị đánh cắp, phần mềm độc hại sẽ tự động xóa tất cả các tệp nhật ký và thu thập sau khi viết lại chúng với dữ liệu ngẫu nhiên để ngăn phân tích pháp y và phục hồi dữ liệu bị xóa.
Như đã giải thích trong báo cáo, back32 Win32 / StealthFalcon không chỉ được thiết kế để đánh cắp dữ liệu từ các hệ thống bị xâm nhập mà còn có thể được những kẻ tấn công sử dụng để triển khai thêm các công cụ độc hại và cập nhật cấu hình của nó bằng cách gửi lệnh qua máy chủ C & C.
“Backdoor Win32 / StealthFalcon, dường như đã được tạo ra vào năm 2015, cho phép kẻ tấn công điều khiển máy tính bị xâm nhập từ xa. Chúng tôi đã thấy một số lượng nhỏ các mục tiêu ở UAE, Ả Rập Saudi, Thái Lan và Hà Lan; , mục tiêu là một nhiệm vụ ngoại giao của một quốc gia Trung Đông, “các nhà nghiên cứu nói.
Theo các nhà nghiên cứu, phần mềm độc hại mới được phát hiện này chia sẻ các máy chủ C & C và cơ sở mã của họ với một backdoor dựa trên PowerShell được gán cho nhóm Stealth Falcon và được theo dõi bởi Citizen Lab vào năm 2016.