Tấn công vào nhà máy điện Dorad của Israel
Vào ngày 8/10/2023, một vụ tấn công mạng lớn vào nhà máy điện Dorad của đã được nhóm tin tặc Cyber Av3ngers công bố trên các diễn đàn ngầm. Nhóm này đã chia sẻ những bức ảnh về vụ tấn công có hình ảnh quốc kỳ Palestine cùng với các thông điệp chính trị ủng hộ lực lượng . Tuyên bố này được công bố song song với một thông báo khác về việc nhắm mục tiêu vào trang web Dorad bằng một cuộc tấn công từ chối dịch vụ (DoS) để tăng thêm độ tin cậy cho vụ tấn công.
Các nhà nghiên cứu của Kaspersky đã phân tích dữ liệu do công bố và nhận thấy nó được lấy từ những thông tin rò rỉ cũ hơn của một nhóm tin tặc hacktivist khác tên là Moses Staff.
Moses Staff bị cáo buộc là một nhóm tin tặc đến từ Iran, lần đầu tiên được xác định trên các diễn đàn ngầm vào tháng 9/2021. Hoạt động chính của họ là gây thiệt hại cho các công ty Israel bằng cách đánh cắp thông tin và công bố dữ liệu nhạy cảm.
Ngoài ra, nhóm này cũng nhắm mục tiêu vào các tổ chức từ các quốc gia khác như Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ. Điều quan trọng cần đề cập là không tìm thấy bằng chứng nào liên kết nhóm Cyber Av3ngers và các tin tặc của Moses Staff.
Giới thiệu về Cyber Av3ngers
Có một nhóm tin tặc với tên tương tự được gọi là Cyber Avengers và đã hoạt động ít nhất từ năm 2020. Tuy nhiên, có rất ít bằng chứng kết nối Cyber Avengers với Cyber Aveng3rs hoặc Cyber Av3ngers.
Với cuộc xung đột địa chính trị hiện tại, họ bắt đầu thu hút sự chú ý của công chúng về các hoạt động của mình hơn. Các nhóm tin tặc này chủ yếu nhắm vào các tổ chức của Israel, chủ yếu là những cơ quan vận hành các cơ sở hạ tầng quan trọng của đất nước này. Kể từ năm 2020, Cyber Avengers đã nhận trách nhiệm về vụ cắt điện trên diện rộng và tấn công mạng hệ thống đường sắt của Israel.
Ngày 15/9/2023, một kênh mới đã được tạo trên với tên @CyberAveng3rs. Kênh này bắt đầu bằng các thông báo liên kết chủ sở hữu của nó với các hoạt động trước đây do Cyber Avengers thực hiện, sau đó thêm thông tin về mục tiêu của họ vào cơ sở hạ tầng quan trọng của Israel, bao gồm cả hệ thống điện và nước.
Bài đăng mới nhất trên kênh này là về một hướng dẫn bảo mật đã được Chính phủ Israel công bố về vấn đề an ninh cơ sở hạ tầng. Nhóm Cyber Avengers đã gửi hướng dẫn qua danh sách các mục tiêu như một sự chế nhạo điều này.
Các tệp tin của Cyber Av3ngers
Các tệp rò rỉ ban đầu của Moses Staff từ năm 2022 không còn có sẵn từ các liên kết ban đầu. Tuy nhiên, các tệp tin vẫn có thể được tìm thấy trên các diễn đàn ngầm khác.
Kho lưu trữ được Moses Staff công bố lần đầu tiên vào tháng 6/2022, nó bao gồm dữ liệu bị rò rỉ từ nhiều công ty ở Israel. Các tệp liên quan đến vụ tấn công nhà máy điện Dorad (bao gồm 11 tệp), có mốc thời gian từ tháng 8/2020 và đến ngày 14/6/2022. Dữ liệu trong kho lưu trữ ở dạng tài liệu PDF cùng với ảnh PNG và JPEG. Một đoạn video cũng được những kẻ tấn công đăng tải song song với vụ rò rỉ dữ liệu.
So sánh các bức ảnh được đăng bởi Cyber Av3ngers và các bức ảnh gốc từ kho lưu trữ của Moses Staff, các nhà nghiên cứu của Kaspersky đưa ra phỏng đoán như sau:
- Cyber Av3ngers đã chụp ảnh từ các tài liệu và video PDF bị rò rỉ của Moses Staff.
- Cyber Av3ngers đã cắt ảnh và thêm ảnh logo trước khi công bố.
Nhìn chung, dữ liệu bị rò rỉ dường như là kết quả của các hoạt động tấn công mạng của Moses Staff, các tệp tin dường như đã bị đánh cắp thông qua việc sử dụng phần mềm độc hại từ các máy tính thuộc các tổ chức mục tiêu và hành vi này đã được thực hiện bởi tin tặc bằng cách sử dụng các công cụ tùy chỉnh như PyDCrypt, DCSrv và StrifeWater.
PyDCrypt là một chương trình viết bằng Python và xây dựng bằng PyInstaller, được sử dụng để lây nhiễm các máy tính khác trên mạng và đảm bảo rằng payload chính DCSrv được thực thi đúng cách.
