Khi mã độc trở thành dịch vụ cho thuê

19/01/2018

Các phần mềm độc hại, botnet, phishing và backdoor đang được tin tặc cung cấp như một dịch vụ thuê bao hàng tháng. Giới phát triển phần mềm độc hại đang có những bước phát triển rất đáng lưu tâm, ngoài khả năng điều chỉnh kỹ thuật để né tránh công nghệ bảo mật mới nhất họ còn gia tăng dịch vụ kinh doanh của mình để trục lợi từ việc đáp ứng nhu cầu của những kẻ tội phạm sẵn sàng chi tiền trên toàn cầu.
Vì vậy, không có gì ngạc nhiên khi có rất nhiều công nghệ mã độc, phương thức tấn công và mô hình kinh doanh mới được triển khai để phục vụ khách hàng trên thị trường “đen”. Và nhiều mã độc ngày nay được cung cấp giống như các dịch vụ điện toán đám mây mà chúng ta vẫn thường sử dụng hàng ngày. Ngoài mã độc, dữ liệu bị đánh cắp hay hàng loạt mặt hàng khác đều trên các Dark Web ngày càng được cung cấp như một dịch vụ. Sự phát triển của SaaS không chỉ hỗ trợ hoạt động kinh doanh cho doanh nghiệp mà còn tạo ra những công cụ gây họa khó lường trên không gian mạng ngày nay. Dưới đây là một số dịch vụ đáng sợ đó.

Dịch vụ của nhóm hacker The Shadow Brokers
WannaCry là một trong những phương tiện tiếp thị ấn tượng nhất mà nhóm tin tặc phía sau The Shadow Broker (TSB) đã sử dụng để khủng bố hàng loạt người dùng doanh nghiệp trong thời gian qua.
Sự bùng phát ransomware đã được lan truyền sau khi TSB đánh cắp được hàng trăm công cụ bẻ khóa của Cơ quan An ninh Quốc gia Hoa Kỳ NSA vào hồi tháng 8/2016. Sau khi nổi tiếng toàn cầu với việc phát tán mã độc tống tiền WannaCry (Wanna Decrypt0r hay WannaCrypt), nhóm TSB đã bán các công cụ khai thác và lỗ hổng zero-day mới cho các thành viên thuê bao trả phí hàng tháng thay vì chia sẻ miễn phí như trước đây. Dịch vụ này có tên gọi là “Wine of Month Club” với phí cho mỗi thành viên là 23 ngàn USD/tháng.
TSB chấp nhận mọi loại khách hàng từ tin tặc, các công ty an ninh, chính phủ, cho đến các nhà sản xuất phần cứng. Hồi tháng 4/2017, TSB tung ra dịch vụ "Dump Data of Month" dành cho các thành viên trả phí trong đó bao gồm: Bảng khai thác hệ điều hành, bao gồm Windows 10; Bảng khai thác trình duyệt web, router, và smartphone;  Dữ liệu bị tổn hại từ ngân hàng và nhà cung cấp Swift; Các thông tin bị đánh cắp trên mạng từ các chương trình tên lửa hạt nhân của Nga, Trung Quốc, Iran và Bắc Triều Tiên.
"Vào năm 2013, một nhóm hacker bí ẩn gọi là The Shadow Brokers (TSB) đã đánh cắp được một số bí mật của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). Đến năm 2016, TSB đã công bố hàng loạt các công cụ hack của NSA, bao gồm một số khai thác lỗ hổng zero-day. Những công cụ khai thác lỗ hổng này nhắm vào các tường lửa doanh nghiệp, các sản phẩm chống virus và các sản phẩm của Microsoft."

