Tấn công vào nhà máy điện Dorad của Israel
Vào ngày 8/10/2023, một vụ tấn công mạng lớn vào nhà máy điện Dorad của Israel đã được nhóm tin tặc Cyber Av3ngers công bố trên các diễn đàn ngầm. Nhóm này đã chia sẻ những bức ảnh về vụ tấn công có hình ảnh quốc kỳ Palestine cùng với các thông điệp chính trị ủng hộ lực lượng Hamas. Tuyên bố này được công bố song song với một thông báo khác về việc nhắm mục tiêu vào trang web Dorad bằng một cuộc tấn công từ chối dịch vụ (DoS) để tăng thêm độ tin cậy cho vụ tấn công.
Các nhà nghiên cứu của Kaspersky đã phân tích dữ liệu do Cyber Av3ngers công bố và nhận thấy nó được lấy từ những thông tin rò rỉ cũ hơn của một nhóm tin tặc hacktivist khác tên là Moses Staff.
Moses Staff bị cáo buộc là một nhóm tin tặc đến từ Iran, lần đầu tiên được xác định trên các diễn đàn ngầm vào tháng 9/2021. Hoạt động chính của họ là gây thiệt hại cho các công ty Israel bằng cách đánh cắp thông tin và công bố dữ liệu nhạy cảm.
Ngoài ra, nhóm này cũng nhắm mục tiêu vào các tổ chức từ các quốc gia khác như Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ. Điều quan trọng cần đề cập là không tìm thấy bằng chứng nào liên kết nhóm Cyber Av3ngers và các tin tặc của Moses Staff.
Giới thiệu về Cyber Av3ngers
Có một nhóm tin tặc với tên tương tự được gọi là Cyber Avengers và đã hoạt động ít nhất từ năm 2020. Tuy nhiên, có rất ít bằng chứng kết nối Cyber Avengers với Cyber Aveng3rs hoặc Cyber Av3ngers.
Với cuộc xung đột địa chính trị hiện tại, họ bắt đầu thu hút sự chú ý của công chúng về các hoạt động của mình hơn. Các nhóm tin tặc này chủ yếu nhắm vào các tổ chức của Israel, chủ yếu là những cơ quan vận hành các cơ sở hạ tầng quan trọng của đất nước này. Kể từ năm 2020, Cyber Avengers đã nhận trách nhiệm về vụ cắt điện trên diện rộng và tấn công mạng hệ thống đường sắt của Israel.
Ngày 15/9/2023, một kênh mới đã được tạo trên Telegram với tên @CyberAveng3rs. Kênh này bắt đầu bằng các thông báo liên kết chủ sở hữu của nó với các hoạt động trước đây do Cyber Avengers thực hiện, sau đó thêm thông tin về mục tiêu của họ vào cơ sở hạ tầng quan trọng của Israel, bao gồm cả hệ thống điện và nước.
Bài đăng mới nhất trên kênh này là về một hướng dẫn bảo mật đã được Chính phủ Israel công bố về vấn đề an ninh cơ sở hạ tầng. Nhóm Cyber Avengers đã gửi hướng dẫn qua danh sách các mục tiêu như một sự chế nhạo điều này.
Các tệp tin của Cyber Av3ngers
Các tệp rò rỉ ban đầu của Moses Staff từ năm 2022 không còn có sẵn từ các liên kết ban đầu. Tuy nhiên, các tệp tin vẫn có thể được tìm thấy trên các diễn đàn ngầm khác.
Kho lưu trữ được Moses Staff công bố lần đầu tiên vào tháng 6/2022, nó bao gồm dữ liệu bị rò rỉ từ nhiều công ty ở Israel. Các tệp liên quan đến vụ tấn công nhà máy điện Dorad (bao gồm 11 tệp), có mốc thời gian từ tháng 8/2020 và đến ngày 14/6/2022. Dữ liệu trong kho lưu trữ ở dạng tài liệu PDF cùng với ảnh PNG và JPEG. Một đoạn video cũng được những kẻ tấn công đăng tải song song với vụ rò rỉ dữ liệu.
So sánh các bức ảnh được đăng bởi Cyber Av3ngers và các bức ảnh gốc từ kho lưu trữ của Moses Staff, các nhà nghiên cứu của Kaspersky đưa ra phỏng đoán như sau:
- Cyber Av3ngers đã chụp ảnh từ các tài liệu và video PDF bị rò rỉ của Moses Staff.
- Cyber Av3ngers đã cắt ảnh và thêm ảnh logo trước khi công bố.
