The Kitten Project: Nguy hiểm từ nền tảng Hacktivist leo thang
The Kitten Project đã nổi lên như một nền tảng hacktivist có tổ chức, hoạt động giao thoa giữa chủ nghĩa hoạt động và các chiến dịch kỹ thuật. Sáng kiến này thể hiện một sự thay đổi trong cách các nhóm tập trung vào không gian mạng tổ chức các chiến dịch của họ. Thay vì các cuộc tấn công đơn lẻ, họ đang chuyển sang hạ tầng tập trung, tạo điều kiện thuận lợi cho giao tiếp, chia sẻ tài nguyên và hành động phối hợp, làm tăng thêm các mối đe dọa mạng tiềm ẩn.
Nền tảng, có thể truy cập qua thekitten.group, đóng vai trò là một trung tâm nơi nhiều nhóm hacktivist cộng tác để thực hiện các cuộc tấn công và chiến dịch doxing. Mặc dù công khai tuyên bố độc lập khỏi bất kỳ cấu trúc chính phủ nào, tổ chức này dường như có mối liên hệ nhất định với các nhóm hacktivist mà phân tích chỉ ra có nguồn gốc hoặc hoạt động có liên quan đến một khu vực địa lý cụ thể.
Phạm Vi Hoạt Động và Sự Leo Thang trong Các Chiến Dịch Tấn Công Mạng
Bức tranh về các cuộc tấn công dưới sáng kiến này bao gồm một loạt các mục tiêu đáng lo ngại. Các hoạt động đã tiến triển từ các chiến dịch tiết lộ dữ liệu cơ bản, chẳng hạn như công bố thông tin về binh sĩ, đến những nỗ lực phức tạp hơn nhắm vào cơ sở hạ tầng quan trọng, bao gồm Hệ thống Điều khiển Công nghiệp (ICS) và Bộ điều khiển Logic Lập trình (PLC).
Sự leo thang này chứng tỏ trình độ kỹ thuật ngày càng cao trong các mạng lưới hacktivist này. Những người tham gia The Kitten Project phối hợp thông qua các kênh nhắn tin riêng tư, chia sẻ công cụ, kỹ thuật và tài liệu chiến dịch. Điều này giúp tối ưu hóa khả năng thực hiện các tấn công mạng quy mô lớn.
Các nhóm nổi tiếng hoạt động dưới sự bảo trợ này bao gồm Handala Hacking Group, KilledByIsrael và CyberIsraelFront. Hạ tầng của nền tảng được thiết kế để hỗ trợ nhiều nhóm đồng thời, đóng vai trò như một trung tâm điều hành chung.
Phân Tích Threat Intelligence và Nguồn Gốc Hạ Tầng
Các nhà phân tích bảo mật của VECERT đã xác định rằng sự phát triển của nền tảng này có nguồn gốc từ hạ tầng được lưu trữ trên các máy chủ ở Iran, đặc biệt thông qua các tên miền phụ của zagrosguard.ir. Phát hiện này tiết lộ rằng, mặc dù dự án tuyên bố độc lập về mặt hoạt động, nền tảng kỹ thuật của nó lại có liên kết với các thực thể an ninh mạng có hạ tầng tại Iran.
Phân tích đã phát hiện một địa chỉ IP (185.164.72.226) được đăng ký tại Iran, do Pars Parva Systems vận hành dưới ASN 60631. Mối liên kết hạ tầng này rất quan trọng để hiểu rõ cấu trúc hỗ trợ thực sự đằng sau nhóm hacktivist được cho là độc lập này, cung cấp giá trị đáng kể cho threat intelligence.
Để biết thêm chi tiết về phân tích của VECERT, bạn đọc có thể tham khảo bài viết gốc tại Medium của VECERT.
Cấu Trúc API và Cơ Chế An Ninh Mạng
Hạ tầng kỹ thuật của The Kitten Project dựa trên một hệ thống API được cấu trúc cẩn thận, hỗ trợ chia sẻ nội dung đa phương tiện và xác thực người dùng. Đây là một yếu tố then chốt giúp nền tảng duy trì hiệu quả các mối đe dọa mạng.
