Nhóm nghiên cứu bảo mật của Socket đã phát hiện một Go module độc hại mang tên golang-random-ip-ssh-bruteforce. Module này ngụy trang thành một công cụ brute-force SSH hiệu quả nhưng lại bí mật trích xuất thông tin đăng nhập bị đánh cắp và gửi về cho kẻ tạo ra nó. Đây là một ví dụ điển hình về mối đe dọa mạng tiềm ẩn trong các thư viện mã nguồn mở.

Mối Đe Dọa Mạng: Phân Tích Go Module Độc Hại Tấn Công SSH

Module này được công bố vào ngày 24 tháng 6 năm 2022 và hiện vẫn đang hoạt động trên hệ sinh thái Go Module và GitHub. Mặc dù đã có nhiều nỗ lực kiến nghị gỡ bỏ và đình chỉ các tài khoản liên quan, module này vẫn còn tồn tại, tiếp tục gây ra mối đe dọa mạng cho các hệ thống SSH bị lộ.

Bản Chất và Hoạt Động của Mã Độc

Module hoạt động bằng cách tạo ra các địa chỉ IPv4 ngẫu nhiên. Sau đó, nó dò tìm cổng TCP 22 đang mở với thời gian chờ ngắn và khởi chạy các nỗ lực xác thực đồng thời. Nó sử dụng một danh sách từ khóa cục bộ được mã hóa cứng gồm các cặp tên người dùng-mật khẩu yếu.

Cơ Chế Brute-Force và Exfiltration Dữ Liệu

Ngay sau khi đăng nhập thành công lần đầu tiên, module sẽ truyền địa chỉ IP mục tiêu, tên người dùng và mật khẩu. Dữ liệu này được gửi đến một bot Telegram được định nghĩa trước thông qua yêu cầu HTTPS. Điều này cho phép tác nhân đe dọa ngay lập tức chiếm quyền truy cập ban đầu.

Thiết kế này lợi dụng người dùng không nghi ngờ để thực hiện quét và dò đoán phân tán. Điều này giúp giảm gánh nặng tính toán và rủi ro pháp lý cho kẻ tấn công, đồng thời tập trung tất cả các thành công vào một điểm kiểm soát duy nhất. Đây là một hình thức mối đe dọa mạng tinh vi.

Phân Tích Kỹ Thuật và Cơ Chế Xâm Nhập Mạng

Kỹ Thuật Vượt Qua Xác Minh SSH

Mã độc sử dụng hàm ssh.InsecureIgnoreHostKey() để bỏ qua xác minh danh tính máy chủ. Kỹ thuật này cho phép kết nối nhanh chóng mà không cần kiểm tra bảo mật. Sau khi trích xuất thông tin, module sẽ thoát để giảm thiểu khả năng bị phát hiện. Cơ chế này hỗ trợ cho các cuộc xâm nhập mạng trái phép.

ssh.InsecureIgnoreHostKey()

Danh Sách Mật Khẩu Mục Tiêu

Danh sách từ khóa được nhúng tập trung vào các mặc định phổ biến như “root” và “admin”. Chúng được ghép nối với các mục như “toor,” “raspberry,” “dietpi,” và “alpine”. Các mục tiêu chính là các thiết bị IoT bị lộ, máy tính bảng đơn (single-board computers) và các máy chủ Linux được cấu hình kém. Cách tiếp cận này đảm bảo hoạt động ít gây tiếng ồn, hoạt động ngoại tuyến cho đến khi có kết quả và khả năng từ chối trách nhiệm là một công cụ bảo mật tấn công hợp pháp. Nó là một mối đe dọa mạng đáng kể cho các hệ thống cấu hình yếu.

Hồ Sơ Tác Nhân Đe Dọa (Threat Actor Profile)

Danh Tính và Hoạt Động Liên Quan

Kẻ tấn công, hoạt động dưới biệt danh GitHub là IllDieAnyway (còn được gọi là G3TT), được đánh giá với độ tin cậy cao là một cá nhân nói tiếng Nga. Đánh giá này dựa trên các hiện vật tiếng Nga trong các kho lưu trữ, bao gồm các tệp README đầy đủ và các công cụ dành riêng cho VKontakte như vk_inviter.

