Theo thông báo từ Bộ Tư pháp Mỹ (DoJ), một hoạt động được tòa án ủy quyền đã làm gián đoạn mạng lưới hàng trăm bộ định tuyến hệ điều hành Ubiquiti Edge dưới sự kiểm soát của nhóm tin tặc APT28 khét tiếng.
DoJ cho biết, các hành vi độc hại của APT28 bao gồm các chiến dịch lừa đảo quy mô lớn và thu thập thông tin xác thực tương tự nhằm vào các mục tiêu mà Chính phủ Nga quan tâm, chẳng hạn như theo dõi các tổ chức quân sự, an ninh và các tập đoàn tư nhân tại Mỹ cũng như các quốc gia đối trọng khác với Nga.
Nhóm tin tặc APT28 còn được biết với các tên gọi khác, bao gồm: BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy và TA422, được đánh giá là có liên quan đến Đơn vị 26165 của Cơ quan Tình báo Quân đội Nga (GRU). Nhóm tin tặc này đã hoạt động ít nhất kể từ năm 2007.
Các tài liệu của tòa án cáo buộc rằng những kẻ tấn công đã thực hiện các chiến dịch gián điệp mạng bằng cách dựa vào MooBot - một mạng botnet dựa trên Mirai đã xâm nhập vào các bộ định tuyến Ubiquiti dễ bị tấn công để đưa chúng vào một mạng lưới các thiết bị có thể được sửa đổi để hoạt động như một proxy, chuyển tiếp lưu lượng truy cập độc hại trong khi ẩn địa chỉ IP thực tế.
DoJ cho rằng, botnet này đã cho phép các tác nhân đe dọa che giấu vị trí thực sự của chúng và thu thập thông tin xác thực cũng như các hàm băm NT LAN Manager (NTLM) v2 thông qua các tập lệnh riêng biệt, cũng như lưu trữ các trang đích lừa đảo trực tuyến và các công cụ tùy chỉnh khác để tiến hành Brute Force mật khẩu, đánh cắp mật khẩu bộ định tuyến và phát tán phần mềm độc hại MooBot sang các thiết bị khác.
Trong một bản báo cáo của Cục Điều tra Liên bang Mỹ (FBI) công bố, cơ quan này cho biết MooBot khai thác các bộ định tuyến Ubiquiti dễ bị tấn công và có thể truy cập công khai bằng cách sử dụng thông tin xác thực mặc định và nhúng phần mềm độc hại thông qua SSH cho phép truy cập từ xa vào thiết bị.
DoJ giải thích: “Một số tác nhân đe dọa (không phải các tin tặc GRU) đã cài đặt phần mềm độc hại MooBot trên các bộ định tuyến Ubiquiti Edge mà vẫn đang sử dụng mật khẩu quản trị viên mặc định được biết đến công khai. Các tin tặc GRU sau đó đã sử dụng MooBot để cài đặt các tập lệnh độc hại riêng nhằm mục đích thay đổi mục đích hoạt động của mạng botnet, biến nó thành một nền tảng gián điệp mạng có phạm vi trên toàn cầu”.
Các tác nhân APT28 bị nghi ngờ đã tìm thấy và truy cập trái phép các bộ định tuyến Ubiquiti bị xâm nhập bằng cách sử dụng số phiên bản OpenSSH cụ thể làm tham số tìm kiếm, sau đó sử dụng MooBot để truy cập các bộ định tuyến đó. Các chiến dịch lừa đảo trực tuyến do nhóm APT28 thực hiện cũng đã tận dụng lỗ hổng zero-day trong Outlook (CVE-2023-23397) để lấy thông tin xác thực đăng nhập và gửi chúng đến bộ định tuyến.
Ngoài ra, để vô hiệu hóa quyền truy cập của các tin tặc vào các bộ định tuyến cho đến khi nạn nhân có thể giảm thiểu sự xâm phạm và xác nhận lại toàn quyền kiểm soát, hoạt động của Chính phủ Mỹ đã sửa đổi hoàn toàn các quy tắc tường lửa của bộ định tuyến để chặn quyền truy cập quản lý từ xa vào thiết bị.
