Tin tặc Calypso dùng malware Linux và Windows để xâm nhập mạng viễn thông

Các nhà nghiên cứu phát hiện hai họ malware mới đóng vai trò trung tâm trong chiến dịch:

• Showboat – framework hậu khai thác dành cho hệ Linux
• JFMBackdoor – backdoor dành cho hệ Windows

Sự kết hợp này cho phép kẻ tấn công hoạt động trong môi trường hạ tầng đa hệ điều hành, vốn rất phổ biến trong các hệ thống viễn thông hiện đại.

Showboat: công cụ hậu khai thác trên Linux

Showboat được thiết kế cho các máy chủ Linux và hoạt động như một framework hậu khai thác (post‑exploitation). Điều này có nghĩa là malware được triển khai sau khi kẻ tấn công đã có quyền truy cập ban đầu vào hệ thống.

Theo phân tích của các nhóm nghiên cứu tình báo mối đe dọa, Showboat cung cấp nhiều khả năng giúp tin tặc điều khiển máy bị nhiễm và mở rộng tấn công sâu hơn trong mạng.

Các chức năng chính gồm:

• Tạo remote shell để điều khiển máy chủ từ xa
• Truyền tệp giữa hệ thống nạn nhân và máy chủ của kẻ tấn công
• Hoạt động như proxy SOCKS5, cho phép định tuyến lưu lượng qua máy bị xâm nhập

Khả năng proxy đặc biệt quan trọng vì nó giúp các máy chủ bị chiếm quyền trở thành điểm trung chuyển, khiến việc lần theo dấu vết hoạt động của kẻ tấn công khó khăn hơn và hỗ trợ di chuyển ngang trong mạng nội bộ.

JFMBackdoor: biến thể dành cho Windows

Song song với Showboat trên Linux, chiến dịch còn sử dụng JFMBackdoor, một implant hoạt động trên Windows.

Trong môi trường viễn thông, các hệ thống quản trị và ứng dụng doanh nghiệp thường chạy Windows, trong khi nhiều dịch vụ mạng lõi chạy Linux. Vì vậy việc triển khai malware cho cả hai nền tảng giúp kẻ tấn công duy trì truy cập ngay cả khi một phần hệ thống bị phát hiện hoặc khắc phục.

Thông tin kỹ thuật chi tiết về cấu trúc nội bộ của JFMBackdoor hiện vẫn còn hạn chế trong các báo cáo công khai, nhưng các nguồn nghiên cứu xác nhận nó được dùng để duy trì quyền truy cập và hỗ trợ hoạt động gián điệp trong mạng doanh nghiệp của các nhà mạng.

Hạ tầng giả mạo mang “chủ đề viễn thông”

Ngoài malware, nhóm Calypso còn xây dựng các tên miền và hạ tầng mạng mang chủ đề viễn thông nhằm bắt chước các tổ chức hợp pháp trong ngành.

Các nhà nghiên cứu cho rằng hạ tầng này có thể phục vụ nhiều mục đích:

• Tạo cảm giác hợp pháp trong môi trường viễn thông
• Hỗ trợ liên lạc command‑and‑control (C2) với các máy bị xâm nhập
• Tạo nền tảng cho các bước tấn công tiếp theo như thu thập thông tin đăng nhập

Danh sách đầy đủ các tên miền giả mạo và mối liên hệ với từng nạn nhân cụ thể chưa được công bố, nhưng cấu trúc hạ tầng cho thấy đây là chiến dịch được chuẩn bị có chủ đích để hòa lẫn vào hệ sinh thái viễn thông.

Vì sao malware đa nền tảng làm tăng rủi ro cho ngành viễn thông

Các nhà mạng thường vận hành hạ tầng lai, kết hợp:

• Máy chủ Linux cho các dịch vụ mạng
• Hệ thống Windows cho quản trị và ứng dụng doanh nghiệp

Khi malware được thiết kế cho cả hai hệ điều hành, kẻ tấn công có nhiều lợi thế hơn:

• Tăng khả năng tồn tại lâu dài: loại bỏ malware trên một nền tảng vẫn không chặn được toàn bộ truy cập
• Di chuyển ngang dễ dàng: kẻ tấn công có thể chuyển từ hệ thống vận hành sang hệ thống quản trị
• Che giấu hoạt động tốt hơn: máy bị xâm nhập có thể hoạt động như proxy hoặc nút trung chuyển

Trong bối cảnh viễn thông là hạ tầng thông tin quan trọng, việc kẻ tấn công duy trì sự hiện diện lâu dài trong mạng có thể giúp họ quan sát kiến trúc mạng, dữ liệu liên lạc hoặc các hệ thống vận hành nhạy cảm.

Xu hướng gián điệp mạng nhắm vào hạ tầng viễn thông

Chiến dịch Calypso phản ánh một xu hướng lớn hơn trong không gian an ninh mạng: các nhóm tấn công cấp quốc gia ngày càng nhắm vào nhà mạng. Mục tiêu của họ thường không phải phá hoại ngay lập tức mà là thu thập thông tin tình báo trong thời gian dài.

Việc phát hiện hai công cụ Showboat và JFMBackdoor cho thấy bộ công cụ của các nhóm APT đang phát triển theo hướng đa nền tảng và linh hoạt hơn, khiến việc phát hiện và loại bỏ chúng trong các hệ thống viễn thông toàn cầu trở nên khó khăn hơn đáng kể.