Nhóm Sandworm hay còn được gọi BlackEnergy, Seashell Blizzard, Voodoo Bear và APT44, được cho là có liên quan đến Cơ quan Tình báo quân đội Nga (GRU), đã thực hiện các cuộc tấn công gián điệp mạng và phá hoại vào nhiều mục tiêu khác nhau.

CERT-UA báo cáo rằng vào tháng 3/2024, các tin tặc Sandworm đã tiến hành các hoạt động trên không gian mạng nhằm làm gián đoạn hệ thống thông tin và truyền thông của các nhà cung cấp năng lượng và điện nước ở 10 khu vực tại Ukraine.

Đặc biệt, trong các cuộc tấn công thì tin tặc Sandworm đã sử dụng backdoor mới là BIASBOAT và LOADGRIP để có quyền truy cập và di chuyển ngang hàng trên hệ thống mạng mục tiêu.

Các chuyên gia CERT-UA lưu ý rằng các cuộc tấn công của nhóm Sandworm trở nên dễ dàng và xác suất thành công cao do các hệ thống mục tiêu có khả năng bảo mật không an toàn và tồn tại nhiều rủi ro (ví dụ: thiếu phân đoạn mạng và chưa có nhiều lớp phòng thủ hệ thống theo chiều sâu).

Từ ngày 7/3 đến ngày 15/3/2024, CERT-UA đã tham gia vào các hoạt động đối phó với các tấn công mạng trên diện rộng, bao gồm thông báo cho các doanh nghiệp bị ảnh hưởng, gỡ bỏ phần mềm độc hại và tăng cường các biện pháp bảo mật.

Dựa trên những phát hiện từ việc điều tra nhật ký (log) thu được từ các thực thể bị xâm nhập, CERT-UA cho rằng các tin tặc Sandworm đã dựa vào các phần mềm độc hại sau để tấn công vào các nhà cung cấp tiện ích của Ukraine:

- QUEUESEED/IcyWell/Kapeka: Backdoor được phát triển bằng C++ trên Windows để thu thập thông tin hệ thống cơ bản và thực thi các lệnh từ máy chủ từ xa. Nó xử lý các hoạt động của tệp, thực thi lệnh và cập nhật cấu hình. Thông tin liên lạc được bảo mật thông qua HTTPS và dữ liệu được mã hóa bằng thuật toán RSA và AES.

Ngoài ra, phần mềm độc hại này lưu trữ dữ liệu và duy trì sự tồn tại trên các hệ thống bị lây nhiễm bằng cách mã hóa cấu hình của nó trong registry và thiết lập các tác vụ để thực thi tự động.

Hình 1. Phần mềm độc hại QUEUESEED thực thi lệnh

- BIASBOAT: Một biến thể trên Linux của mã độc QUEUESEED mới xuất hiện gần đây. BIASBOAT được ngụy trang thành một máy chủ tệp được mã hóa và hoạt động cùng với phần mềm độc hại LOADGRIP.

- LOADGRIP: Cũng là một biến thể Linux của QUEUESEED được phát triển bằng C, được sử dụng để đưa payload vào các tiến trình bằng API ptrace. Payload này thường được mã hóa với khóa giải mã được lấy từ một ID cụ thể của máy tính.

Hình 2. Tập lệnh Bash tải BIASBOAT và LOADGRIP

- GOSSIPFLOW: Phần mềm độc hại này phát triển từ Go và hoạt động trên Windows để thiết lập đường hầm (tunnel) bằng thư viện Yamux multiplexer. GOSSIPFLOW cung cấp proxy SOCKS5 để giúp lọc dữ liệu và liên lạc an toàn với máy chủ điều khiển và ra lệnh (C2).

Các tác nhân đe dọa đã sử dụng những phần mềm này để duy trì tính ổn định, ẩn các tiến trình độc hại và nâng cao đặc quyền của chúng trên các hệ thống bị xâm nhập.

CERT-UA nhận định rằng mục đích của các cuộc tấn công này là nhằm tăng cường hiệu quả của các cuộc tấn công tên lửa của Nga vào các cơ sở hạ tầng mục tiêu tại Ukraine.

Trước đó, công ty an ninh mạng Mandiant (Mỹ) đã tiết lộ mối liên hệ của nhóm tin tặc Sandworm với ba nhóm theo chủ nghĩa hacktivist trên Telegram trước đây đã từng tuyên bố tấn công vào cơ sở hạ tầng quan trọng ở châu Âu và Mỹ.