Các tác nhân đe dọa APT sẽ mua quyền truy cập mạng ban đầu từ tội phạm mạng

Năm 2020, các chuyên gia đã dự đoán và tội phạm mạng trong năm 2021 sẽ khó bị phát hiện hơn ở cấp độ hoạt động. Các tác nhân APT sẽ tận dụng thị trường web, nơi tin tặc bán quyền truy cập vào các công ty mà chúng đã xâm nhập. Dự đoán này đã trở thành sự thật.

Blackberry đã công bố một báo cáo xoay quanh một đối tượng với tên gọi Zebra 2104 (được hiểu như là người môi giới truy cập ban đầu). Theo nghiên cứu của họ, Zebra 2104 đã cung cấp cho các đối tượng khai thác mã độc tống tiền một vị trí ban đầu đối với một số nạn nhân của họ. Đáng chú ý, nhóm tin tặc StrongPity cũng đã sử dụng dịch vụ của họ. Trên thực tế đây là loại hoạt động sẽ diễn ra trong các giai đoạn chuẩn bị cho một cuộc tấn công, các giai đoạn này thường không thể nhìn thấy, có thể xảy ra nhiều lần mà khó có thể nhận ra được.

Nhiều quốc gia sử dụng pháp luật như một phần của chiến dịch không gian mạng của họ

Vào năm 2020, các chuyên gia dự đoán rằng các chính phủ sẽ áp dụng chiến lược “name and shame” để thu hút sự chú ý đến hoạt động của các nhóm APT thù địch. Xu hướng này đã phát triển nhiều hơn trong năm ngoái. Các chuyên gia cũng dự đoán rằng các quốc gia sẽ bắt đầu sử dụng luật pháp để phá vỡ và trừng phạt các hoạt động của đối thủ và điều này đã được chứng minh là hoàn toàn chính xác.

Vào ngày 15/4/2021, Nhà Trắng chính thức đổ lỗi cho Nga về vụ tấn công chuỗi cung ứng SolarWinds. Thông báo này đi kèm với các biện pháp trừng phạt đối với một số công ty mà Bộ Tài chính Hoa Kỳ cho biết có liên quan đến việc hỗ trợ các hoạt động tấn công.

Vào ngày 1/7/2021, NSA, FBI, CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng), NCSC của Vương quốc Anh đã đưa ra một cảnh báo chung về hàng trăm cuộc  trên khắp thế giới do các nhóm tin tặc APT28 và Fancy Bear. Mục tiêu của nhóm tin tặc này nhắm đến là các cơ quan chính phủ và quân đội, nhà thầu quốc phòng, tổ chức đảng phái chính trị, tổ chức tư vấn, công ty hậu cần, công ty năng lượng, trường đại học, công ty luật và công ty truyền thông.

Ngay sau đó vào ngày 19/7/2021, Hoa Kỳ đã công bố dự thảo quy định "hành vi vô trách nhiệm và gây mất ổn định trong không gian mạng" - được NATO, EU và Anh ủng hộ. Tuyên bố từ Nhà Trắng đặc biệt đề cập đến việc khai thác các lỗ hổng zero-day của Microsoft Exchange trong thời gian gần đây. Bộ Tư pháp Hoa Kỳ cũng đã truy tố bốn thành viên bị cáo buộc của APT40 vì các hoạt động bất hợp pháp.

Lực lượng Phòng vệ Israel (Israeli Defense Forces - IDF) đã thông tin về việc  tin tặc sử dụng chiêu trò lừa đảo để dụ binh sĩ Israel cài đặt phần mềm gián điệp. Những kẻ tấn công đã sử dụng sáu hồ sơ mạng xã hội trên Facebook, Instagram và Telegram để thu hút sự chú ý của các mục tiêu nam giới, thiết lập mối quan hệ với họ và cuối cùng dụ họ cài đặt ứng dụng với mục đích cung cấp chức năng trò chuyện riêng tư trên điện thoại của họ.