Các nhà phân tích bảo mật của VECERT đã khám phá ra một backend dựa trên PHP sử dụng các hàm DirectoryIterator để quản lý và phân phối hình ảnh và video trên các thư mục dự án được phân loại. Điều này cho phép tổ chức nội dung một cách có hệ thống.
Nền tảng này áp dụng các cơ chế an ninh mạng nhất định, bao gồm xác thực đầu vào thông qua khớp biểu thức chính quy (regular expression matching). Quy tắc này giới hạn tên dự án chỉ dùng các ký tự chữ và số, dấu chấm, dấu gạch ngang và dấu gạch dưới, với độ dài tối đa 100 ký tự.
Tên tệp cũng phải đối mặt với các hạn chế tương tự, ngăn chặn các cuộc tấn công truyền tải thư mục (directory traversal attacks) thông qua xác thực đường dẫn rõ ràng bằng cách sử dụng các hàm realpath(). Điều này củng cố khả năng phòng thủ trước một số loại mối đe dọa mạng phổ biến.
Hệ Thống Xác Thực và Phân Kênh Liên Lạc Hiệu Quả
Hệ thống xác thực yêu cầu người dùng xác minh danh tính của họ thông qua một ID theo dõi 64 chữ số và địa chỉ email liên kết trước khi truy cập các phần nhắn tin. Cấu trúc này cho phép nền tảng duy trì các kênh liên lạc riêng biệt cho các nhóm hoạt động khác nhau, một tính năng quan trọng cho sự phối hợp của các cuộc tấn công mạng.
Các điểm cuối API như image.php và media.php xử lý việc phân phối nội dung với hỗ trợ yêu cầu phạm vi HTTP (HTTP range request), cho phép khả năng truyền phát video hiệu quả cho nội dung hoạt động chung. Điều này tạo điều kiện thuận lợi cho việc chia sẻ thông tin tình báo và hướng dẫn trong các chiến dịch.
Công Nghệ Nền Tảng và Khả Năng Thực Thi Lệnh
Cấu hình .htaccess của The Kitten Project chỉ ra việc thực thi Node.js thông qua CloudLinux Passenger, với máy chủ đang chạy Node.js phiên bản 22. Thiết lập kỹ thuật này cung cấp cho nền tảng khả năng tạo nội dung động vượt xa việc phục vụ tệp tĩnh, cho phép các nhà phát triển triển khai các hoạt động backend phức tạp hỗ trợ hạ tầng phối hợp hacktivist.
Điều này cũng có nghĩa là các nhà phát triển có thể tận dụng các khả năng của Node.js để thực hiện các tác vụ phức tạp, từ xử lý dữ liệu đến tương tác với các hệ thống khác. Khả năng này có thể được sử dụng để phát tán các mối đe dọa mạng hiệu quả hơn.
Ví dụ Cấu hình .htaccess liên quan đến Node.js
# Phía trên các quy tắc Apache RewriteEngine có sẵnPassengerEnabled onPassengerAppRoot /path/to/your/appPassengerNodejs /usr/bin/node# Quy tắc để định tuyến tất cả các yêu cầu đến ứng dụng Node.jsRewriteEngine OnRewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule ^(.*)$ /path/to/your/app/app.js [PT,L]Cấu hình trên minh họa cách CloudLinux Passenger có thể được sử dụng để quản lý một ứng dụng Node.js, đảm bảo rằng mọi yêu cầu không phải là tệp hoặc thư mục hiện có đều được chuyển hướng đến tệp app.js chính của ứng dụng.
Indicators of Compromise (IOCs)
Các chỉ số về sự thỏa hiệp liên quan đến hạ tầng của The Kitten Project bao gồm:
- Địa chỉ IP:
185.164.72.226 - ASN:
60631(Pars Parva Systems) - Tên miền phụ liên quan:
zagrosguard.ir
Việc theo dõi các IOC này có thể giúp các tổ chức phát hiện và ứng phó với các hoạt động liên quan đến The Kitten Project, từ đó giảm thiểu rủi ro từ các mối đe dọa mạng này.
