Theo thông báo từ Bộ Tư pháp Mỹ (DoJ), một hoạt động được tòa án ủy quyền đã làm gián đoạn mạng lưới hàng trăm bộ định tuyến hệ điều hành Ubiquiti Edge dưới sự kiểm soát của nhóm tin tặc APT28 khét tiếng.
DoJ cho biết, các hành vi độc hại của APT28 bao gồm các chiến dịch lừa đảo quy mô lớn và thu thập thông tin xác thực tương tự nhằm vào các mục tiêu mà Chính phủ Nga quan tâm, chẳng hạn như theo dõi các tổ chức quân sự, an ninh và các tập đoàn tư nhân tại Mỹ cũng như các quốc gia đối trọng khác với Nga.
Nhóm tin tặc APT28 còn được biết với các tên gọi khác, bao gồm: BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy và TA422, được đánh giá là có liên quan đến Đơn vị 26165 của Cơ quan Tình báo Quân đội Nga (GRU). Nhóm tin tặc này đã hoạt động ít nhất kể từ năm 2007.
Các tài liệu của tòa án cáo buộc rằng những kẻ tấn công đã thực hiện các chiến dịch gián điệp mạng bằng cách dựa vào MooBot - một mạng botnet dựa trên Mirai đã xâm nhập vào các bộ định tuyến Ubiquiti dễ bị tấn công để đưa chúng vào một mạng lưới các thiết bị có thể được sửa đổi để hoạt động như một proxy, chuyển tiếp lưu lượng truy cập độc hại trong khi ẩn địa chỉ IP thực tế.
DoJ cho rằng, botnet này đã cho phép các tác nhân đe dọa che giấu vị trí thực sự của chúng và thu thập thông tin xác thực cũng như các hàm băm NT LAN Manager (NTLM) v2 thông qua các tập lệnh riêng biệt, cũng như lưu trữ các trang đích lừa đảo trực tuyến và các công cụ tùy chỉnh khác để tiến hành Brute Force mật khẩu, đánh cắp mật khẩu bộ định tuyến và phát tán phần mềm độc hại MooBot sang các thiết bị khác.
Trong một bản báo cáo của Cục Điều tra Liên bang Mỹ (FBI) công bố, cơ quan này cho biết MooBot khai thác các bộ định tuyến Ubiquiti dễ bị tấn công và có thể truy cập công khai bằng cách sử dụng thông tin xác thực mặc định và nhúng phần mềm độc hại thông qua SSH cho phép truy cập từ xa vào thiết bị.
DoJ giải thích: “Một số tác nhân đe dọa (không phải các tin tặc GRU) đã cài đặt phần mềm độc hại MooBot trên các bộ định tuyến Ubiquiti Edge mà vẫn đang sử dụng mật khẩu quản trị viên mặc định được biết đến công khai. Các tin tặc GRU sau đó đã sử dụng MooBot để cài đặt các tập lệnh độc hại riêng nhằm mục đích thay đổi mục đích hoạt động của mạng botnet, biến nó thành một nền tảng gián điệp mạng có phạm vi trên toàn cầu”.
Các tác nhân APT28 bị nghi ngờ đã tìm thấy và truy cập trái phép các bộ định tuyến Ubiquiti bị xâm nhập bằng cách sử dụng số phiên bản OpenSSH cụ thể làm tham số tìm kiếm, sau đó sử dụng MooBot để truy cập các bộ định tuyến đó. Các chiến dịch lừa đảo trực tuyến do nhóm APT28 thực hiện cũng đã tận dụng lỗ hổng zero-day trong Outlook (CVE-2023-23397) để lấy thông tin xác thực đăng nhập và gửi chúng đến bộ định tuyến.
Ngoài ra, để vô hiệu hóa quyền truy cập của các tin tặc vào các bộ định tuyến cho đến khi nạn nhân có thể giảm thiểu sự xâm phạm và xác nhận lại toàn quyền kiểm soát, hoạt động của Chính phủ Mỹ đã sửa đổi hoàn toàn các quy tắc tường lửa của bộ định tuyến để chặn quyền truy cập quản lý từ xa vào thiết bị.
Hoạt động được tòa án ủy quyền, được gọi là Dying Ember, diễn ra chỉ vài tuần sau khi Mỹ triệt phá một chiến dịch tấn công mạng khác do nhà nước tài trợ có nguồn gốc từ Trung Quốc, lợi dụng một mạng botnet có tên là KV botnet để nhắm mục tiêu vào các cơ sở hạ tầng quan trọng.
Trước đó vào tháng 5/2023, Mỹ cũng tuyên bố đã phá vỡ một mạng lưới toàn cầu bị xâm phạm bởi một loại phần mềm độc hại tiên tiến có tên Snake do các tin tặc liên quan đến Cơ quan An ninh Liên bang Nga (FSB), hay còn gọi là Turla sử dụng.
Hồng Đạt
(Tổng hợp)
08:00 | 06/02/2024
14:00 | 14/03/2024
09:00 | 19/03/2024
11:00 | 26/04/2024
13:00 | 11/07/2023
15:00 | 26/01/2024
08:00 | 12/03/2024
Dữ liệu nhạy cảm của Chính phủ Thụy Sĩ, bao gồm các tài liệu mật và thông tin đăng nhập cá nhân đã bị nhóm mã độc tống tiền Play tiết lộ sau một cuộc tấn công vào nhà cung cấp dịch vụ công nghệ thông tin Xplain vào năm 2023.
14:00 | 09/03/2024
Sáng ngày 09/3, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức gặp mặt các hội viên đầu năm. Tới tham dự và phát biểu chỉ đạo có ông Nguyễn Huy Dũng, Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT).
13:00 | 20/02/2024
Hệ thống thi thử trực tuyến của cuộc thi "Học sinh với an toàn thông tin" mùa thứ ba dự kiến được mở cho học sinh trung học cơ sở cả nước tập dượt từ đầu tháng 3, trước khi bước vào các vòng thi chính thức.
12:00 | 01/02/2024
Tình báo Ukraine tuyên bố đã thực hiện thành công một cuộc tấn công mạng nhằm đánh sập máy chủ của Bộ Quốc phòng Nga.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024