Theo thông báo từ Bộ Tư pháp Mỹ (DoJ), một hoạt động được tòa án ủy quyền đã làm gián đoạn mạng lưới hàng trăm bộ định tuyến hệ điều hành Ubiquiti Edge dưới sự kiểm soát của nhóm tin tặc APT28 khét tiếng.
DoJ cho biết, các hành vi độc hại của APT28 bao gồm các chiến dịch lừa đảo quy mô lớn và thu thập thông tin xác thực tương tự nhằm vào các mục tiêu mà Chính phủ Nga quan tâm, chẳng hạn như theo dõi các tổ chức quân sự, an ninh và các tập đoàn tư nhân tại Mỹ cũng như các quốc gia đối trọng khác với Nga.
Nhóm tin tặc APT28 còn được biết với các tên gọi khác, bao gồm: BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy và TA422, được đánh giá là có liên quan đến Đơn vị 26165 của Cơ quan Tình báo Quân đội Nga (GRU). Nhóm tin tặc này đã hoạt động ít nhất kể từ năm 2007.
Các tài liệu của tòa án cáo buộc rằng những kẻ tấn công đã thực hiện các chiến dịch gián điệp mạng bằng cách dựa vào MooBot - một mạng botnet dựa trên Mirai đã xâm nhập vào các bộ định tuyến Ubiquiti dễ bị tấn công để đưa chúng vào một mạng lưới các thiết bị có thể được sửa đổi để hoạt động như một proxy, chuyển tiếp lưu lượng truy cập độc hại trong khi ẩn địa chỉ IP thực tế.
DoJ cho rằng, botnet này đã cho phép các tác nhân đe dọa che giấu vị trí thực sự của chúng và thu thập thông tin xác thực cũng như các hàm băm NT LAN Manager (NTLM) v2 thông qua các tập lệnh riêng biệt, cũng như lưu trữ các trang đích lừa đảo trực tuyến và các công cụ tùy chỉnh khác để tiến hành Brute Force mật khẩu, đánh cắp mật khẩu bộ định tuyến và phát tán phần mềm độc hại MooBot sang các thiết bị khác.
Trong một bản báo cáo của Cục Điều tra Liên bang Mỹ (FBI) công bố, cơ quan này cho biết MooBot khai thác các bộ định tuyến Ubiquiti dễ bị tấn công và có thể truy cập công khai bằng cách sử dụng thông tin xác thực mặc định và nhúng phần mềm độc hại thông qua SSH cho phép truy cập từ xa vào thiết bị.
DoJ giải thích: “Một số tác nhân đe dọa (không phải các tin tặc GRU) đã cài đặt phần mềm độc hại MooBot trên các bộ định tuyến Ubiquiti Edge mà vẫn đang sử dụng mật khẩu quản trị viên mặc định được biết đến công khai. Các tin tặc GRU sau đó đã sử dụng MooBot để cài đặt các tập lệnh độc hại riêng nhằm mục đích thay đổi mục đích hoạt động của mạng botnet, biến nó thành một nền tảng gián điệp mạng có phạm vi trên toàn cầu”.
Các tác nhân APT28 bị nghi ngờ đã tìm thấy và truy cập trái phép các bộ định tuyến Ubiquiti bị xâm nhập bằng cách sử dụng số phiên bản OpenSSH cụ thể làm tham số tìm kiếm, sau đó sử dụng MooBot để truy cập các bộ định tuyến đó. Các chiến dịch lừa đảo trực tuyến do nhóm APT28 thực hiện cũng đã tận dụng lỗ hổng zero-day trong Outlook (CVE-2023-23397) để lấy thông tin xác thực đăng nhập và gửi chúng đến bộ định tuyến.
Ngoài ra, để vô hiệu hóa quyền truy cập của các tin tặc vào các bộ định tuyến cho đến khi nạn nhân có thể giảm thiểu sự xâm phạm và xác nhận lại toàn quyền kiểm soát, hoạt động của Chính phủ Mỹ đã sửa đổi hoàn toàn các quy tắc tường lửa của bộ định tuyến để chặn quyền truy cập quản lý từ xa vào thiết bị.
Hoạt động được tòa án ủy quyền, được gọi là Dying Ember, diễn ra chỉ vài tuần sau khi Mỹ triệt phá một chiến dịch tấn công mạng khác do nhà nước tài trợ có nguồn gốc từ Trung Quốc, lợi dụng một mạng botnet có tên là KV botnet để nhắm mục tiêu vào các cơ sở hạ tầng quan trọng.
Trước đó vào tháng 5/2023, Mỹ cũng tuyên bố đã phá vỡ một mạng lưới toàn cầu bị xâm phạm bởi một loại phần mềm độc hại tiên tiến có tên Snake do các tin tặc liên quan đến Cơ quan An ninh Liên bang Nga (FSB), hay còn gọi là Turla sử dụng.
Hồng Đạt
(Tổng hợp)
14:00 | 14/03/2024
08:00 | 06/02/2024
11:00 | 26/04/2024
09:00 | 19/03/2024
09:00 | 10/06/2024
10:00 | 17/01/2025
13:00 | 11/07/2023
10:00 | 27/05/2024
17:00 | 30/08/2024
15:00 | 26/01/2024
10:00 | 16/12/2024
Nhờ sự phối hợp với các công ty công nghệ toàn cầu và các biện pháp an ninh số tiên tiến, Thái Lan đã ngăn chặn thành công hơn 4,8 triệu vụ lừa đảo trực tuyến.
10:00 | 09/12/2024
Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky liên tục theo dõi các mối đe dọa mạng đã biết và mới nổi nhắm vào ngành tài chính, trong đó các ngân hàng và công ty công nghệ tài chính là mục tiêu bị nhắm đến nhiều nhất. Kaspersky cũng theo dõi chặt chẽ các mối đe dọa nhắm mục tiêu vào nhiều ngành công nghiệp, cụ thể là các nhóm ransomware có động cơ tài chính. Bài viết sẽ thông tin tới độc giả những đánh giá của các chuyên gia Kaspersky về các dự đoán trong năm 2024 và những xu hướng dự kiến về tội phạm mạng, các mối đe dọa tài chính sẽ nổi lên trong năm 2025.
08:00 | 03/12/2024
Ngày 25/11, Công ty môi giới bảo hiểm Howden cho biết các vụ tấn công mạng đã khiến các doanh nghiệp tại Anh thiệt hại hơn 55 tỷ USD doanh thu trong 5 năm qua và khoảng 52% các công ty tư nhân đã ghi nhận ít nhất một cuộc tấn công mạng trong thời gian đó.
10:00 | 21/11/2024
Mới đây, lực lượng chức năng Nhật Bản đã bắt giữ 1 người đàn ông Trung Quốc bị cáo buộc lừa đảo một phụ nữ 71 tuổi nước này với số tiền lên tới 809 triệu yên (5,3 triệu USD). Đây là vụ lừa đảo đầu tư trên mạng xã hội có số tiền lớn nhất từ trước đến nay ở Nhật Bản.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025