Năm 2017, Việt Nam là nước chủ nhà của Diễn đàn Hợp tác kinh tế châu Á - Thái Bình Dương (Asia - Pacific Economic Cooperation - APEC). Các hoạt động phục vụ cho Tuần lễ cấp cao APEC (diễn ra vào tháng 11/2017 tại Đà Nẵng) đã diễn ra từ cuối năm 2016. Từ đầu năm 2017 đến nay, nhiều Hội nghị quan chức cấp cao đã diễn ra tại nhiều địa điểm ở Việt Nam.
Nhằm đánh cắp các thông tin về Hội nghị APEC, từ tháng 3/2017 tin tặc đã thực hiện tấn công vào một số cơ quan Chính phủ của Việt Nam. Thủ đoạn mà các tin tặc sử dụng là đính kèm các tập tin (chứa mã độc Trojan.Farfli) trong email giả mạo gửi đến. Khi người dùng mở email, Trojan.Farfli sẽ xâm nhập vào hệ thống và đánh cắp các tài liệu, thông tin của người dùng. Mục tiêu cuối cùng của loại mã độc này là tìm kiếm và đánh cắp các nội dung có liên quan đến các đề xuất mà Chính phủ Việt Nam sẽ đưa ra tại Hội nghị cấp cao APEC sắp tới.
Các chuyên gia của Trung tâm CNTT&GSANM cho biết, mã độc Trojan.Farfli có nhiều điểm tương đồng với loại mã độc có tên PlugX (a.k.a. SOGU, Korplug) đã xuất hiện vào tháng 5 và 6/2015, tấn công vào các quốc gia thuộc khu vực châu Á – Thái Bình Dương.

Bảng 1: Các mẫu liên quan đến các hoạt động tấn công mã độc

Qua theo dõi, vào các ngày 6,7,14 tháng 3/2017, đã phát hiện một máy chủ của một cơ quan thuộc chính phủ Việt Nam đã bị tấn công bằng mã độc Trojan.Farfli, với các đặc điểm sau:

- Tập tin word có tên "Hợp tác kinh tế Châu Á Thái Bình Dương năm 2017 – 2020 (mard).doc” được gửi đính kèm trong một email giả mạo. Mẫu mã độc (MD5: 293b297852eed02726be916bc43c81f4) chạy song song cùng link phim nổi tiếng Kingkong (CSIDL_COMMON_APPDATA \ basekst \ kingkong.dll) được công chiếu vào cùng thời điểm này.
Máy chủ ra lệnh và điều khiển (tên miền msdns.otzo.com) có địa chỉ IP là 45.121.146.26. Địa chỉ IP này được đăng ký bởi TheGigabit, một nhà cung cấp địa chỉ Hosting tại Malaysia.
Ngoài ra, còn phát hiện một IP từ Việt Nam gửi 2 tài liệu đến các cơ quan chính phủ vào ngày 23 và 28/3/2017 như sau:
- APEC-SMEWG Strategic Plan 2017-2020.doc (MD5: 2030ce7a53ac9846086f60c691b3f9db)
- APEC Strategic Plan 2017-2020(final).doc (MD5: bc41f57ea481c94c97e8ff23735e141b)
Khi mở các tập tin này, thì đồng thời sẽ kích hoạt mã độc và ngay lập tức mã độc này sẽ khai thác lỗ hổng có định danh CVE-2014-4114.
Khi kiểm tra hai mẫu trên, các chuyên gia đã phát hiện có mã độc kết nối tới một địa chỉ website tại Trung Quốc http://ip138.com trước khi có kết nối với máy chủ C&C: ftp.chinhphu.ddns.ms và www.microsoft.https443.org. Cả hai tên miền cùng có địa chỉ IP là 45.121.146.26 – giống với địa chỉ sử dụng trong hành vi của Trojan.Farfli ngày 6, 7 và 14 tháng 3/2017 (hình 1).

Hình 1: Kết nối C&C giữa các mẫu Trojan.Farfli

Cách thức hoạt động của mã độc Trojan.Farfli như sau:
Khi nhiễm vào máy tính, Trojan.Farfli sẽ ghi vào những vị trí sau của registry:
- %ALLUSERSPROFILE%\BaseKst\KingKong.dll
- %ALLUSERSPROFILE%\BaseKst\KingKong
- %ALLUSERSPROFILE%\BaseKst\drv1028.sys
Mã độc Trojan.Farfli payload sẽ thực thi như sau:
rundll32.exe rundll32 "%ALLUSERSPROFILE%\BaseKst\KingKong.dll", Install.
Tiếp theo Trojan.Farfli sẽ ghi vào registry để có thể chạy như một dịch vụ nền:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaControl\Parameters\"serviceDll"
- "%SYSTEMROOT%\Documents and Settings\All Users\BaseKst\KingKong.dll"
Sau đó, Trojan.Farfli sẽ kết nối tới máy chủ C&C trước khi thực thi hành động và gửi các thông tin đánh cắp được đến máy chủ C&C, với các thao tác: mở một cửa sổ lệnh điều khiển từ xa; ghi lại thao tác bấm bàn phím; đánh cắp thông tin về máy tính và mạng; chụp ảnh màn hình.
Ngay sau khi phát hiện các cuộc tấn công có chủ đích này, Trung tâm CNTT&GSANM đã phát đi cảnh báo đến các cơ quan, tổ chức về thủ đoạn, hành vi và mục đích của các cuộc tấn công này. Các chuyên gia đánh giá, vì đây là cuộc tấn công có chủ đích, nên sẽ rất khó khăn cho các cơ quan trong việc phát hiện, ngăn chặn và xử lý.
Qua phân tích, các chuyên gia đã đưa ra một số khuyến cáo:
- Người dùng cần hết sức cảnh giác khi nhận được các email có các tài liệu đính kèm có tên file liên quan đến hội nghị APEC. Không nên mở file tài liệu đính kèm, nên forward email về Trung tâm CNTT&GSANM, Ban Cơ yếu Chính phủ (tklinh@bcy.gov.vn) để được kiểm tra, phân tích hoặc có thể chủ động tải lên trang http://www.virustotal.com để kiểm tra trực tuyến.
- Cập nhật bản vá lỗ hổng cho hệ điều hành máy tính, cập nhật mẫu cho chương trình diệt virus.
- Tuyệt đối không được download các chương trình phần mềm đã được bẻ khóa ở trên mạng về cài đặt và sử dụng.
- Download công cụ để kiểm tra hệ thống có bị nhiễm loại mã độc Trojan.Farfli tại đây

Đình Vũ