Trong chiến dịch tấn công mạng này, các tác nhân đe dọa Turla (hay Secret Blizzard) đã chiếm quyền truy cập 33 máy chủ điều khiển và ra lệnh (C2) do tin tặc Pakistan kiểm soát. Đây cũng chính là những kẻ tấn công đã từng xâm nhập vào các mục tiêu của Chính phủ Afghanistan và Ấn Độ.
Theo đó, tin tặc Turla đã xâm nhập vào máy chủ C2 của một nhóm tin tặc APT Pakistan là Storm-0156 (hay SideCopy, Transparent Tribe, APT-36), sử dụng quyền truy cập đó để khởi chạy phần mềm độc hại của riêng chúng và đánh cắp dữ liệu nhạy cảm.
“Chiến dịch mới nhất này kéo dài trong hai năm qua, là trường hợp thứ tư được ghi nhận về việc các tin tặc Turla nhúng mình vào hoạt động của một nhóm gián điệp khác kể từ năm 2019, khi lần đầu tiên chúng bị phát hiện đang tái sử dụng C2 của một nhóm tin tặc Iran”, các nhà nghiên cứu cho biết.
Được biết, Turla là nhóm tin tặc APT tinh vi của Nga nhắm mục tiêu vào các đại sứ quán và văn phòng chính phủ trên khắp thế giới, cũng bị phát hiện đang kiểm soát node Hak5 Cloud C2, một nền tảng được thiết kế để thử nghiệm xâm nhập hợp pháp nhưng bị lạm dụng cho mục đích do thám.
Turla đã hoạt động trong hơn một thập kỷ qua, có liên quan đến một loạt các cuộc tấn công mạng quy mô lớn sử dụng các công cụ phần mềm độc hại phức tạp, chẳng hạn như Snake để tiến hành các hoạt động thu thập thông tin tình báo.
Các hoạt động do Turla thực hiện kể từ tháng 11/2022 cho thấy một nỗ lực nhằm xâm phạm cơ sở hạ tầng C2 của Storm-0156. Mặc dù các cơ chế truy cập ban đầu chưa được biết đến, các nhà nghiên cứu đã phát hiện ra rằng các tin tặc Turla đã sử dụng hiệu quả backdoor Storm-0156 nhằm triển khai các phần mềm độc hại của riêng chúng là TwoDash và Statuezy, trong các mạng lưới chính phủ của Afghanistan, bao gồm Bộ Ngoại giao và Tổng cục Tình báo nước này, từ đó đánh cắp dữ liệu từ thông tin đăng nhập đến các tệp do các tin tặc Storm-0156 thu thập.
“Thông qua kênh này, Turla có khả năng thu thập được rất nhiều dữ liệu. Điều này bao gồm thông tin chi tiết về công cụ của Storm-0156, thông tin xác thực cho cả C2 và mạng lưới mục tiêu, cũng như dữ liệu đã rò rỉ thu thập được từ các hoạt động trước đó”, các nhà nghiên cứu lưu ý.
Black Lotus Labs cho biết, Storm-0156 trước đây thường nhắm vào các mạng lưới của Chính phủ Ấn Độ và Afghanistan, đồng thời lưu ý rằng việc các tin tặc Turla xâm nhập vào các máy trạm của Storm-0156 là bằng chứng cho thấy các tin tặc Nga đã cố tình che đậy dấu vết và làm lu mờ những nỗ lực trong việc quy kết kẻ tấn công tới từ các nhà chức trách.
Đến giữa năm 2024, Black Lotus Labs cho biết Turla đã mở rộng phương thức và phạm vi tấn công, trong đó bao gồm việc sử dụng hai phần mềm độc hại khác là Wasicot và CrimsonRAT mà chúng đã chiếm đoạt được từ Storm-0156.
CrimsonRAT từng được phát hiện lây nhiễm vào các mục tiêu của chính phủ và quân đội Ấn Độ, các nhà nghiên cứu phát hiện ra rằng Turla sau đó đã lợi dụng quyền truy cập này để thu thập dữ liệu từ các lần triển khai phần mềm độc hại từ trước.
Không giống như các nhóm gián điệp Nga khác sử dụng công cụ riêng để che giấu danh tính, Turla sử dụng cơ sở hạ tầng của các tác nhân đe dọa mạng khác để gián tiếp thu thập thông tin tình báo. Điều này không chỉ cung cấp cho chúng những thông tin nhạy cảm mà còn che giấu một cách chiến lược, vì các nỗ lực ứng phó sự cố có thể nhầm lẫn khi quy kết các vụ xâm phạm cho các nhóm khác.
