Cyber Toufan mang đặc điểm của một nhóm tin tặc tinh vi và tự nhận được thành lập từ các chiến binh mạng của nhà nước Palestine. Nhóm này đã nhanh chóng nổi tiếng, thực hiện các cuộc tấn công mạng phức tạp chống lại các thực thể cấp cao của Israel.
Chiến thuật của nhóm cho thấy Cyber Toufan có thể được tài trợ bởi một chính phủ. Viện nghiên cứu quốc tế về chống khủng bố (ICT) thuộc Đại học Reichman đã lưu ý vào cuối tháng 11 rằng: “Nhóm này đã thể hiện khả năng vượt trội so với các nhóm tin tặc Hamas có liên kết với người Palestine khác. Các hoạt động của nhóm tập trung vào việc xâm phạm các máy chủ, cơ sở dữ liệu và gây rò rỉ thông tin, điều này cho thấy nhóm đã có sự hỗ trợ mạnh mẽ từ một chính phủ nào đó, các dấu hiệu hướng tới việc Iran có thể là nước hỗ trợ ”.
Các nhà nghiên cứu bảo mật đã theo dõi hơn 100 cuộc tấn công liên quan đến hoạt động của Cyber Toufan, đặc trưng bởi việc đánh cắp một lượng lớn dữ liệu, bao gồm thông tin cá nhân và phát tán nó trên web.
Công ty tình báo an ninh mạng SOC Radar đã viết trong một báo cáo vào hai tuần trước: “Các cuộc tấn công của Cyber Toufan không chỉ dẫn đến rò rỉ lượng lớn dữ liệu mà còn đóng vai trò như một hình thức trả đũa kỹ thuật số, phù hợp với các mục tiêu chiến lược rộng lớn trong khu vực”.
Nhà nghiên cứu bảo mật độc lập Kevin Beaumont (Anh) cho biết, nhóm tin tặc này đã làm rò rỉ dữ liệu của 59 tổ chức trên kênh Telegram. Tuy nhiên, nhóm có thể đã xâm phạm hơn 40 tổ chức nữa trong các cuộc tấn công nhắm vào nhà cung cấp dịch vụ được quản lý (MSP). Dữ liệu nhóm này làm rò rỉ bao gồm hình ảnh đĩa máy chủ hoàn chỉnh, chứng chỉ SSL (vẫn chưa bị thu hồi và đang được sử dụng), kết xuất SQL, CRM và cả các bản sao lưu WordPress.
Nạn nhân của Cyber Toufan bao gồm: Cơ quan Lưu trữ Quốc gia Israel; Cơ quan Đổi mới Israel; Trung tâm Nhà ở Israel; Công viên Quốc gia Israel; Trường Cao đẳng Học thuật Tel Aviv; Bộ Y tế Israel; Bộ Phúc lợi và An sinh Xã hội, Cơ quan Chứng khoán Israel; Các doanh nghiệp Allot, MAX Security & Intelligence, Radware và Toyota Israel.
Một số nạn nhân đã không thể phục hồi sau các cuộc tấn công mạng và trong tình trạng ngoại tuyến trong vài tuần. Theo nhà nghiên cứu Kevin Beaumont, Cyber Toufan đã sử dụng Shred, một công cụ để xóa các tập tin và không thể khôi phục được. Để làm được điều đó, nhóm đã chạy Shred bằng cách sử dụng tập lệnh shell của riêng họ để đảm bảo rằng công cụ này tiếp tục chạy ngay cả khi tiến trình bị quản trị viên hủy bỏ.
Các nhà nghiên cứu cũng phát hiện Cyber Toufan đã gửi email tới khách hàng của các tổ chức bị tấn công và dường như nhóm này đang cố gắng phối hợp với nhiều nhóm tin tặc khác trong các hoạt động tấn công tập thể với quy mô lớn hơn.
Thanh Bình
(securityweek)
15:00 | 15/03/2024
16:00 | 01/12/2023
08:00 | 12/03/2024
15:00 | 21/05/2024
14:00 | 05/03/2024
21:00 | 16/11/2023
14:00 | 23/05/2024
16:00 | 15/03/2024
14:00 | 08/11/2023
14:00 | 10/05/2024
14:00 | 26/03/2024
09:00 | 27/10/2023
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024