Thông tin này dựa trên một báo cáo mới của Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA). Cơ quan này tuyên bố rằng tin tặc Nga đã can thiệp vào hệ thống liên lạc của 11 công ty viễn thông nước này, dẫn đến gián đoạn dịch vụ và có khả năng vi phạm dữ liệu.
Sandworm là một nhóm gián điệp mạng hoạt động rất tích cực và có liên kết với Cơ quan Tình báo quân đội Nga (GRU). Những kẻ tấn công đã tập trung vào Ukraine trong suốt năm 2023, sử dụng các mồi nhử lừa đảo, phần mềm độc hại trên Android và trình xóa dữ liệu Wiper.
Điểm bắt đầu của các cuộc tấn công là giai đoạn trinh sát mạng của một công ty viễn thông, bằng cách sử dụng công cụ “masscan” để thực hiện quét trên mạng của mục tiêu.
Ví dụ về tập lệnh masscan (CERT-UA)
Các tin tặc Sandworm tìm kiếm các cổng mở và giao diện RDP hoặc SSH không được bảo vệ mà chúng có thể tận dụng để xâm phạm mạng. Ngoài ra, những kẻ tấn công sử dụng các công cụ như “ffuf”, “dirbuster”, “gowitness” và “nmap” để tìm các lỗ hổng tiềm ẩn trong các dịch vụ web có thể bị khai thác để giành quyền truy cập.
Các tài khoản VPN bị xâm phạm không được bảo vệ bằng xác thực đa yếu tố cũng đã bị lợi dụng để có quyền truy cập mạng. CERT-UA cho biết: “Cần lưu ý rằng các hoạt động trinh sát và khai thác được thực hiện từ các máy chủ bị xâm nhập trước đó, đặc biệt là vùng mạng Internet của Ukraine”.
Để khiến cho hoạt động xâm nhập của mình trở nên lén lút hơn, Sandworm sử dụng “Dante”, “socks5” và các máy chủ proxy khác để định tuyến các hoạt động độc hại của chúng thông qua các máy chủ trong khu vực mạng Internet của Ukraine mà đã xâm phạm trước đó, khiến nó ít đáng ngờ hơn.
Báo cáo của CERT-UA cho thấy hai backdoor trong các hệ thống ISP bị vi phạm, đó là “Poemgate” và “Poseidon”. Poemgate nắm bắt thông tin đăng nhập của quản trị viên cố gắng xác thực ở điểm cuối bị xâm nhập, cung cấp cho kẻ tấn công quyền truy cập vào các tài khoản bổ sung mà chúng có thể sử dụng để di chuyển ngang hoặc xâm nhập mạng sâu hơn.
Trong khi đó, Poseidon là một backdoor Linux mà CERT-UA cho biết bao gồm đầy đủ các công cụ điều khiển máy tính từ xa. Sự bền bỉ của Poseidon đạt được bằng cách sửa đổi tác vụ Cron để bổ sung các hành vi độc hại.
Sửa đổi nhị phân Cron để thêm tính bền vững cho Poseidon (CERT-UA)
Sandworm sử dụng công cụ “Whitecat” để xóa dấu vết của cuộc tấn công và xóa nhật ký truy cập. Ở giai đoạn cuối của cuộc tấn công, tin tặc triển khai các tập lệnh có thể gây gián đoạn dịch vụ, đặc biệt là tập trung vào thiết bị Mikrotik và xóa sạch các bản sao lưu để khiến việc khôi phục trở nên khó khăn hơn.
Diễn biến này xảy ra khi CERT-UA cho biết họ đã quan sát thấy bốn chiến dịch tấn công lừa đảo được thực hiện bởi một nhóm tin tặc mà họ theo dõi là nhóm UAC-0006, sử dụng phần mềm độc hại “SmokeLoader” trong tuần đầu tiên của tháng 10/2023.
|
TÀI LIỆU THAM KHẢO https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html |
Phương Chi
14:00 | 04/08/2023
14:00 | 30/11/2023
08:00 | 24/11/2023
14:00 | 23/11/2023
14:00 | 08/11/2023
14:00 | 06/12/2024
09:00 | 05/01/2024
13:00 | 18/01/2024
16:00 | 21/07/2023
16:00 | 18/12/2023
13:00 | 26/02/2024
09:00 | 13/07/2023
14:00 | 10/03/2025
Microsoft cáo buộc nhóm tin tặc đã tạo ra các công cụ độc hại để tạo ra video Deepfake của người nổi tiếng và nhiều nội dung bất hợp pháp khác. Danh tính các cá nhân có liên quan bao gồm Arian Yadegarnia từ Iran (biệt danh Fiz), Alan Krysiak từ Vương quốc Anh (biệt danh Drago), Ricky Yuen từ Hồng Kông (biệt danh cg-dot) và Phát Phùng Tấn từ Việt Nam (biệt danh Asakuri).
17:00 | 25/02/2025
Các nhà nghiên cứu tại công ty an ninh mạng Field Effect (Canada) cảnh báo, tin tặc đang nhắm vào các máy RMM SimpleHelp client dễ bị tấn công để tạo tài khoản quản trị viên, cài đặt mã độc và có thể làm trung gian cho các cuộc tấn công bằng mã độc tống tiền.
10:00 | 24/02/2025
GitLab đã ban hành một khuyến cáo bảo mật kêu gọi người dùng cập nhật hệ thống ngay lập tức để khắc phục nhiều lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng. Bản cập nhật này áp dụng cho GitLab Community Edition (CE) và Enterprise Edition (EE) với các phiên bản 17.8.2, 17.7.4 và 17.6.5.
08:00 | 19/02/2025
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