“Có một đặc điểm nổi bật ở nhóm Turla, đó là sự táo bạo trong việc khai thác máy chủ C2 của những tác nhân đe dọa khác cho mục đích riêng của chúng”, Black Lotus Labs cảnh báo, bên cạnh đó lưu ý rằng chiến lược này cho phép những người điều hành Turla có thể đánh cắp từ xa các tệp tin nhạy cảm đã được thu thập trước đó từ các hệ thống mạng bị xâm phạm mà không cần sử dụng (và có thể làm lộ) các công cụ của riêng chúng.
Trong khi theo dõi các tương tác của Turla với các node C2 Storm-0156 bị chiếm đoạt, Black Lotus Labs cho biết họ đã xác định được hoạt động phát tín hiệu từ nhiều mạng lưới Chính phủ Afghanistan mà các tác nhân đe dọa Storm-0156 đã xâm phạm trước đó.
Black Lotus Labs đã phối hợp cùng với các chuyên gia bảo mật tại Microsoft cho biết, đã quan sát các tương tác của Turla với một tập hợp con các node CrimsonRAT C2, trước đây từng được sử dụng để nhắm mục tiêu vào chính phủ và quân đội Ấn Độ.
Một báo cáo riêng từ Microsoft ghi lại cách nhóm tin tặc Turla đã xâm nhập và chiếm đoạt một cách có hệ thống cơ sở hạ tầng của ít nhất 6 nhóm tin tặc do nhà nước tài trợ và tội phạm khác nhau kể từ năm 2017.
Các nhà nghiên cứu giải thích rằng điều này phù hợp với mô hình đã được thiết lập của Turla, trước đây đã từng chiếm đoạt cơ sở hạ tầng của các tin tặc Iran (Hazel Sandstorm), tin tặc Kazakhstan (Storm-0473) và các tác nhân đe dọa khác. Phân tích của Microsoft cho thấy cách tiếp cận này là một chiến lược có chủ đích của FSB nhằm tiến hành các hoạt động gián điệp mạng trong khi che giấu hành vi của chúng phía sau các hoạt động của các nhóm tin tặc khác.
Hồng Đạt
(Tổng hợp)
13:00 | 27/05/2024
08:00 | 20/12/2024
08:00 | 15/05/2024
16:00 | 23/05/2024
10:00 | 07/01/2025
Cơ quan chức năng của Bộ Thông tin và Truyền thông đã ghi nhận hơn 7.000 phản ánh của người dân về lừa đảo trực tuyến trong tuần qua, đồng thời cảnh báo nguy cơ gia tăng số thiết bị có thể trở thành nguồn tấn công từ chối dịch vụ….
07:00 | 28/11/2024
Trong hai ngày 3 - 4/12 tới đây, tạI Học viện Kỹ thuật mật mã, Hội thảo khoa học quốc tế về mật mã và an toàn thông tin lần thứ nhất (VCRIS 2024) sẽ được tổ chức. Đây là một diễn đàn học thuật - một sự kiện quốc tế đầu tiên tại Việt Nam về lĩnh vực mật mã và an toàn thông tin.
16:00 | 25/11/2024
Sáng ngày 25/11/2024, tại Hà Nội, Báo điện tử Đảng Cộng sản Việt Nam phối hợp với Tổng cục Quản lý thị trường, Tổng cục Hải quan, Hiệp hội Chống hàng giả và bảo vệ thương hiệu Việt Nam, Cục Sở hữu trí tuệ, Công ty cổ phần VNET và các cơ quan, đơn vị liên quan tổ chức lễ phát động Cuộc thi "Chống hàng giả và lừa đảo trực tuyến" và Chương trình trao thưởng “Cào tem chống giả - Nhận ngay may mắn”.
10:00 | 15/11/2024
Ngày 14/11, Văn phòng Quốc hội phối hợp với Bộ Tư lệnh 86 (Bộ Quốc phòng), Ban Cơ yếu Chính phủ, Bộ Thông tin và Truyền thông, Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel) tổ chức Diễn tập thực chiến bảo đảm an toàn thông tin mạng tại Văn phòng Quốc hội năm 2024. Thời gian diễn tập thực chiến diễn ra từ ngày 14 - 19/11/2024.
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Ngày 07/01, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an tổ chức Hội nghị tổng kết công tác năm 2025 và triển khai chương trình công tác viễn thông, cơ yếu năm 2025. Trung tướng Lê Văn Tuyến, Thứ trưởng Bộ Công an và Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội nghị.
09:00 | 08/01/2025
Chỉ trong thời gian ngắn, Trung Quốc đã đạt được cột mốc ấn tượng với 1 tỷ thuê bao di động 5G, khẳng định tốc độ triển khai hạ tầng 5G hàng đầu thế giới.
10:00 | 31/12/2024