Nhìn chung, dữ liệu bị rò rỉ dường như là kết quả của các hoạt động tấn công mạng của Moses Staff, các tệp tin dường như đã bị đánh cắp thông qua việc sử dụng phần mềm độc hại từ các máy tính thuộc các tổ chức mục tiêu và hành vi này đã được thực hiện bởi tin tặc bằng cách sử dụng các công cụ tùy chỉnh như PyDCrypt, DCSrv và StrifeWater.
PyDCrypt là một chương trình viết bằng Python và xây dựng bằng PyInstaller, được sử dụng để lây nhiễm các máy tính khác trên mạng và đảm bảo rằng payload chính DCSrv được thực thi đúng cách.
DCSrv là một tiến trình độc hại giả mạo tiến trình svchost.exe hợp pháp. DCSrv ngăn chặn mọi quyền truy cập vào máy tính và mã hóa tất cả các ổ đĩa của nó bằng công cụ mã hóa mã nguồn mở hợp pháp DiskCryptor.
Trong khi đó, StrifeWater là một Trojan truy cập từ xa (RAT) lén lút được sử dụng trong giai đoạn đầu của cuộc tấn công để che giấu hành vi. Ngoài ra, nó còn có khả năng thực thi lệnh từ xa và chụp ảnh màn hình.
Vì Moses Staff không cố gắng thu lợi tài chính và mục tiêu trọng tâm của nhóm tin tặc này là gây thiệt hại cho đối phương nên thường không có cách nào để trả tiền chuộc và giải mã dữ liệu.
Kết luận
Dựa trên thông tin được cung cấp và phân tích thông tin đó, vụ tấn công mạng của Cyber Av3ngers được thực hiện từ một lần vi phạm bảo mật trước đó và không phải là kết quả của bất kỳ hoạt động truy cập trái phép mới nào vào dữ liệu.
Tuy nhiên, các tác nhân đe dọa như Moses Staff với mục tiêu đến người dùng cá nhân và các tổ chức chính phủ, đặc biệt là trong các môi trường cơ sở hạ tầng quan trọng, vẫn đang hoạt động.
Điều quan trọng là phải phân tích kỹ lưỡng những sự cố như vậy để hiểu rõ bản chất của dữ liệu bị xâm phạm, cách lấy được dữ liệu đó và liệu có lỗ hổng bảo mật nào bị khai thác hay không. Ngoài ra, nó nhấn mạnh tầm quan trọng của việc duy trì các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi các mối đe dọa mới và tái diễn đối với hệ thống công nghệ thông tin và công nghệ vận hành (OT).
Hồng Đạt
15:00 | 13/10/2023
14:00 | 08/11/2023
07:00 | 24/04/2023
15:00 | 21/05/2024
21:00 | 16/11/2023
10:00 | 11/07/2022
09:00 | 09/01/2024
16:00 | 01/12/2023
11:00 | 07/02/2024
13:00 | 14/02/2025
Một cuộc điều tra mới đối với ứng dụng di động DeepSeek dành cho hệ điều hành Apple iOS đã phát hiện ra những vấn đề bảo mật nghiêm trọng, trong đó quan trọng nhất là ứng dụng này gửi dữ liệu nhạy cảm qua Internet mà không có bất kỳ mã hóa nào, khiến dữ liệu có nguy cơ bị chặn và tấn công.
10:00 | 06/02/2025
Trong kỳ nghỉ Tết Ất Tỵ 2025, hệ thống kỹ thuật của Cục An toàn thông tin (Bộ TT&TT) không ghi nhận việc xảy ra các sự cố tấn công mạng gây hậu quả nghiêm trọng. Tuy nhiên trong đợt nghỉ Tết Nguyên đán 2025 kéo dài 9 ngày vừa qua, cơ quan này đã phát hiện 105 cuộc tấn công mạng chủ yếu theo hình thức tấn công lừa đảo.
10:00 | 17/01/2025
Ngày 07/01/2025, Nhà Trắng đã công bố ra mắt US Cyber Trust Mark, một nhãn an toàn mạng mới dành cho các thiết bị tiêu dùng được kết nối Internet.
10:00 | 16/12/2024
Nhờ sự phối hợp với các công ty công nghệ toàn cầu và các biện pháp an ninh số tiên tiến, Thái Lan đã ngăn chặn thành công hơn 4,8 triệu vụ lừa đảo trực tuyến.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Hãng công nghệ Google thông báo sẽ phát hành các ứng dụng điện toán lượng tử thương mại trong vòng 5 năm tới. Động thái này được xem là lời thách thức trực tiếp tới những dự đoán thận trọng hơn từ Nvidia, vốn cho rằng phải mất tới 20 năm nữa công nghệ này mới thực sự hữu dụng.
13:00 | 14/02/2025