Chi phí dịch vụ tùy thuộc nhu cầu thị trường
Các công cụ khai thác mã độc hiện tại đã được nhiều nhóm tin tặc cung cấp dựa trên cơ sở SaaS. Giá thuê bao của các bộ công cụ này cũng tăng giảm theo một số xu hướng thị trường đen – bao gồm cả những xu hướng độc nhất vô nhị như tự động ẩn mình trước các cuộc điều tra của cơ quan an ninh.
Theo hãng nghiên cứu CheckPoint, hồi năm 2016, khi bộ công cụ khai thác lỗi có tên là Angler biến mất khỏi thị trường thì một bộ công cụ khác là Neutrino đã tăng giá gấp đôi chỉ sau một đêm, từ 3,5 ngàn USD lên 7 ngàn USD.
Đấy là các bộ công cụ tấn công diện rộng, còn bảng giá dành cho các dịch vụ cá nhân hiện vẫn chưa biến động mấy. Bảng giá cho việc bẻ khóa hòm thư Gmail, Hotmail và Yahoo tại Mỹ vào khoảng 129 USD, đối với mục tiêu là người dùng doanh nghiệp thì chi phí có thể lên đến 500 USD. Các cuộc tấn công DDoS được tính theo giờ, ngày hoặc tuần, chi phí từ 5 USD đến 555 USD.
Trong bảng giá dành cho mục tiêu người dùng cá nhân thì dịch vụ tấn công tài khoản mạng xã hội biến động theo từng thị trường. Để truy cập vào tài khoản như Facebook và Twitter tại Mỹ, khách hàng phải trả trên 129 USD hay các mạng xã hội của Nga như VK.ru hay Ok.ru thì giá sẽ là 194 USD. Tại Việt Nam cũng có bảng giá cho việc hack tài khoản Facebook với giá từ 50 – 100 USD.
Trước khi biến mất, Angler là bộ công cụ được phổ biến nhiều nhất, tiếp theo đó là Nuclear. Fiesta, Magnitude, FlashPack, Neutrino vẫn còn phổ biến cho tới ngày nay nhưng chưa có ai có thể qua mặt được Angler.
Cho thuê IoT Botnet
2.jpg

