Tin tặc phát tán mã độc tới game thủ bằng tấn công chuỗi cung ứng

14:39 | 04/02/2021

Các nhà nghiên cứu tại Công ty an ninh mạng ESET (có trụ sở tại Slovakia) vừa phát hiện ra một chiến dịch gián điệp nhắm vào các game thủ trực tuyến ở châu Á thông qua một công ty phần mềm bị xâm phạm.

Chiến dịch này có tên là Operation NightScout, dường như có liên quan đến một vụ rò rỉ dữ liệu của Công ty BigNox (có trụ sở tại Hồng Kông). BigNox là công ty sở hữu của NoxPlayer, một trình giả lập Android cho phép người dùng thực thi các ứng dụng di động trên PC hoặc Mac. Trình giả lập này có tới hơn 150 triệu người dùng trên toàn thế giới và hầu hết ở châu Á.

Sau khi xâm phạm cơ chế cập nhật của NoxPlayer, tin tặc đã tiến hành đưa lên thay thế bằng một loạt các bản cập nhật độc hại, dẫn đến cho phép 03 chủng mã độc khác nhau được cài đặt trên thiết bị của một số nạn nhân được chọn.

Các nhà nghiên cứu bảo mật của ESET cho biết, việc chọn lọc mục tiêu của cuộc tấn công cho thấy mục đích của chiến dịch này là theo dõi chứ không phải thu lợi tài chính. Chỉ có 5 trong số 100.000 người dùng ESET đang sử dụng NoxPlayer trên thiết bị của mình bị phát tán bản cập nhật độc hại.

Các bản cập nhật độc hại đã được phát tán tới các nạn nhân ở Hồng Kông, Sri Lanka và Đài Loan, nhưng ESET không thể tìm thấy sự liên quan nào khác giữa các nạn nhân, ngoài việc sử dụng cùng một trình giả lập chơi game.

ESET tiết lộ, bên cạnh việc xâm phạm cơ sở hạ tầng của BigNox để lưu trữ mã độc, tin tặc có thể đã xâm phạm cơ sở hạ tầng API HTTP của công ty. Điều này lý giải cho việc các gói tin bổ sung đã được trình cập nhật của BigNox tải xuống từ máy chủ của tin tặc.

Các nhà nghiên cứu lưu ý, điều này cho thấy trường URL được cung cấp trong phản hồi từ API của BigNox đã bị những kẻ tấn công thay đổi.

ESET cũng đã thông báo cho BigNox về những phát hiện của mình, nhưng công ty này dường như đã phủ nhận việc bị xâm phạm.

Các bản cập nhật độc hại đã được gửi đến cho nạn nhân vào tháng 9/2020, với các gói tin bổ sung được tải xuống từ cơ sở hạ tầng do tin tặc kiểm soát vào cuối năm 2020 và đầu năm 2021, hầu hết thông qua cơ chế API của BigNox.

Chủng mã độc đầu tiên được phát tán trong cuộc tấn công không chỉ cho phép tin tặc theo dõi nạn nhân, mà cũng có thể thực hiện các lệnh nhận được từ máy chủ C&C để xóa tệp, chạy lệnh, tải xuống, tải lên tệp, hoặc tải xuống thư mục.

Chủng mã độc thứ hai được ESET tiết lộ là một biến thể của Trojan truy cập từ xa Gh0st, trong đó có khả năng ghi lại hoạt động bàn phím (keylogger).

Chủng mã độc thứ ba bắt nguồn từ Trojan truy cập từ xa PoisonIvy, chỉ được đưa đến nạn nhân sau các bản cập nhật độc hại ban đầu đã được phát tán tới thiết bị.

ESET kết luận, tấn công chuỗi cung ứng trong chiến dịch Operation NightScout đáng chú ý bởi thị trường mà nó nhắm đến. Hiện nay chưa quan sát được nhiều hoạt động tấn công mạng nhắm vào người chơi game trực tuyến. Các cuộc tấn công chuỗi cung ứng sẽ tiếp tục là một hướng tấn công phổ biến được các nhóm gián điệp mạng tận dụng và sự phức tạp của của các cuộc tấn công này có thể ảnh hưởng đến việc phát hiện và giảm thiểu của chúng.