DCSrv là một tiến trình độc hại giả mạo tiến trình svchost.exe hợp pháp. DCSrv ngăn chặn mọi quyền truy cập vào máy tính và mã hóa tất cả các ổ đĩa của nó bằng công cụ mã hóa mã nguồn mở hợp pháp DiskCryptor.
Trong khi đó, StrifeWater là một Trojan truy cập từ xa (RAT) lén lút được sử dụng trong giai đoạn đầu của cuộc tấn công để che giấu hành vi. Ngoài ra, nó còn có khả năng thực thi lệnh từ xa và chụp ảnh màn hình.
Vì Moses Staff không cố gắng thu lợi tài chính và mục tiêu trọng tâm của nhóm tin tặc này là gây thiệt hại cho đối phương nên thường không có cách nào để trả tiền chuộc và giải mã dữ liệu.
Kết luận
Dựa trên thông tin được cung cấp và phân tích thông tin đó, vụ tấn công mạng của Cyber Av3ngers được thực hiện từ một lần vi phạm bảo mật trước đó và không phải là kết quả của bất kỳ hoạt động truy cập trái phép mới nào vào dữ liệu.
Tuy nhiên, các tác nhân đe dọa như Moses Staff với mục tiêu đến người dùng cá nhân và các tổ chức chính phủ, đặc biệt là trong các môi trường cơ sở hạ tầng quan trọng, vẫn đang hoạt động.
Điều quan trọng là phải phân tích kỹ lưỡng những sự cố như vậy để hiểu rõ bản chất của dữ liệu bị xâm phạm, cách lấy được dữ liệu đó và liệu có lỗ hổng bảo mật nào bị khai thác hay không. Ngoài ra, nó nhấn mạnh tầm quan trọng của việc duy trì các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi các mối đe dọa mới và tái diễn đối với hệ thống công nghệ thông tin và công nghệ vận hành (OT).
Hồng Đạt
15:00 | 13/10/2023
14:00 | 08/11/2023
07:00 | 24/04/2023
21:00 | 16/11/2023
10:00 | 11/07/2022
16:00 | 01/12/2023
22:00 | 22/11/2023
Chiều ngày 22/11, tại Hà Nội, Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ đã tổ chức Lễ Ký kết Quy chế phối hợp giữa hai đơn vị trong công tác cơ yếu, bảo mật và an toàn thông tin giai đoạn 2024 - 2030, nhằm cụ thể hoá các nội dung, nhiệm vụ và công việc trong thời gian tới.
10:00 | 07/11/2023
Vừa qua, nhà cung cấp bảo mật đám mây tích hợp SlashNext đã công bố báo cáo thực trạng tấn công lừa đảo năm 2023, cho thấy số lượng tin nhắn lừa đảo độc hại đã tăng hơn 1.000% kể từ quý IV/2022.
14:00 | 27/10/2023
Hàng năm, nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky sẽ công bố các bản tóm tắt mỗi quý về các hoạt động tấn công có chủ đích (APT). Đây là một hoạt động thường niên để cung cấp cái nhìn tổng quan thông tin về các mối đe dọa được duy trì trong suốt hơn 5 năm qua của Kaspersky. Bài viết này trình bày về các xu hướng tấn công APT nổi bật trong quý 3/2023 dựa trên báo cáo mới đây của hãng bảo mật đến từ Nga.
10:00 | 26/10/2023
Tốc độ 5G tải xuống trung bình của nhà mạng T-Mobile trong quý III/2023 là 221,57 Mb/giây, gần bằng mạng băng thông rộng cố định mà Cox cung cấp cho khách hàng trong cùng kỳ (260,09 Mb/giây).
Lệnh cấm điện thoại di động trong trường học tại Hà Lan có hiệu lực từ tháng 1/2024. Bên cạnh điện thoại di động, chính quyền Hà Lan sẽ cấm cả iPad, đồng hồ thông minh và các thiết bị tương tự tại trường học.
17:00 | 22/12/2023
Ngày 14/12, trong khuôn khổ Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào - Campuchia lần thứ nhất, tại khu vực biên giới chung ba nước Việt Nam - Lào - Campuchia đã diễn ra cuộc gặp thường niên Bộ trưởng Bộ Quốc phòng ba nước Việt Nam - Lào- Campuchia. Đại tướng Phan Văn Giang, Uỷ viên Bộ Chính trị, Bộ trưởng Bộ Quốc phòng Việt Nam; Đại tướng Chansamone Chanyalath, Ủy viên Bộ Chính trị Ban Chấp hành Trung ương Đảng Nhân dân Cách mạng Lào, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Lào; Đại tướng Tea Seiha, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Campuchia đồng chủ trì giao lưu.
15:00 | 18/12/2023
Ngày 8/12 vừa qua, các nước thành viên Liên minh châu Âu (EU) đã đạt được thỏa thuận về một bộ quy tắc đối với việc quản lý trí tuệ nhân tạo (AI). Đây được coi là văn bản mang tính bước ngoặt, là nền tảng để xây dựng bộ quy tắc đầy đủ về trí tuệ nhân tạo, cũng là khuôn khổ pháp lý đầu tiên trong lĩnh vực này.
14:00 | 14/12/2023