Hoạt động được tòa án ủy quyền, được gọi là Dying Ember, diễn ra chỉ vài tuần sau khi Mỹ triệt phá một chiến dịch tấn công mạng khác do nhà nước tài trợ có nguồn gốc từ Trung Quốc, lợi dụng một mạng botnet có tên là KV botnet để nhắm mục tiêu vào các cơ sở hạ tầng quan trọng.
Trước đó vào tháng 5/2023, Mỹ cũng tuyên bố đã phá vỡ một mạng lưới toàn cầu bị xâm phạm bởi một loại phần mềm độc hại tiên tiến có tên Snake do các tin tặc liên quan đến Cơ quan An ninh Liên bang Nga (FSB), hay còn gọi là Turla sử dụng.
Hồng Đạt
(Tổng hợp)
11:00 | 26/04/2024
14:00 | 14/03/2024
08:00 | 06/02/2024
09:00 | 19/03/2024
09:00 | 10/06/2024
10:00 | 27/05/2024
13:00 | 11/07/2023
17:00 | 30/08/2024
15:00 | 26/01/2024
10:00 | 28/08/2024
Thế giới công nghệ phát triển không ngừng, mang lại vô vàn tiện ích cho cuộc sống, nhưng cũng mở ra không ít cơ hội cho những kẻ lừa đảo tinh vi. Một trong những chiêu trò mới nhất, đang khiến nhiều người “tiền mất tật mang”, chính là giả danh nhân viên giao hàng để chiếm đoạt tài sản. Số vụ lừa đảo theo hình thức này tăng vọt trong thời gian gần đây, Bộ TT&TT cảnh báo cần hết sức chú ý và cảnh giác trước những chiêu trò của kẻ gian.
09:00 | 09/08/2024
Bộ Tư pháp Hoa Kỳ (DOJ) và Ủy ban Thương mại Liên bang (FTC) đã đệ đơn kiện nền tảng truyền thông xã hội phổ biến TikTok và công ty mẹ ByteDance, với các cáo buộc vi phạm nghiêm trọng luật bảo vệ quyền riêng tư của trẻ em tại quốc gia này.
08:00 | 22/07/2024
Bản tin podcast ngày hôm nay xin mời quý vị lắng nghe về các sự kiện quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 22 tháng 7 mà Tạp chí An toàn thông tin điện tử tổng hợp.
08:00 | 17/07/2024
Trong bối cảnh lo ngại về quyền riêng tư, cơ quan bảo vệ dữ liệu của Brazil (Autoridade Nacional de Proteção de Dados - ANPD) đã tạm thời cấm Meta xử lý dữ liệu cá nhân của người dùng để đào tạo thuật toán trí tuệ nhân tạo (AI) của công ty.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 05 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
08:00 | 05/09/2024
Giữa những trang sử vàng của cuộc kháng chiến chống Mỹ, có những câu chuyện về những người lính thầm lặng, những người không trực tiếp cầm súng chiến đấu nhưng lại nắm giữ một vũ khí vô cùng lợi hại, đó là thông tin. Họ là những chiến sĩ cơ yếu, những người đã cống hiến cả cuộc đời mình cho sự nghiệp bảo vệ bí mật quốc gia, góp phần không nhỏ vào thắng lợi của dân tộc. Ông Nguyễn Văn Khôi, một cựu chiến binh cơ yếu, là một trong những nhân chứng sống của thời kỳ hào hùng đó.
08:00 | 05/09/2024
Google chính thức giới thiệu hai tính năng Gemini mới cho Gmail, tích hợp trí tuệ nhân tạo (AI) để hỗ trợ người dùng viết và chỉnh sửa email, cải thiện hiệu suất và chất lượng công việc.
11:00 | 03/09/2024
