Tweet
Giải phẫu DynoWiper: Vũ khí xóa sổ dữ liệu mới của nhóm Sandworm nhắm vào hạ tầng năng lượng
Chào anh em,
Gần đây cộng đồng bảo mật quốc tế đang sục sôi vì mẫu mã độc mới có tên DynoWiper. Khác với các dòng Ransomware ồn ào mã hóa để đòi tiền, con hàng này thuộc loại Wiper – tức là sinh ra chỉ để hủy diệt. Nó được thiết kế để xóa sạch dữ liệu và khiến hệ điều hành không thể khởi động lại được, nhắm trực tiếp vào các công ty năng lượng tại châu Âu (cụ thể là Ba Lan).
Dựa trên các báo cáo phân tích từ ESET và cộng đồng tình báo mối đe dọa, mình tổng hợp lại chi tiết kỹ thuật (TTPs) của chiến dịch này để anh em nắm bắt và có phương án phòng thủ. 1. Định danh và Nguồn gốc (Attribution)
Các dấu hiệu kỹ thuật trong code của DynoWiper cho thấy nhiều điểm tương đồng với mã độc ZOV (từng tấn công Ukraine). Giới chuyên môn nhận định tác giả đứng sau không ai khác chính là nhóm Sandworm (hay còn gọi là Unit 74455), một nhóm tấn công APT khét tiếng với lịch sử đánh phá các hệ thống điều khiển công nghiệp (ICS/SCADA).
Mục tiêu của chiến dịch này không phải là tiền. Mục tiêu là phá hoại cơ sở hạ tầng, gây gián đoạn nguồn cung cấp năng lượng và tạo ra sự hỗn loạn về mặt vận hành. 2. Chuỗi tấn công (Kill Chain Analysis)
Chiến dịch này không đơn thuần là gửi một email phishing. Nó là một quy trình xâm nhập bài bản gồm nhiều giai đoạn:
Giai đoạn 1: Xâm nhập và Thleo thang đặc quyền (Initial Access & Escalation) Kẻ tấn công sử dụng các công cụ mạnh mẽ để chiếm quyền điều khiển mạng:
Giai đoạn 3: Lan truyền diện rộng (Lateral Movement) Đây là điểm đáng sợ nhất. Sau khi đã chiếm được quyền Domain Admin, kẻ tấn công không lây lan thủ công. Chúng chỉnh sửa Active Directory Group Policy (GPO) của hệ thống mạng. Bằng cách này, mã độc DynoWiper được tự động tải xuống và thực thi trên tất cả các máy trạm và máy chủ trong mạng ngay khi các máy này cập nhật chính sách. Các file thực thi độc hại thường được đặt tên giả mạo các tiến trình hệ thống như schtask.exe hoặc schtask2.exe và để trong các thư mục chia sẻ mạng (shared folder). 3. Cơ chế hoạt động của DynoWiper (Payload Execution)
Khi được kích hoạt trên máy nạn nhân, DynoWiper thực thi quy trình hủy diệt tàn khốc:
Bước 1: Quét và Định vị mục tiêu Mã độc thực hiện quét đệ quy toàn bộ các ổ đĩa đang gắn vào máy tính, bao gồm cả ổ C hệ thống và các ổ USB, ổ cứng rời.
Bước 2: Cơ chế Né tránh thông minh Để đảm bảo quá trình xóa dữ liệu diễn ra trọn vẹn mà không bị màn hình xanh chết chóc (BSOD) ngắt quãng giữa chừng, DynoWiper được lập trình để loại trừ (bỏ qua) một số thư mục hệ thống cốt lõi của Windows (như Windows, Boot, Program Data...). Điều này giữ cho hệ điều hành vẫn sống thoi thóp trong khi dữ liệu người dùng và ứng dụng đang bị xóa sạch ở nền.
Bước 3: Thuật toán Xóa dữ liệu (Wiping Logic) Khác với việc xóa file thông thường (chỉ xóa header), DynoWiper thực hiện ghi đè (overwrite) để chống phục hồi:
Sau khi quá trình xóa hoàn tất hoặc khi hệ thống được khởi động lại, máy tính sẽ không thể boot vào Windows được nữa do các file cấu hình và dữ liệu đã bị hỏng. 4. Bài học và Khuyến nghị phòng thủ (Defense Strategy)
Vụ việc này là hồi chuông cảnh tỉnh cho anh em quản trị mạng. Để chống lại các loại mã độc phá hoại kiểu này, chúng ta cần:
Gần đây cộng đồng bảo mật quốc tế đang sục sôi vì mẫu mã độc mới có tên DynoWiper. Khác với các dòng Ransomware ồn ào mã hóa để đòi tiền, con hàng này thuộc loại Wiper – tức là sinh ra chỉ để hủy diệt. Nó được thiết kế để xóa sạch dữ liệu và khiến hệ điều hành không thể khởi động lại được, nhắm trực tiếp vào các công ty năng lượng tại châu Âu (cụ thể là Ba Lan).
Dựa trên các báo cáo phân tích từ ESET và cộng đồng tình báo mối đe dọa, mình tổng hợp lại chi tiết kỹ thuật (TTPs) của chiến dịch này để anh em nắm bắt và có phương án phòng thủ. 1. Định danh và Nguồn gốc (Attribution)
Các dấu hiệu kỹ thuật trong code của DynoWiper cho thấy nhiều điểm tương đồng với mã độc ZOV (từng tấn công Ukraine). Giới chuyên môn nhận định tác giả đứng sau không ai khác chính là nhóm Sandworm (hay còn gọi là Unit 74455), một nhóm tấn công APT khét tiếng với lịch sử đánh phá các hệ thống điều khiển công nghiệp (ICS/SCADA).