Liên Kết Với Khung C2

Danh mục công cụ của tác nhân này bao gồm các tiện ích tấn công khác như máy quét cổng, một công cụ brute-force phpMyAdmin với các cuộc gọi lại Telegram, và khung Selica-C2. Điều này cho thấy tiềm năng xây dựng botnet từ các quyền truy cập SSH đã thu thập. Mặc dù không có liên kết mã trực tiếp giữa module này và Selica-C2, các công cụ này có thể phối hợp để thực hiện các hoạt động hậu khai thác như triển khai payload hoặc dàn dựng ransomware. Khả năng này gia tăng mối đe dọa mạng từ tác nhân này.

Rủi Ro Rò Rỉ Dữ Liệu và Ảnh Hưởng Đối Với Người Dùng

Hậu Quả Pháp Lý và Kỹ Thuật

Chạy gói module này khiến người vận hành phải đối mặt với những rủi ro đáng kể. Điều này bao gồm các vi phạm pháp luật từ việc quét trái phép, việc bị ISP liệt vào danh sách đen, và trớ trêu thay là việc giao nộp các khám phá của chính họ cho kẻ tấn công thông qua bot Telegram đang hoạt động @sshZXC_bot. Bot này gửi dữ liệu đến ID trò chuyện 1159678884 do người dùng @io_ping kiểm soát. Đây là một nguy cơ rò rỉ dữ liệu nghiêm trọng và là một phần của tổng thể mối đe dọa mạng.

Giá Trị Thông Tin Đánh Cắp

Trong thế giới ngầm tội phạm, các thông tin đăng nhập như vậy rất có giá trị cho hoạt động gián điệp, khai thác tiền điện tử hoặc đột nhập vào các mạng khác. Điều này làm tăng tác động của module vượt ra ngoài các lần chạy riêng lẻ, góp phần vào các cuộc xâm nhập mạng phức tạp hơn.

Các Chỉ Báo Xâm Phạm (IoCs)

• Go Module độc hại:golang-random-ip-ssh-bruteforce
• Bot Telegram kiểm soát:@sshZXC_bot
• ID trò chuyện Telegram nhận dữ liệu:1159678884
• Người dùng Telegram kiểm soát:@io_ping
• Biệt danh GitHub của tác nhân:IllDieAnyway (còn gọi là G3TT)

Các Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng

Đề Xuất Bảo Vệ và Phát Hiện Tấn Công

Để giảm thiểu rủi ro, các tổ chức nên tăng cường quy trình kiểm tra mã (code review) đối với các công cụ của bên thứ ba. Đồng thời, cần giám sát lưu lượng egress đến các API nhắn tin và triển khai các công cụ phát hiện tấn công cho các mẫu như điểm cuối Telegram và các cấu hình SSH không an toàn.

Sự cố này làm nổi bật xu hướng mới nổi của các tiện ích mã nguồn mở bị vũ khí hóa. Chúng khai thác niềm tin trong chuỗi cung ứng, thúc giục các nhà phát triển xác minh kỹ lưỡng các gói và áp dụng các lớp kiểm soát bảo mật để ngăn chặn việc vô tình tham gia vào các chiến dịch độc hại. Việc tăng cường an ninh mạng là cấp thiết để đối phó với các loại mối đe dọa mạng ngày càng phức tạp.

Vai Trò của Công Cụ AI Trong Bảo Mật Chuỗi Cung Ứng

Theo báo cáo từ Socket, các công cụ điều khiển bằng AI của họ, bao gồm ứng dụng GitHub và CLI, cung cấp các biện pháp phòng thủ chủ động. Chúng thực hiện quét các hành vi rủi ro trong các phần phụ thuộc, giúp ngăn chặn các rò rỉ dữ liệu tiềm ẩn. Báo cáo chi tiết có thể được tìm thấy tại: Socket.dev.

Vụ việc này nhấn mạnh tầm quan trọng của việc duy trì bảo mật thông tin chặt chẽ trong môi trường phát triển hiện đại. Cần xem xét kỹ lưỡng mọi mối đe dọa mạng, dù nhỏ nhất.