Nhóm Sandworm hay còn được gọi BlackEnergy, Seashell Blizzard, Voodoo Bear và APT44, được cho là có liên quan đến Cơ quan Tình báo quân đội Nga (GRU), đã thực hiện các cuộc tấn công gián điệp mạng và phá hoại vào nhiều mục tiêu khác nhau.
CERT-UA báo cáo rằng vào tháng 3/2024, các tin tặc Sandworm đã tiến hành các hoạt động trên không gian mạng nhằm làm gián đoạn hệ thống thông tin và truyền thông của các nhà cung cấp năng lượng và điện nước ở 10 khu vực tại Ukraine.
Đặc biệt, trong các cuộc tấn công thì tin tặc Sandworm đã sử dụng backdoor mới là BIASBOAT và LOADGRIP để có quyền truy cập và di chuyển ngang hàng trên hệ thống mạng mục tiêu.
Các chuyên gia CERT-UA lưu ý rằng các cuộc tấn công của nhóm Sandworm trở nên dễ dàng và xác suất thành công cao do các hệ thống mục tiêu có khả năng bảo mật không an toàn và tồn tại nhiều rủi ro (ví dụ: thiếu phân đoạn mạng và chưa có nhiều lớp phòng thủ hệ thống theo chiều sâu).
Từ ngày 7/3 đến ngày 15/3/2024, CERT-UA đã tham gia vào các hoạt động đối phó với các tấn công mạng trên diện rộng, bao gồm thông báo cho các doanh nghiệp bị ảnh hưởng, gỡ bỏ phần mềm độc hại và tăng cường các biện pháp bảo mật.
Dựa trên những phát hiện từ việc điều tra nhật ký (log) thu được từ các thực thể bị xâm nhập, CERT-UA cho rằng các tin tặc Sandworm đã dựa vào các phần mềm độc hại sau để tấn công vào các nhà cung cấp tiện ích của Ukraine:
- QUEUESEED/IcyWell/Kapeka: Backdoor được phát triển bằng C++ trên Windows để thu thập thông tin hệ thống cơ bản và thực thi các lệnh từ máy chủ từ xa. Nó xử lý các hoạt động của tệp, thực thi lệnh và cập nhật cấu hình. Thông tin liên lạc được bảo mật thông qua HTTPS và dữ liệu được mã hóa bằng thuật toán RSA và AES.
Ngoài ra, phần mềm độc hại này lưu trữ dữ liệu và duy trì sự tồn tại trên các hệ thống bị lây nhiễm bằng cách mã hóa cấu hình của nó trong registry và thiết lập các tác vụ để thực thi tự động.
Hình 1. Phần mềm độc hại QUEUESEED thực thi lệnh
- BIASBOAT: Một biến thể trên Linux của mã độc QUEUESEED mới xuất hiện gần đây. BIASBOAT được ngụy trang thành một máy chủ tệp được mã hóa và hoạt động cùng với phần mềm độc hại LOADGRIP.
- LOADGRIP: Cũng là một biến thể Linux của QUEUESEED được phát triển bằng C, được sử dụng để đưa payload vào các tiến trình bằng API ptrace. Payload này thường được mã hóa với khóa giải mã được lấy từ một ID cụ thể của máy tính.
Hình 2. Tập lệnh Bash tải BIASBOAT và LOADGRIP
- GOSSIPFLOW: Phần mềm độc hại này phát triển từ Go và hoạt động trên Windows để thiết lập đường hầm (tunnel) bằng thư viện Yamux multiplexer. GOSSIPFLOW cung cấp proxy SOCKS5 để giúp lọc dữ liệu và liên lạc an toàn với máy chủ điều khiển và ra lệnh (C2).
Các tác nhân đe dọa đã sử dụng những phần mềm này để duy trì tính ổn định, ẩn các tiến trình độc hại và nâng cao đặc quyền của chúng trên các hệ thống bị xâm nhập.
CERT-UA nhận định rằng mục đích của các cuộc tấn công này là nhằm tăng cường hiệu quả của các cuộc tấn công tên lửa của Nga vào các cơ sở hạ tầng mục tiêu tại Ukraine.
Trước đó, công ty an ninh mạng Mandiant (Mỹ) đã tiết lộ mối liên hệ của nhóm tin tặc Sandworm với ba nhóm theo chủ nghĩa hacktivist trên Telegram trước đây đã từng tuyên bố tấn công vào cơ sở hạ tầng quan trọng ở châu Âu và Mỹ.
Ngọc Nguyên
(Tổng hợp)
13:00 | 26/02/2024
14:00 | 10/05/2024
08:00 | 15/05/2024
14:00 | 22/05/2024
13:00 | 07/02/2024
13:00 | 06/06/2024
16:00 | 15/05/2024
13:00 | 27/05/2024
14:00 | 23/11/2023
14:00 | 18/10/2024
Ngày 08/10, Cơ quan Giám sát truyền thông, Công nghệ thông tin và Truyền thông đại chúng Liên bang Nga (Roskomnadzor) thông báo đã chặn ứng dụng trò chuyện trực tuyến đa nền tảng Discord do vi phạm luật pháp Nga.
23:00 | 06/10/2024
Ngày 5/10, vòng sơ khảo cuộc thi Sinh viên với An toàn thông tin ASEAN 2024 đã được tổ chức với hình thức trực tuyến, quy tụ gần 1.000 sinh viên đến từ các nước ASEAN.
15:00 | 30/09/2024
Bản tin podcast ngày hôm nay, mời quý vị và các bạn ngược dòng lịch sử trở về sau 2 năm kể từ ngày Hiệp định Giơnevơ được ký kết, cuộc đấu tranh của nhân dân miền Nam đòi thi hành Hiệp định, tổng tuyển cử thống nhất Tổ quốc ngày càng phát triển. Trong bối cảnh đó, các tổ chức Cơ yếu miền Nam khôi phục, phát triển phục vụ bảo mật thông tin trong phong trào Đồng khởi 1960.
13:00 | 26/09/2024
Để phát triển nề nếp, chế độ quản lý, chỉ đạo công tác Cơ yếu, bản chế độ công tác Cơ yếu tạm thời, từ những tháng cuối năm 1951 trở đi, cùng với việc lớp Trần Phú về nước, khóa học huấn luyện chính trị tổ chức ở Nghệ An và các phong trào học tập chính trị, quân sự do Đảng, Nhà nước, Quân đội phát động, nhận thức về công tác ơ yếu ở các cấp lãnh đạo cũng như đối với cán bộ, nhân viên cơ yếu đã có một bước chuyển biến mới.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