Dịch vụ cho thuê botnet trở nên sôi động khi xuất hiện các cuộc tấn công từ chối dịch vụ DDoS từ hệ thống các thiết bị Internet of Thing. Đây là loại botnet không được xây dựng để điều khiển các máy tính mà hướng đến các thiết bị IoT.
Năm 2016, mã nguồn của “Mirai" - mạng lưới các máy quay kết nối Internet và các thiết bị "Internet of things" khác bị lợi dụng để tấn công DDoS đã được công bố.
Tin tặc lợi dụng mã nguồn của Mirai để lây nhiễm sang các thiết bị IoT nhằm tạo ra một cuộc tấn công DDoS vào website KrebsOnSecurity, đây là cuộc tấn công từ chối dịch vụ đạt kỷ lục với lưu lượng 620 Gbps từ các thiết bị IoT bị nhiễm. Tiếp theo đó là OVH - công ty cung cấp dịch vụ hosting của Pháp phải hứng chịu đồng thời 2 đợt tấn công DDoS, khiến băng thông kết hợp đạt đến gần 1 Tbps.
Sau nhiều cuộc tấn công với mục đích quảng bá nhắm vào các doanh nghiệp sử dụng nhà cung cấp DNS là Dyn như Twitter, Netflix, Spotify, Reddit… dịch vụ thuê bao botnet Mirai ra đời.
Dịch vụ botnet Mirai có thể cung cấp tới 400 ngàn thiết bị lây nhiễm; mức giá giao động từ 3 ngàn USD cho một chiến dịch DDoS kéo dài 2 tuần với 50 ngàn thiết bị tấn công cho đến 7,5 ngàn USD cho dịch vụ 100 ngàn thiết bị bot.
"Bộ công cụ khai thác mã độc là nhánh nhỏ của phần mềm chạy trên máy chủ và tìm kiếm lỗ hổng trên máy tính của người truy cập vào máy chủ. Chúng được thiết kế để phát hiện các lỗ hổng bảo mật trong trình duyệt, cũng như là các ứng dụng khác như Flash và Java. Đặc biệt rất dễ sử dụng- thậm chí những hacker mới chưa có kinh nghiệm cũng không gặp vấn đề gì với quá trình cài đặt và sử dụng."
Dịch vụ mô-đun mã độc
Cũng giống như các dịch vụ cung cấp các lựa chọn và tiện ích theo yêu cầu để thỏa mãn người mua, tin tặc đưa ra các giải pháp để đáp ứng nhu cầu của khác hàng. Hồi tháng 5/2017, Terbium Labs và các nhà nghiên cứu của CheckPoint đã mô tả chi tiết một dịch vụ botnet dạng mô-đun được gọi là DiamondFox cung cấp nhiều tùy chọn khác nhau để người dùng lựa chọn.
Giao diện quản lý của hệ thống này được đánh giá là rất chuyên nghiệp và thân thiện. Với DiamondFox, người dùng chỉ cần mua một sản phẩm duy nhất là có quyền truy cập loạt các tính năng, dưới dạng plugin và có thể lập kế hoạch cũng như thực hiện nhiều chiến dịch tấn công mạng từ đánh cắp thông tin xác thực cho đến tấn công DDoS.
Cho đến nay, botnet của DiamondFox dường như là giải pháp đơn giản dành cho bất kì người dùng nào muốn tập làm hacker. Các nhà cung cấp phần mềm độc hại đứng đằng sau DiamondFox là Edbitss  đã đầu tư khá nhiều vào việc nâng cấp, cải tiến bộ công cụ này, mọi thay đổi cập nhật đều được ghi chép cẩn thận và chia sẻ với những người mua tiềm năng. Giá khởi điểm cho dịch vụ DiamondFox là khoảng  300 USD, với các plugin bổ sung thì có giá là 150 USD.
“Hãng bảo mật Symantec đưa ra một cảnh báo rằng các thiết bị IoT không an toàn đang ngày càng bị tấn công nhiều và bị điều khiển để khởi động các cuộc tấn công DDoS. Symantec nhận định một lượng lớn các chương trình mã độc nhắm vào mục đích DDoS có thể đã lây nhiễm nhiều hệ thống chạy trên nền Linux từ năm 2015 và sẽ tiếp tục tăng mạnh. Những mối nguy hại này được lập trình để chạy trên firmware nền Linux cho các kiến trúc CPU thường dùng trong các thiết bị nhúng và IoT.
Báo cáo của Symantec cũng cho biết hầu hết hệ thống này không bị xâm nhập qua các lỗ hổng tinh vi, mà là do thiếu những bước bảo mật cơ bản. Nhờ vào sự phổ biến của Internet, những kẻ tấn công thường tìm kiếm các thiết bị mở sẵn cổng Telnet hay SSH, và cố gắng đăng nhập với thông tin quản trị mặc định. Chỉ đơn giản như thế, chúng đã có thể xây dựng một mạng lưới botnet IoT rộng khắp như ngày nay. Khi mà các cuộc tấn công DDoS dùng sức mạnh IoT bắt đầu đạt đến tầm không thể kiểm soát được, thì những dấu hiệu cảnh báo trước kia đang dần hiện rõ.
Đơn cử, hồi tháng 10/2015, hãng bảo mật Incapsula đối mặt với cuộc tấn công DDoS xuất phát từ khoảng 900 camera quan sát CCTV (closed-circuit television camera). Đến tháng 6/2016, Arbor Networks - nhà cung cấp dịch vụ bảo vệ trước DDoS cũng cảnh báo hiện có hơn 100 botnet đã được xây dựng bằng nhiều thiết bị nhúng bị nhiễm mã độc nền Linux.”

