File PDF thường được coi là an toàn, nhưng điều gì sẽ xảy ra khi chúng có thể biết chính xác bạn đang ở đâu? Nhóm hacker Ghostwriter thân Belarus vừa sử dụng kỹ thuật phishing PDF có định vị địa lý (geofenced PDF) để tấn công các cơ quan chính phủ Ukraine. Đây không chỉ là một cuộc tấn công thông thường mà còn là bước tiến mới trong cuộc chiến mạng đang ngày càng tinh vi hóa.

Ghostwriter, còn được biết đến với các tên gọi khác như FrostyNeighbor, PUSHCHA, Storm-0257, TA445 và UAC‑0057, đã hoạt động từ năm 2016 và nổi tiếng với các chiến dịch gián điệp mạng cũng như tác chiến ảnh hưởng. Lần này, họ đã nâng tầm cuộc chơi bằng cách kết hợp công nghệ định vị với malware Cobalt Strike - một công cụ được tin tặc ưa chuộng để kiểm soát từ xa máy tính nạn nhân.

Chiến thuật 'cài bẫy địa lý' đầy nguy hiểm

Kỹ thuật geofenced PDF mà Ghostwriter sử dụng hoạt động như một cái bẫy thông minh. Thay vì tấn công ngẫu nhiên, file PDF độc hại này chỉ kích hoạt khi phát hiện nạn nhân đang ở trong khu vực địa lý được xác định trước - trong trường hợp này là Ukraine. Điều này giúp nhóm hacker tránh được sự phát hiện của các hệ thống bảo mật quốc tế và tăng tỷ lệ thành công khi nhắm đúng mục tiêu.

Chúng tôi cho rằng đây là một bước tiến đáng lo ngại trong lĩnh vực tấn công mạng. Việc kết hợp định vị địa lý với phishing không chỉ làm tăng độ chính xác của cuộc tấn công mà còn khiến cho việc phân tích và phòng chống trở nên khó khăn hơn rất nhiều. Các chuyên gia bảo mật sẽ khó có thể reproduce (tái tạo) cuộc tấn công nếu họ không ở đúng vị trí địa lý được chỉ định.

Cobalt Strike - vũ khí cyber ưa thích của tin tặc

Sau khi file PDF độc hại được mở và xác minh vị trí, Ghostwriter triển khai Cobalt Strike - một framework thường được sử dụng trong red team testing (kiểm tra xâm nhập) nhưng lại trở thành công cụ phổ biến của các nhóm APT (Advanced Persistent Threat). Cobalt Strike cho phép hacker thiết lập beacon (tín hiệu liên lạc) với máy tính bị nhiễm, tạo kênh liên lạc bí mật để truyền lệnh và thu thập dữ liệu.

Điều đặc biệt nguy hiểm ở đây là khả năng 'living off the land' của Cobalt Strike - tức là sử dụng các công cụ có sẵn trong hệ thống để thực hiện các hoạt động độc hại mà không cần cài đặt phần mềm bổ sung. Điều này khiến cho việc phát hiện trở nên cực kỳ khó khăn, thậm chí với các hệ thống giám sát tiên tiến nhất.

Ukraine - mục tiêu ưu tiên trong cuộc chiến mạng

Cuộc tấn công mới nhất này là một phần trong chiến lược dài hạn của Ghostwriter nhằm vào Ukraine và các nước láng giềng. Từ năm 2016 đến nay, nhóm này đã thực hiện hàng trăm cuộc tấn công nhắm vào các cơ quan chính phủ, tổ chức quân sự và các doanh nghiệp chiến lược của Ukraine. Theo thống kê của CERT-UA (Computer Emergency Response Team của Ukraine), các cuộc tấn công từ Ghostwriter đã tăng 300% kể từ tháng 2/2022.

Chúng tôi đánh giá rằng việc Ghostwriter tập trung vào Ukraine không chỉ có mục đích thu thập thông tin mà còn là một phần của chiến lược tác chiến thông tin rộng lớn hơn. Các cuộc tấn công này thường được kết hợp với các chiến dịch tuyên truyền trên mạng xã hội để tạo ra tác động tâm lý và làm suy yếu tinh thần của người dân Ukraine.

Bài học cho Việt Nam và khuyến nghị bảo vệ

Mặc dù Ghostwriter chưa có hoạt động nào được ghi nhận tại Việt Nam, nhưng kỹ thuật geofenced PDF có thể dễ dàng được các nhóm tội phạm mạng khác áp dụng. Các cơ quan chính phủ và doanh nghiệp Việt Nam cần chuẩn bị sẵn sàng cho loại tấn công này. Trước tiên, cần thiết lập chính sách mở file PDF từ nguồn không xác định một cách thận trọng, đặc biệt là những file có yêu cầu kết nối internet bất thường.

Cụ thể, chúng tôi khuyến nghị các bước sau: Thứ nhất, sử dụng PDF reader có tính năng sandbox để cô lập file PDF khỏi hệ thống chính. Thứ hai, cấu hình firewall để chặn các kết nối đáng ngờ từ ứng dụng đọc PDF. Thứ ba, triển khai giải pháp giám sát network traffic để phát hiện beacon của Cobalt Strike. Cuối cùng, đào tạo nhân viên nhận biết các dấu hiệu của file PDF độc hại, như việc yêu cầu quyền truy cập location hoặc kết nối internet không cần thiết.