Nhóm Sandworm hay còn được gọi BlackEnergy, Seashell Blizzard, Voodoo Bear và APT44, được cho là có liên quan đến Cơ quan Tình báo quân đội Nga (GRU), đã thực hiện các cuộc tấn công gián điệp mạng và phá hoại vào nhiều mục tiêu khác nhau.
CERT-UA báo cáo rằng vào tháng 3/2024, các tin tặc Sandworm đã tiến hành các hoạt động trên không gian mạng nhằm làm gián đoạn hệ thống thông tin và truyền thông của các nhà cung cấp năng lượng và điện nước ở 10 khu vực tại Ukraine.
Đặc biệt, trong các cuộc tấn công thì tin tặc Sandworm đã sử dụng backdoor mới là BIASBOAT và LOADGRIP để có quyền truy cập và di chuyển ngang hàng trên hệ thống mạng mục tiêu.
Các chuyên gia CERT-UA lưu ý rằng các cuộc tấn công của nhóm Sandworm trở nên dễ dàng và xác suất thành công cao do các hệ thống mục tiêu có khả năng bảo mật không an toàn và tồn tại nhiều rủi ro (ví dụ: thiếu phân đoạn mạng và chưa có nhiều lớp phòng thủ hệ thống theo chiều sâu).
Từ ngày 7/3 đến ngày 15/3/2024, CERT-UA đã tham gia vào các hoạt động đối phó với các tấn công mạng trên diện rộng, bao gồm thông báo cho các doanh nghiệp bị ảnh hưởng, gỡ bỏ phần mềm độc hại và tăng cường các biện pháp bảo mật.
Dựa trên những phát hiện từ việc điều tra nhật ký (log) thu được từ các thực thể bị xâm nhập, CERT-UA cho rằng các tin tặc Sandworm đã dựa vào các phần mềm độc hại sau để tấn công vào các nhà cung cấp tiện ích của Ukraine:
- QUEUESEED/IcyWell/Kapeka: Backdoor được phát triển bằng C++ trên Windows để thu thập thông tin hệ thống cơ bản và thực thi các lệnh từ máy chủ từ xa. Nó xử lý các hoạt động của tệp, thực thi lệnh và cập nhật cấu hình. Thông tin liên lạc được bảo mật thông qua HTTPS và dữ liệu được mã hóa bằng thuật toán RSA và AES.
Ngoài ra, phần mềm độc hại này lưu trữ dữ liệu và duy trì sự tồn tại trên các hệ thống bị lây nhiễm bằng cách mã hóa cấu hình của nó trong registry và thiết lập các tác vụ để thực thi tự động.
Hình 1. Phần mềm độc hại QUEUESEED thực thi lệnh
- BIASBOAT: Một biến thể trên Linux của mã độc QUEUESEED mới xuất hiện gần đây. BIASBOAT được ngụy trang thành một máy chủ tệp được mã hóa và hoạt động cùng với phần mềm độc hại LOADGRIP.
- LOADGRIP: Cũng là một biến thể Linux của QUEUESEED được phát triển bằng C, được sử dụng để đưa payload vào các tiến trình bằng API ptrace. Payload này thường được mã hóa với khóa giải mã được lấy từ một ID cụ thể của máy tính.
Hình 2. Tập lệnh Bash tải BIASBOAT và LOADGRIP
- GOSSIPFLOW: Phần mềm độc hại này phát triển từ Go và hoạt động trên Windows để thiết lập đường hầm (tunnel) bằng thư viện Yamux multiplexer. GOSSIPFLOW cung cấp proxy SOCKS5 để giúp lọc dữ liệu và liên lạc an toàn với máy chủ điều khiển và ra lệnh (C2).
Các tác nhân đe dọa đã sử dụng những phần mềm này để duy trì tính ổn định, ẩn các tiến trình độc hại và nâng cao đặc quyền của chúng trên các hệ thống bị xâm nhập.
CERT-UA nhận định rằng mục đích của các cuộc tấn công này là nhằm tăng cường hiệu quả của các cuộc tấn công tên lửa của Nga vào các cơ sở hạ tầng mục tiêu tại Ukraine.
Trước đó, công ty an ninh mạng Mandiant (Mỹ) đã tiết lộ mối liên hệ của nhóm tin tặc Sandworm với ba nhóm theo chủ nghĩa hacktivist trên Telegram trước đây đã từng tuyên bố tấn công vào cơ sở hạ tầng quan trọng ở châu Âu và Mỹ.
Hồng Đạt
(Tổng hợp)
13:00 | 26/02/2024
14:00 | 10/05/2024
08:00 | 15/05/2024
13:00 | 07/02/2024
16:00 | 15/05/2024
14:00 | 23/11/2023
09:00 | 15/05/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
13:00 | 15/04/2024
Hội thảo quốc tế IEEE lần thứ nhất về mật mã và an toàn thông tin (VCRIS 2024) dự kiến sẽ được tổ chức trong 02 ngày 03-04/12/2024 tại Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ. Hội thảo nhằm mục đích tạo lập và phát triển môi trường trao đổi học thuật, thúc đẩy các hoạt động nghiên cứu khoa học cơ bản, khoa học ứng dụng về mật mã và an toàn thông tin tại Việt Nam và thế giới.
09:00 | 01/04/2024
Mới đây, các nhà nghiên cứu của nhóm bảo mật Unit42 tới từ công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết một số nhóm tin tặc APT có liên kết với Trung Quốc đã được quan sát nhắm mục tiêu vào các thực thể và các nước thành viên của Hiệp hội các quốc gia Đông Nam Á (ASEAN), như một phần của chiến dịch gián điệp mạng kéo dài trong ba tháng qua.
08:00 | 22/03/2024
Năm 2024 đánh dấu chặng đường 18 năm xây dựng và phát triển của Tạp chí An toàn thông tin (17/3/2006-17/3/2023). Trong suốt 18 năm qua, Tạp chí đã có những bước phát triển vượt bậc, đáp ứng yêu cầu nhiệm vụ chính trị của đất nước và của ngành Cơ yếu Việt Nam, đặc biệt là yêu cầu về chuyên nghiệp, hiện đại hóa cơ quan báo chí của Chính phủ và của Quân đội. Tạp chí đã cung cấp nội dung thông tin phong phú, chuyên sâu và rộng khắp trong lĩnh vưc bảo mật, an toàn thông tin (ATTT) và Cơ yếu với hình thức thể hiện đa dạng, phù hơp với sự thay đổi của công nghệ truyền thông cũng như sự thay đổi của nhu cầu bạn đọc.
Chiều ngày 15/5, tại Hà Nội, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn cùng đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban đã đến thăm và làm việc với Tòa án nhân dân tối cao nhằm phối hợp triển khai các nhiệm vụ về bảo mật và an toàn thông tin trong tình hình mới.
10:00 | 16/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và Trí tuệ nhân tạo (Hiệp hội Blockchain Việt Nam) để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
09:00 | 17/05/2024