Nhóm Sandworm hay còn được gọi BlackEnergy, Seashell Blizzard, Voodoo Bear và APT44, được cho là có liên quan đến Cơ quan Tình báo quân đội Nga (GRU), đã thực hiện các cuộc tấn công gián điệp mạng và phá hoại vào nhiều mục tiêu khác nhau.
CERT-UA báo cáo rằng vào tháng 3/2024, các tin tặc Sandworm đã tiến hành các hoạt động trên không gian mạng nhằm làm gián đoạn hệ thống thông tin và truyền thông của các nhà cung cấp năng lượng và điện nước ở 10 khu vực tại Ukraine.
Đặc biệt, trong các cuộc tấn công thì tin tặc Sandworm đã sử dụng backdoor mới là BIASBOAT và LOADGRIP để có quyền truy cập và di chuyển ngang hàng trên hệ thống mạng mục tiêu.
Các chuyên gia CERT-UA lưu ý rằng các cuộc tấn công của nhóm Sandworm trở nên dễ dàng và xác suất thành công cao do các hệ thống mục tiêu có khả năng bảo mật không an toàn và tồn tại nhiều rủi ro (ví dụ: thiếu phân đoạn mạng và chưa có nhiều lớp phòng thủ hệ thống theo chiều sâu).
Từ ngày 7/3 đến ngày 15/3/2024, CERT-UA đã tham gia vào các hoạt động đối phó với các tấn công mạng trên diện rộng, bao gồm thông báo cho các doanh nghiệp bị ảnh hưởng, gỡ bỏ phần mềm độc hại và tăng cường các biện pháp bảo mật.
Dựa trên những phát hiện từ việc điều tra nhật ký (log) thu được từ các thực thể bị xâm nhập, CERT-UA cho rằng các tin tặc Sandworm đã dựa vào các phần mềm độc hại sau để tấn công vào các nhà cung cấp tiện ích của Ukraine:
- QUEUESEED/IcyWell/Kapeka: Backdoor được phát triển bằng C++ trên Windows để thu thập thông tin hệ thống cơ bản và thực thi các lệnh từ máy chủ từ xa. Nó xử lý các hoạt động của tệp, thực thi lệnh và cập nhật cấu hình. Thông tin liên lạc được bảo mật thông qua HTTPS và dữ liệu được mã hóa bằng thuật toán RSA và AES.
Ngoài ra, phần mềm độc hại này lưu trữ dữ liệu và duy trì sự tồn tại trên các hệ thống bị lây nhiễm bằng cách mã hóa cấu hình của nó trong registry và thiết lập các tác vụ để thực thi tự động.
Hình 1. Phần mềm độc hại QUEUESEED thực thi lệnh
- BIASBOAT: Một biến thể trên Linux của mã độc QUEUESEED mới xuất hiện gần đây. BIASBOAT được ngụy trang thành một máy chủ tệp được mã hóa và hoạt động cùng với phần mềm độc hại LOADGRIP.
- LOADGRIP: Cũng là một biến thể Linux của QUEUESEED được phát triển bằng C, được sử dụng để đưa payload vào các tiến trình bằng API ptrace. Payload này thường được mã hóa với khóa giải mã được lấy từ một ID cụ thể của máy tính.
Hình 2. Tập lệnh Bash tải BIASBOAT và LOADGRIP
- GOSSIPFLOW: Phần mềm độc hại này phát triển từ Go và hoạt động trên Windows để thiết lập đường hầm (tunnel) bằng thư viện Yamux multiplexer. GOSSIPFLOW cung cấp proxy SOCKS5 để giúp lọc dữ liệu và liên lạc an toàn với máy chủ điều khiển và ra lệnh (C2).
Các tác nhân đe dọa đã sử dụng những phần mềm này để duy trì tính ổn định, ẩn các tiến trình độc hại và nâng cao đặc quyền của chúng trên các hệ thống bị xâm nhập.
CERT-UA nhận định rằng mục đích của các cuộc tấn công này là nhằm tăng cường hiệu quả của các cuộc tấn công tên lửa của Nga vào các cơ sở hạ tầng mục tiêu tại Ukraine.
Trước đó, công ty an ninh mạng Mandiant (Mỹ) đã tiết lộ mối liên hệ của nhóm tin tặc Sandworm với ba nhóm theo chủ nghĩa hacktivist trên Telegram trước đây đã từng tuyên bố tấn công vào cơ sở hạ tầng quan trọng ở châu Âu và Mỹ.
Ngọc Nguyên
(Tổng hợp)
13:00 | 26/02/2024
14:00 | 10/05/2024
08:00 | 15/05/2024
14:00 | 22/05/2024
13:00 | 07/02/2024
13:00 | 06/06/2024
16:00 | 15/05/2024
13:00 | 27/05/2024
14:00 | 23/11/2023
10:00 | 31/12/2024
Chỉ trong thời gian ngắn, Trung Quốc đã đạt được cột mốc ấn tượng với 1 tỷ thuê bao di động 5G, khẳng định tốc độ triển khai hạ tầng 5G hàng đầu thế giới.
15:00 | 17/12/2024
Nhà chức trách Pháp đã phạt Orange, nhà mạng lớn nhất của nước này 50 triệu Euro (53 triệu USD) do gửi quảng cáo không mong muốn cho hàng triệu khách hàng dưới hình thức thư điện tử (email).
17:00 | 22/11/2024
Trong thời đại công nghệ số và trí tuệ nhân tạo ngày càng đi sâu vào hoạt động kinh doanh, các doanh nghiệp Việt Nam đứng trước cả thách thức lẫn cơ hội trong việc quản lý rủi ro và bảo đảm an toàn công nghệ.
10:00 | 21/11/2024
Mới đây, lực lượng chức năng Nhật Bản đã bắt giữ 1 người đàn ông Trung Quốc bị cáo buộc lừa đảo một phụ nữ 71 tuổi nước này với số tiền lên tới 809 triệu yên (5,3 triệu USD). Đây là vụ lừa đảo đầu tư trên mạng xã hội có số tiền lớn nhất từ trước đến nay ở Nhật Bản.
Sáng ngày 06/01, Đảng ủy Ban Cơ yếu Chính phủ tổ chức Hội nghị ra nghị quyết lãnh đạo thực hiện nhiệm vụ năm 2025. Đại tướng Nguyễn Tân Cương, Ủy viên Trung ương Đảng, Ủy viên Thường vụ Quân ủy Trung ương, Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam, Thứ trưởng Bộ Quốc phòng dự và chỉ đạo Hội nghị. Thiếu tướng Nguyễn Đăng Lực, Bí thư Đảng ủy, Phó Trưởng ban Cơ yếu Chính phủ chủ trì Hội nghị.
13:00 | 06/01/2025
Ngày 07/01, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an tổ chức Hội nghị tổng kết công tác năm 2025 và triển khai chương trình công tác viễn thông, cơ yếu năm 2025. Trung tướng Lê Văn Tuyến, Thứ trưởng Bộ Công an và Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội nghị.
09:00 | 08/01/2025
Chỉ trong thời gian ngắn, Trung Quốc đã đạt được cột mốc ấn tượng với 1 tỷ thuê bao di động 5G, khẳng định tốc độ triển khai hạ tầng 5G hàng đầu thế giới.
10:00 | 31/12/2024