Mục tiêu của chiến dịch này không phải là tiền. Mục tiêu là phá hoại cơ sở hạ tầng, gây gián đoạn nguồn cung cấp năng lượng và tạo ra sự hỗn loạn về mặt vận hành. 2. Chuỗi tấn công (Kill Chain Analysis)
Chiến dịch này không đơn thuần là gửi một email phishing. Nó là một quy trình xâm nhập bài bản gồm nhiều giai đoạn:
Giai đoạn 1: Xâm nhập và Thleo thang đặc quyền (Initial Access & Escalation) Kẻ tấn công sử dụng các công cụ mạnh mẽ để chiếm quyền điều khiển mạng:
- Rubeus: Công cụ này được dùng để tấn công vào giao thức Kerberos, thực hiện các kỹ thuật như Kerberoasting hoặc AS-REP Roasting để lấy vé chứng thực.
- LSASS Dumping: Thay vì dùng công cụ lạ dễ bị phát hiện, hacker sử dụng chính Windows Task Manager để tạo file dump của tiến trình lsass.exe. Từ file dump này, chúng trích xuất được mật khẩu hoặc mã băm (hash) của tài khoản quản trị viên.
Giai đoạn 3: Lan truyền diện rộng (Lateral Movement) Đây là điểm đáng sợ nhất. Sau khi đã chiếm được quyền Domain Admin, kẻ tấn công không lây lan thủ công. Chúng chỉnh sửa Active Directory Group Policy (GPO) của hệ thống mạng. Bằng cách này, mã độc DynoWiper được tự động tải xuống và thực thi trên tất cả các máy trạm và máy chủ trong mạng ngay khi các máy này cập nhật chính sách. Các file thực thi độc hại thường được đặt tên giả mạo các tiến trình hệ thống như schtask.exe hoặc schtask2.exe và để trong các thư mục chia sẻ mạng (shared folder). 3. Cơ chế hoạt động của DynoWiper (Payload Execution)
Khi được kích hoạt trên máy nạn nhân, DynoWiper thực thi quy trình hủy diệt tàn khốc:
Bước 1: Quét và Định vị mục tiêu Mã độc thực hiện quét đệ quy toàn bộ các ổ đĩa đang gắn vào máy tính, bao gồm cả ổ C hệ thống và các ổ USB, ổ cứng rời.
Bước 2: Cơ chế Né tránh thông minh Để đảm bảo quá trình xóa dữ liệu diễn ra trọn vẹn mà không bị màn hình xanh chết chóc (BSOD) ngắt quãng giữa chừng, DynoWiper được lập trình để loại trừ (bỏ qua) một số thư mục hệ thống cốt lõi của Windows (như Windows, Boot, Program Data...). Điều này giữ cho hệ điều hành vẫn sống thoi thóp trong khi dữ liệu người dùng và ứng dụng đang bị xóa sạch ở nền.
Bước 3: Thuật toán Xóa dữ liệu (Wiping Logic) Khác với việc xóa file thông thường (chỉ xóa header), DynoWiper thực hiện ghi đè (overwrite) để chống phục hồi:
- Nó sử dụng một bộ đệm chứa 16 byte dữ liệu ngẫu nhiên.
- Với file nhỏ (dưới 16 byte): Nó ghi đè toàn bộ nội dung file bằng dữ liệu rác này.
- Với file lớn: Nó không ghi đè toàn bộ (để tránh mất thời gian). Thay vào đó, nó ghi đè từng phần (chunks) quan trọng của file. Kết quả là cấu trúc file bị phá vỡ hoàn toàn, nội dung trở thành vô nghĩa và không công cụ cứu dữ liệu nào có thể khôi phục được.
Sau khi quá trình xóa hoàn tất hoặc khi hệ thống được khởi động lại, máy tính sẽ không thể boot vào Windows được nữa do các file cấu hình và dữ liệu đã bị hỏng. 4. Bài học và Khuyến nghị phòng thủ (Defense Strategy)
Vụ việc này là hồi chuông cảnh tỉnh cho anh em quản trị mạng. Để chống lại các loại mã độc phá hoại kiểu này, chúng ta cần:
- Giám sát chặt chẽ Active Directory: Bất kỳ thay đổi nào trên Group Policy (GPO) đều phải được cảnh báo và phê duyệt. Việc hacker dùng GPO để phát tán mã độc cho thấy chúng đã nằm vùng trong mạng rất lâu.
- Bảo vệ tiến trình LSASS: Cấu hình các giải pháp EDR hoặc bật tính năng LSA Protection trong Windows để ngăn chặn việc dump bộ nhớ trái phép.
- Phân đoạn mạng (Network Segmentation): Tách biệt mạng IT (văn phòng) và mạng OT (vận hành sản xuất). Nếu mạng văn phòng bị xóa trắng, mạng điều khiển điện vẫn phải sống.
- Backup Offline (Bắt buộc): Các giải pháp backup online, cloud hay snapshot đều vô dụng nếu hacker có quyền Admin và xóa luôn cả bản backup. Chỉ có băng từ (tape) hoặc ổ cứng backup được ngắt kết nối vật lý mới an toàn trước Wiper.