Theo thông báo từ Bộ Tư pháp Mỹ (DoJ), một hoạt động được tòa án ủy quyền đã làm gián đoạn mạng lưới hàng trăm bộ định tuyến hệ điều hành Ubiquiti Edge dưới sự kiểm soát của nhóm tin tặc APT28 khét tiếng.
DoJ cho biết, các hành vi độc hại của APT28 bao gồm các chiến dịch lừa đảo quy mô lớn và thu thập thông tin xác thực tương tự nhằm vào các mục tiêu mà Chính phủ Nga quan tâm, chẳng hạn như theo dõi các tổ chức quân sự, an ninh và các tập đoàn tư nhân tại Mỹ cũng như các quốc gia đối trọng khác với Nga.
Nhóm tin tặc APT28 còn được biết với các tên gọi khác, bao gồm: BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy và TA422, được đánh giá là có liên quan đến Đơn vị 26165 của Cơ quan Tình báo Quân đội Nga (GRU). Nhóm tin tặc này đã hoạt động ít nhất kể từ năm 2007.
Các tài liệu của tòa án cáo buộc rằng những kẻ tấn công đã thực hiện các chiến dịch gián điệp mạng bằng cách dựa vào MooBot - một mạng botnet dựa trên Mirai đã xâm nhập vào các bộ định tuyến Ubiquiti dễ bị tấn công để đưa chúng vào một mạng lưới các thiết bị có thể được sửa đổi để hoạt động như một proxy, chuyển tiếp lưu lượng truy cập độc hại trong khi ẩn địa chỉ IP thực tế.
DoJ cho rằng, botnet này đã cho phép các tác nhân đe dọa che giấu vị trí thực sự của chúng và thu thập thông tin xác thực cũng như các hàm băm NT LAN Manager (NTLM) v2 thông qua các tập lệnh riêng biệt, cũng như lưu trữ các trang đích lừa đảo trực tuyến và các công cụ tùy chỉnh khác để tiến hành Brute Force mật khẩu, đánh cắp mật khẩu bộ định tuyến và phát tán phần mềm độc hại MooBot sang các thiết bị khác.
Trong một bản báo cáo của Cục Điều tra Liên bang Mỹ (FBI) công bố, cơ quan này cho biết MooBot khai thác các bộ định tuyến Ubiquiti dễ bị tấn công và có thể truy cập công khai bằng cách sử dụng thông tin xác thực mặc định và nhúng phần mềm độc hại thông qua SSH cho phép truy cập từ xa vào thiết bị.
DoJ giải thích: “Một số tác nhân đe dọa (không phải các tin tặc GRU) đã cài đặt phần mềm độc hại MooBot trên các bộ định tuyến Ubiquiti Edge mà vẫn đang sử dụng mật khẩu quản trị viên mặc định được biết đến công khai. Các tin tặc GRU sau đó đã sử dụng MooBot để cài đặt các tập lệnh độc hại riêng nhằm mục đích thay đổi mục đích hoạt động của mạng botnet, biến nó thành một nền tảng gián điệp mạng có phạm vi trên toàn cầu”.
Các tác nhân APT28 bị nghi ngờ đã tìm thấy và truy cập trái phép các bộ định tuyến Ubiquiti bị xâm nhập bằng cách sử dụng số phiên bản OpenSSH cụ thể làm tham số tìm kiếm, sau đó sử dụng MooBot để truy cập các bộ định tuyến đó. Các chiến dịch lừa đảo trực tuyến do nhóm APT28 thực hiện cũng đã tận dụng lỗ hổng zero-day trong Outlook (CVE-2023-23397) để lấy thông tin xác thực đăng nhập và gửi chúng đến bộ định tuyến.
Ngoài ra, để vô hiệu hóa quyền truy cập của các tin tặc vào các bộ định tuyến cho đến khi nạn nhân có thể giảm thiểu sự xâm phạm và xác nhận lại toàn quyền kiểm soát, hoạt động của Chính phủ Mỹ đã sửa đổi hoàn toàn các quy tắc tường lửa của bộ định tuyến để chặn quyền truy cập quản lý từ xa vào thiết bị.
Hoạt động được tòa án ủy quyền, được gọi là Dying Ember, diễn ra chỉ vài tuần sau khi Mỹ triệt phá một chiến dịch tấn công mạng khác do nhà nước tài trợ có nguồn gốc từ Trung Quốc, lợi dụng một mạng botnet có tên là KV botnet để nhắm mục tiêu vào các cơ sở hạ tầng quan trọng.
Trước đó vào tháng 5/2023, Mỹ cũng tuyên bố đã phá vỡ một mạng lưới toàn cầu bị xâm phạm bởi một loại phần mềm độc hại tiên tiến có tên Snake do các tin tặc liên quan đến Cơ quan An ninh Liên bang Nga (FSB), hay còn gọi là Turla sử dụng.
Hồng Đạt
(Tổng hợp)
11:00 | 26/04/2024
14:00 | 14/03/2024
08:00 | 06/02/2024
09:00 | 19/03/2024
09:00 | 10/06/2024
10:00 | 27/05/2024
13:00 | 11/07/2023
17:00 | 30/08/2024
15:00 | 26/01/2024
17:00 | 23/10/2024
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
16:00 | 23/10/2024
Sáng ngày 22/10, hội nghị “Bảo vệ người dân, khách hàng trước thực trạng lừa đảo trực tuyến trên không gian mạng” dưới sự chủ trì, điều phối của Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã chính thức diễn ra tại thành phố Đà Nẵng.
10:00 | 01/10/2024
Theo nghiên cứu của các chuyên gia đến từ Cybernews (Lithuania), MC2 Data - một công ty chuyên cung cấp dịch vụ dữ liệu đã bỏ sót một cơ sở dữ liệu trực tuyến khổng lồ chứa 2,2 TB dữ liệu của nhiều người dùng, trong đó có hơn 100 triệu thông tin của người dùng Mỹ mà không được bảo vệ.
08:00 | 24/09/2024
Sau đây là một số dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 24 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Ngày 22/10, Giao lưu hữu nghị quốc phòng biên giới Việt Nam - Lào lần thứ hai chính thức bắt đầu với lễ đón đoàn đại biểu Lào tại cửa khẩu Lóng Sập, huyện Mộc Châu, tỉnh Sơn La.
16:00 | 23/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
