Tin tặc Nga tấn công mạng các nhà cung cấp dịch vụ viễn thông Ukraine

09:00 | 25/10/2023 | HACKER / MALWARE

Nhóm tin tặc Nga do nhà nước bảo trợ với tên gọi là “Sandworm” đã xâm phạm 11 nhà cung cấp dịch vụ viễn thông ở Ukraine trong khoảng thời gian từ tháng 5 đến tháng 9/2023.

Tin tặc Nga tấn công mạng các nhà cung cấp dịch vụ viễn thông Ukraine

Nhóm tin tặc có liên hệ với GRU

Thông tin này dựa trên một báo cáo mới của Trung tâm ứng cứu khẩn cấp máy tính (CERT-UA). Cơ quan này tuyên bố rằng tin tặc đã can thiệp vào hệ thống liên lạc của 11 công ty viễn thông nước này, dẫn đến gián đoạn dịch vụ và có khả năng vi phạm dữ liệu.

Sandworm là một nhóm gián điệp mạng hoạt động rất tích cực và có liên kết với Cơ quan Tình báo quân đội Nga (GRU). Những kẻ tấn công đã tập trung vào Ukraine trong suốt năm 2023, sử dụng các mồi nhử lừa đảo, phần mềm độc hại trên và trình xóa dữ liệu Wiper.

Nhắm mục tiêu vào các công ty viễn thông

Điểm bắt đầu của các cuộc tấn công là giai đoạn trinh sát mạng của một công ty viễn thông, bằng cách sử dụng công cụ “masscan” để thực hiện quét trên mạng của mục tiêu.

Ví dụ về tập lệnh masscan (CERT-UA)

Các tin tặc Sandworm tìm kiếm các cổng mở và giao diện RDP hoặc không được bảo vệ mà chúng có thể tận dụng để xâm phạm mạng. Ngoài ra, những kẻ tấn công sử dụng các công cụ như “ffuf”, “dirbuster”, “gowitness” và “nmap” để tìm các lỗ hổng tiềm ẩn trong các dịch vụ web có thể bị khai thác để giành quyền truy cập.

Các tài khoản bị xâm phạm không được bảo vệ bằng xác thực đa yếu tố cũng đã bị lợi dụng để có quyền truy cập mạng. CERT-UA cho biết: “Cần lưu ý rằng các hoạt động trinh sát và khai thác được thực hiện từ các máy chủ bị xâm nhập trước đó, đặc biệt là vùng mạng Internet của Ukraine”.

Để khiến cho hoạt động xâm nhập của mình trở nên lén lút hơn, Sandworm sử dụng “Dante”, “socks5” và các máy chủ proxy khác để định tuyến các hoạt động độc hại của chúng thông qua các máy chủ trong khu vực mạng Internet của Ukraine mà đã xâm phạm trước đó, khiến nó ít đáng ngờ hơn.

Báo cáo của CERT-UA cho thấy hai backdoor trong các hệ thống ISP bị vi phạm, đó là “Poemgate” và “Poseidon”. Poemgate nắm bắt thông tin đăng nhập của quản trị viên cố gắng xác thực ở điểm cuối bị xâm nhập, cung cấp cho kẻ tấn công quyền truy cập vào các tài khoản bổ sung mà chúng có thể sử dụng để di chuyển ngang hoặc xâm nhập mạng sâu hơn.

Trong khi đó, Poseidon là một backdoor Linux mà CERT-UA cho biết bao gồm đầy đủ các công cụ điều khiển máy tính từ xa. Sự bền bỉ của Poseidon đạt được bằng cách sửa đổi tác vụ Cron để bổ sung các hành vi độc hại.

Sửa đổi nhị phân Cron để thêm tính bền vững cho Poseidon (CERT-UA)

Sandworm sử dụng công cụ “Whitecat” để xóa dấu vết của cuộc tấn công và xóa nhật ký truy cập. Ở giai đoạn cuối của cuộc tấn công, tin tặc triển khai các tập lệnh có thể gây gián đoạn dịch vụ, đặc biệt là tập trung vào thiết bị Mikrotik và xóa sạch các bản sao lưu để khiến việc khôi phục trở nên khó khăn hơn.

Diễn biến này xảy ra khi CERT-UA cho biết họ đã quan sát thấy bốn chiến dịch tấn công được thực hiện bởi một nhóm tin tặc mà họ theo dõi là nhóm UAC-0006, sử dụng phần mềm độc hại “SmokeLoader” trong tuần đầu tiên của tháng 10/2023.

TÀI LIỆU THAM KHẢO

Phương Chi

‹ › ×

Tin liên quan

Microsoft cảnh báo về chiến thuật kỹ nghệ xã hội của nhóm tin tặc Nga thông qua các cuộc trò chuyện trên Microsoft Teams

14:00 | 04/08/2023

Ngày 02/8/2023, Microsoft cho biết, một nhóm tin tặc được theo dõi là “APT29” và được liên kết với Cơ quan Tình báo đối ngoại Nga (SVR) đã nhắm mục tiêu vào hàng chục tổ chức trên toàn thế giới, bao gồm cả các cơ quan chính phủ, trong các cuộc tấn công lừa đảo Microsoft Teams diễn ra mới đây.