Mã độc tống tiền như một dịch vụ - Ransomware-as-a-service
Sự bùng nổ của mã độc tống tiền hiện nay đi liền với sự gia tăng của mô hình phân phối mã độc như một dịch vụ.
Một trong những điểm nhấn của loại hình kinh doanh mã độc này là chương trình đánh cắp dữ liệu Tox. Phần mềm độc hại này có mô hình kinh doanh độc đáo dựa trên việc chia sẻ lợi nhuận. Tác giả của Tox không yêu cầu phải trả lệ phí trước nhưng yêu cầu được nhận 20% cho bất kỳ khoản tiền chuộc nào mà nạn nhân trả cho người sử dụng. Tox biến mất khỏi thị trường khá sớm nhưng đã để lại dấu chân cho những nhóm tin tặc khác tiến bước.
Chia sẻ lợi nhuận dường như là một nước cờ khá văn minh khi tất cả mọi người tham gia đều có phần, điều đó cũng khiến mã độc gia tăng đáng kể trong thời gian vừa qua. Theo nhiều báo cáo của các nhà nghiên cứu bảo mật thì tác giả của Cerber đã kiếm được 40% tiền chuộc trả cho người sử dụng các dịch vụ của họ.
Tấn công lừa đảo như một dịch vụ - Phishing-as-a-Service
Phishing là một trò chơi mang đậm sự tính toán, may mắn và kết thúc rất nhanh vì thế nó là một trong những dịch vụ của các nhóm tội phạm mạng có giá rẻ nhất hiện nay. Một nền tảng được phát hiện bởi Fortinet cung cấp gói dịch vụ tấn công lừa đảo VIP cho từng thị trường chỉ với giá 3,5 USD mỗi tháng.
Báo cáo 'Phishing made easy' của hãng bảo mật Imperva đã mô tả cách thức hoạt động của Phishing-as-a-Service (PhaaS) trên thị trường chợ đen của Nga rằng “đây là giải pháp hoàn chỉnh cho người mới bắt đầu bao gồm cơ sở dữ liệu của email, mẫu lừa đảo và một cơ sở dữ liệu phụ trợ để lưu trữ thông tin được đánh cắp.
Để vận hành PhaaS, tin tặc có thể lựa chọn từ nhiều trang lừa đảo tiềm ẩn - bao gồm phương tiện truyền thông xã hội, ngân hàng, bán lẻ, viễn thông, tiện ích, trò chơi và hẹn hò để gửi liên kết tới các nạn nhân. Bất kỳ thông tin đăng nhập nào đã bị đánh cắp sẽ được lưu trữ trên bảng điều khiển cá nhân của tin tặc.
Báo cáo cũng chỉ ra rằng, có khoảng 67 ngàn người đã sử dụng dịch vụ PhaaS và trung bình 65 ngàn người mỗi tháng bị đánh cắp dữ liệu.
Các nhà nghiên cứu cũng cho biết một chiến dịch sử dụng các trang lừa đảo, máy chủ spam, danh sách 100 ngàn địa chỉ email, và truy cập vào máy chủ bị xâm nhập có thể được thực hiện với mức giá chỉ 27 USD.
Trước đây, một nhóm hacker Indonesia đã sử dụng dạng dịch vụ PhaaS để thực hiện các chiến dịch tấn công lừa đảo liên quan đến ứng dụng web của Outlook, ngân hàng trực tuyến của Wells Fargo và tệp PDF của Adobe.
3.jpg

Backdoor-as-a-Service
Gia đình mã độc dựa trên nền tảng Java gồm các thành viên như JSocket, jRAT, AlienSpy hay Adwind đã từng có những cuộc tấn công đình đám nhắm vào các hệ điều hành Windows, Linux, Mac OS X và thiết bị Android từ năm 2013 nay đã quay trở lại với giải pháp mới: Backdoor như một dịch vụ (Backdoor-as-a-Service). Dịch vụ Backdoor này được phát hiện sau một cuộc tấn công nhắm vào nhân viên ngân hàng ở Singapore. Mã độc AlienSpy hoặc Adawind phần lớn đã bị đánh sập và ngăn chặn bởi nhà cung cấp tên miền GoDaddy hồi năm 2015 nhưng chúng đã được sửa đổi với thương hiệu mới và mở lại dịch vụ cho khách hàng là những kẻ lừa đảo Nigeria.
AlienSpy được hồi sinh dưới cái tên JSocket và jRat có giá thuê bao từ 30 USD/tháng đến 200 USD cho phiên bản không giới hạn. JSocket bao gồm một số tính năng "RAT" điển hình (công cụ truy cập từ xa) bao gồm quay video từ webcam, ghi âm thanh từ micro, khả năng phát hiện phần mềm chống virus trên hệ thống, keylogger cho đến các khóa ảo được sử dụng để truy cập vào bất kỳ VPN nào được sử dụng bởi nạn nhân.
“Cerber có mối đe dọa cao với khả năng mã hóa các tập tin của người sử dụng và sau đó cung cấp tính năng TTS (text-to-speech) để nạn nhân nhận được thông điệp về khoản tiền chuộc. Mã độc này chủ yếu lây nhiễm theo phương thức đính kèm trong mail, link độc hại trên web, trong các ứng dụng chat, Skype…  Sau khi mã hóa dữ liệu trên máy tính nạn nhân, mã độc này sẽ để lại những thông báo đòi tiền chuộc ở dạng .TXT, HTML và VBS tại mỗi thư mục có chứa dữ liệu bị mã hóa. Mã độc này đòi tiền chuộc 1,24 Bitcoin (giá trị thời điểm đó vào khoảng hơn 500 USD) và khoản tiền này tăng lên gấp đôi nếu như sau 1 tuần nạn nhân không trả tiền chuộc.”