Vào ngày 24/9/2021, EU đã đưa ra một tuyên bố liên quan đến một chiến dịch thông tin sai lệch có tên “Ghostwriter” diễn ra từ tháng 3/2017, nhằm làm mất uy tín của NATO. Chiến dịch này được cho là liên quan đến việc đột nhập các trang web tin tức hoặc tài khoản mạng xã hội của các quan chức chính phủ để xuất bản các tài liệu giả mạo, tin tức giả mạo và các ý kiến sai lệch nhằm gây ảnh hưởng đến bầu cử, phá vỡ hệ thống chính trị địa phương và tạo ra sự mất lòng tin vào NATO. Bất chấp những lời đe dọa, EU cuối cùng vẫn quyết định không áp đặt các biện pháp trừng phạt.

Nhiều công ty ở Silicon Valley sẽ hành động chống lại các nhà cung cấp phần mềm zero-day

Ngay sau khi các chuyên gia đưa ra , Microsoft, Google, Cisco và Dell đã tham gia cùng Facebook trong cuộc chiến pháp lý chống lại Văn phòng tiêu chuẩn hóa quốc gia (NSO). Mặc dù các hành động pháp lý vẫn đang diễn ra, tuy nhiên tới nay chưa có thêm vụ kiện bổ sung nào để chống lại các nhà cung cấp phần mềm zero-day hoặc phần mềm xâm nhập khác.

Có thể Silicon Valley đang chờ đợi kết quả của phiên tòa đầu tiên trước khi làm việc với các công ty môi giới khác. Tuy nhiên, vào ngày 3/11/2021, Bộ Thương mại Hoa Kỳ đã gửi một tín hiệu rất mạnh mẽ đến thị trường zero-day bằng cách thêm một số công ty (NSO, Positive Technologies, COSEINC, Candiru) vào danh sách, vì các hoạt động trái với an ninh quốc gia của Hoa Kỳ do “lưu lượng truy cập trong các công cụ mạng”. Hiện vẫn chưa rõ tác động của điều này đối với quá trình tố tụng đang diễn ra.

Gia tăng mục tiêu vào các thiết bị mạng

Khi đưa ra dự đoán này, các chuyên gia Kaspersky dựa trên sự gia tăng của các hoạt động độc hại nhắm vào các thiết bị mạng riêng ảo (Virtual Private Network - VPN).  Như đã đề cập trong phần đầu tiên của bài viết này, các lỗ hổng của phần mềm dễ thấy nhất đã ảnh hưởng đến các chương trình khác nhau (chẳng hạn như Microsoft Exchange). Tuy nhiên, các chuyên gia đã quan sát thấy một số tác nhân đe dọa, chẳng hạn như APT10 - những kẻ đang khai thác các lỗ hổng này để chiếm quyền điều khiển các phiên VPN.

Nhưng theo một cách khác thì dự đoán này cũng trở thành sự thật. Một chiến dịch do APT31 tổ chức vào năm 2021, tin tặc đã tận dụng mạng lưới các bộ định tuyến SOHO bị nhiễm (cụ thể là các mẫu Pakedge RK1, RE1 và RE2) và sử dụng nó như một mạng ẩn danh và lưu trữ các C&C.

Sự xuất hiện của các lỗ hổng 5G

Năm 2020 là một năm căng thẳng gia tăng xung quanh sự phát triển của công nghệ 5G. Các chuyên gia dự đoán rằng chúng sẽ trở nên tồi tệ hơn và một trong những cách chúng thể hiện vào năm 2021 là thông qua các lỗ hổng của sản phẩm liên quan đến 5G, hoặc thậm chí có thể trong chính giao thức 5G. Có một số tranh cãi giới hạn trong phạm vi pháp lý, nhưng vẫn có một số nghiên cứu thú vị, xác định các vấn đề bảo mật có thể cho phép những kẻ tấn công trích xuất thông tin xác thực hoặc thông tin vị trí.