Ukraine tấn công mạng và làm rò rỉ dữ liệu cơ quan hàng không của Nga

14:00 | 30/11/2023

Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.

Đồng ruble kỹ thuật số được Nga ứng dụng vào hoạt động thanh toán

08:00 | 24/11/2023

Trong bài phát biểu tại Hội đồng Liên bang, Bộ trưởng Bộ Tài chính Nga Anton Siluanov tuyên bố Bộ Tài chính và Ngân hàng Trung ương Nga đã quyết định sẽ tiến hành thí điểm sử dụng đồng ruble kỹ thuật số trong một số hoạt động chi tiêu ngân sách vào năm 2024.

Tin tặc Nga xâm phạm các hệ thống mạng thông tin quan trọng của Pháp

14:00 | 08/11/2023

Theo báo cáo mới được công bố từ Cơ quan An ninh hệ thống thông tin quốc gia Pháp (Agence Nationale de la sécurité des systèmes d'information-ANSSI) điều tra về các hoạt động của nhóm gián điệp mạng cho biết, nhóm tin tặc APT28 của Nga (còn được gọi là Strontium hoặc Fancy Bear) đã nhắm mục tiêu vào các tổ chức chính phủ, doanh nghiệp, trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp kể từ nửa cuối năm 2021.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.

Mã độc PicassoLoader được sử dụng trong các cuộc tấn công mạng đang diễn ra tại Ukraine và Ba Lan

16:00 | 21/07/2023

Các nhà nghiên cứu thuộc nhóm tình báo Talos của Cisco đã phát hiện một số chiến dịch tấn công mạng gần đây nhắm vào các tổ chức chính phủ, quân sự và dân sự tại Ukraine và Ba Lan để thực hiện đánh cắp thông tin dữ liệu nhạy cảm để giành quyền truy cập từ xa vào các hệ thống bị lây nhiễm.

Microsoft cảnh báo về các chiến thuật trốn tránh và đánh cắp thông tin xác thực của nhóm tin tặc Cold River

16:00 | 18/12/2023

Nhóm tình báo mối đe dọa của Microsoft mới đây vừa cho biết nhóm tin tặc Cold River đã tiếp tục tham gia vào các hoạt động đánh cắp thông tin xác thực chống lại các mục tiêu có lợi ích chiến lược đối với Nga, đồng thời chỉ ra rằng nhóm này cũng cải thiện khả năng trốn tránh phát hiện của mình.

Gia tăng tấn công mạng xoay quanh xung đột quân sự giữa Nga và Ukraine

09:00 | 13/07/2023

Trong bối cảnh xung đột quân sự leo thang giữa Nga và Ukraine, trên mặt trận không gian mạng đã xuất hiện nhiều hơn các chiến dịch tấn công mạng được thực hiện bởi các nhóm tin tặc được nhà nước hậu thuẫn và có quan điểm động cơ chính trị rõ ràng. Thông điệp đằng sau các sự cố mạng đều được các nhóm tin tặc thông báo và cho biết mục tiêu tấn công cụ thể của chúng. Các cuộc tấn công cho thấy sự gia tăng đáng báo động liên quan đến xung đột tại Ukraine hiện nay.

Tin cùng chuyên mục

Phân tích chức năng gián điệp trong phiên bản mod WhatsApp tấn công người dùng Ả Rập

09:00 | 08/12/2023

Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.

Giải mã phần mềm gián điệp SpyNote trên Android

13:00 | 31/10/2023

SpyNote là một phần mềm gián điệp trên Android với chức năng ghi nhật ký và đánh cắp nhiều loại thông tin, bao gồm tin nhắn SMS, thao tác bàn phím, cuộc gọi, bản ghi âm, theo dõi vị trí người dùng hay thông tin về các ứng dụng đã cài đặt. Đặc biệt, phần mềm độc hại này rất khó xóa bỏ trên Android. Bài viết tập trung phân tích các tính năng chính của Trojan SpyNote, dựa trên báo cáo từ công ty an ninh mạng F-Secure (Phần Lan) vừa được công bố mới đây.

Phát hiện lỗ hổng nghiêm trọng trong công cụ giải nén WinRAR

16:00 | 06/09/2023

Chuyên gia an ninh mạng của Zero Day Initiative phát hiện lỗ hổng nghiêm trọng trong WinRAR - công cụ giải nén phổ biến được hàng triệu người dùng Windows sử dụng. Lỗ hổng này đã được báo cáo lỗ hổng cho nhà cung cấp RARLAB. Đáng lưu ý, tin tặc có thể thực thi các lệnh trên máy tính từ xa nếu người dùng vô tình mở một file nén có mã độc.

Tội phạm lừa đảo qua ngân hàng điện tử tăng kỷ lục tại Nhật Bản

14:00 | 24/08/2023

Theo thống kê của cơ quan Cảnh sát quốc gia Nhật Bản, tính từ đầu năm 2023 đến nay, có đến 2.322 vụ lừa đảo đánh cắp tài khoản và mật khẩu ngân hàng tại nước này với tổng số tiền bị chiếm đoạt lên đến 3 tỷ Yen (khoảng 21 triệu USD).