Tấn công đòi tiền chuộc bằng các mối đe dọa

Các thủ thuật tống tiền nâng cao bằng phần mềm được sử dụng từ năm 2019 đã được chứng minh là đủ hiệu quả để trở thành một phần không thể thiếu trong kế hoạch của tội phạm mạng. Tuy nhiên, theo đánh giá từ các vụ bắt giữ khác nhau và các tuyên bố chung từ nhiều cơ quan và quan chức thực thi pháp luật, phản ứng đối với vấn đề mã độc tống tiền đang trở nên có tổ chức hơn. Vào tháng 10/2021, chính phủ Hoa Kỳ đã tiến hành các hoạt động tấn công nhằm phá vỡ các hoạt động của REvil.

Áp lực và mối đe dọa hiện hữu mà nó gây ra được phản ánh trong các xu hướng hiện tại trong hệ sinh thái mã độc tống tiền. Các chiến thuật tống tiền liên quan đến dữ liệu bị đánh cắp đã được thử nghiệm và có thể không phải là trọng tâm hiện tại của các nhóm tội phạm.

Gia tăng các cuộc tấn công  gây hậu quả nghiêm trọng

Dự đoán này đã được chứng minh là chính xác. Một trong những sự kiện mạng mang tính chất điển hình nhất của năm 2021 là cuộc tấn công mã độc tống tiền vào Colonial Pipeline. Trong quá trình tấn công, thiết bị quản lý đường ống dẫn dầu đã bị ảnh hưởng, gây ra các vấn đề về nguồn cung đáng kể ở Hoa Kỳ. Cơ sở hạ tầng này bị ảnh hưởng nghiêm trọng đến mức nạn nhân buộc phải trả 4,4 triệu đô la tiền chuộc, nhưng may mắn thay 2,3 triệu đô la đã được Bộ Tư pháp Mỹ thu hồi.

Vào tháng 7/2021, một chiếc cần gạt nước chưa từng thấy (Meteor) đã làm tê liệt hệ thống đường sắt Iran. Những người dùng bị mắc kẹt đã được mời gửi đơn khiếu nại của họ qua điện thoại tới chính quyền địa phương, điều này có thể ảnh hưởng đến chất lượng dịch vụ của một cơ quan chức năng khác của chính phủ. Sau đó, vào tháng 10, một vụ tấn công tương tự đã ảnh hưởng đến tất cả các trạm xăng ở trong nước.

Tin tặc tiếp tục khai thác xu hướng tấn công

Trong năm 2020, các chuyên gia đã chứng kiến nhiều nhóm APT nhắm mục tiêu vào các tổ chức học thuật và trung tâm nghiên cứu tham gia vào việc phát triển vắc-xin COVID-19. Điều này bao gồm DarkHotel và APT29 (hay còn gọi là CozyDuke và CozyBear) với phần mềm độc hại WellMess.

Năm 2021, các chuyên gia đã phát hiện một số nhóm APT cố gắng sử dụng mồi nhử COVID-19 để nhắm mục tiêu, chẳng hạn như ScarCruft, LuminousMoth, EdwardsPhesant, BountyGlad, Kimsuky và ReconHellcat. Đáng lưu ý là nhóm tin tặc SideCopy, nhằm mục tiêu vào các tổ chức ngoại giao và chính phủ ở Châu Á và Trung Đông bằng cách sử dụng các nội dung liên quan đến COVID-19 cùng với các trang web bị xâm nhập lưu trữ các tệp đánh giá công nghệ y tế (Health Tech Assessment - HTA) và JavaScript độc hại. Có nhiều khía cạnh của chiến dịch, bao gồm chuỗi thực thi, phần mềm độc hại được sử dụng, chồng chéo cơ sở hạ tầng, đường dẫn PDB (Protein Data Bank File) - phần mở rộng tệp tin và các giao thức truyền tải TTP khác. Điều này làm liên tưởng tới các nhóm tin tặc khác hoạt động trong cùng khu vực như SideWinder, OrigamiElephant, nhóm Gorgon hoặc Transparent Tribe. Tuy nhiên, không có sự tương tự nào được tìm thấy đủ thuyết phục để gán tập hợp hoạt động này cho các tác nhân đã biết.

(còn tiếp)