Tấn công vào nhà máy điện Dorad của Israel
Vào ngày 8/10/2023, một vụ tấn công mạng lớn vào nhà máy điện Dorad của đã được nhóm tin tặc Cyber Av3ngers công bố trên các diễn đàn ngầm. Nhóm này đã chia sẻ những bức ảnh về vụ tấn công có hình ảnh quốc kỳ Palestine cùng với các thông điệp chính trị ủng hộ lực lượng . Tuyên bố này được công bố song song với một thông báo khác về việc nhắm mục tiêu vào trang web Dorad bằng một cuộc tấn công từ chối dịch vụ (DoS) để tăng thêm độ tin cậy cho vụ tấn công.
Các nhà nghiên cứu của Kaspersky đã phân tích dữ liệu do công bố và nhận thấy nó được lấy từ những thông tin rò rỉ cũ hơn của một nhóm tin tặc hacktivist khác tên là Moses Staff.
Moses Staff bị cáo buộc là một nhóm tin tặc đến từ Iran, lần đầu tiên được xác định trên các diễn đàn ngầm vào tháng 9/2021. Hoạt động chính của họ là gây thiệt hại cho các công ty Israel bằng cách đánh cắp thông tin và công bố dữ liệu nhạy cảm.
Ngoài ra, nhóm này cũng nhắm mục tiêu vào các tổ chức từ các quốc gia khác như Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ. Điều quan trọng cần đề cập là không tìm thấy bằng chứng nào liên kết nhóm Cyber Av3ngers và các tin tặc của Moses Staff.
Giới thiệu về Cyber Av3ngers
Có một nhóm tin tặc với tên tương tự được gọi là Cyber Avengers và đã hoạt động ít nhất từ năm 2020. Tuy nhiên, có rất ít bằng chứng kết nối Cyber Avengers với Cyber Aveng3rs hoặc Cyber Av3ngers.
Với cuộc xung đột địa chính trị hiện tại, họ bắt đầu thu hút sự chú ý của công chúng về các hoạt động của mình hơn. Các nhóm tin tặc này chủ yếu nhắm vào các tổ chức của Israel, chủ yếu là những cơ quan vận hành các cơ sở hạ tầng quan trọng của đất nước này. Kể từ năm 2020, Cyber Avengers đã nhận trách nhiệm về vụ cắt điện trên diện rộng và tấn công mạng hệ thống đường sắt của Israel.
Ngày 15/9/2023, một kênh mới đã được tạo trên với tên @CyberAveng3rs. Kênh này bắt đầu bằng các thông báo liên kết chủ sở hữu của nó với các hoạt động trước đây do Cyber Avengers thực hiện, sau đó thêm thông tin về mục tiêu của họ vào cơ sở hạ tầng quan trọng của Israel, bao gồm cả hệ thống điện và nước.
Bài đăng mới nhất trên kênh này là về một hướng dẫn bảo mật đã được Chính phủ Israel công bố về vấn đề an ninh cơ sở hạ tầng. Nhóm Cyber Avengers đã gửi hướng dẫn qua danh sách các mục tiêu như một sự chế nhạo điều này.
Các tệp tin của Cyber Av3ngers
Các tệp rò rỉ ban đầu của Moses Staff từ năm 2022 không còn có sẵn từ các liên kết ban đầu. Tuy nhiên, các tệp tin vẫn có thể được tìm thấy trên các diễn đàn ngầm khác.
Kho lưu trữ được Moses Staff công bố lần đầu tiên vào tháng 6/2022, nó bao gồm dữ liệu bị rò rỉ từ nhiều công ty ở Israel. Các tệp liên quan đến vụ tấn công nhà máy điện Dorad (bao gồm 11 tệp), có mốc thời gian từ tháng 8/2020 và đến ngày 14/6/2022. Dữ liệu trong kho lưu trữ ở dạng tài liệu PDF cùng với ảnh PNG và JPEG. Một đoạn video cũng được những kẻ tấn công đăng tải song song với vụ rò rỉ dữ liệu.
So sánh các bức ảnh được đăng bởi Cyber Av3ngers và các bức ảnh gốc từ kho lưu trữ của Moses Staff, các nhà nghiên cứu của Kaspersky đưa ra phỏng đoán như sau:
- Cyber Av3ngers đã chụp ảnh từ các tài liệu và video PDF bị rò rỉ của Moses Staff.
- Cyber Av3ngers đã cắt ảnh và thêm ảnh logo trước khi công bố.
Nhìn chung, dữ liệu bị rò rỉ dường như là kết quả của các hoạt động tấn công mạng của Moses Staff, các tệp tin dường như đã bị đánh cắp thông qua việc sử dụng phần mềm độc hại từ các máy tính thuộc các tổ chức mục tiêu và hành vi này đã được thực hiện bởi tin tặc bằng cách sử dụng các công cụ tùy chỉnh như PyDCrypt, DCSrv và StrifeWater.
PyDCrypt là một chương trình viết bằng Python và xây dựng bằng PyInstaller, được sử dụng để lây nhiễm các máy tính khác trên mạng và đảm bảo rằng payload chính DCSrv được thực thi đúng cách.
DCSrv là một tiến trình độc hại giả mạo tiến trình svchost.exe hợp pháp. DCSrv ngăn chặn mọi quyền truy cập vào máy tính và mã hóa tất cả các ổ đĩa của nó bằng công cụ mã hóa mã nguồn mở hợp pháp DiskCryptor.
Trong khi đó, StrifeWater là một Trojan truy cập từ xa (RAT) lén lút được sử dụng trong giai đoạn đầu của cuộc tấn công để che giấu hành vi. Ngoài ra, nó còn có khả năng thực thi lệnh từ xa và chụp ảnh màn hình.
Vì Moses Staff không cố gắng thu lợi tài chính và mục tiêu trọng tâm của nhóm tin tặc này là gây thiệt hại cho đối phương nên thường không có cách nào để trả tiền chuộc và giải mã dữ liệu.
Kết luận
Dựa trên thông tin được cung cấp và phân tích thông tin đó, vụ tấn công mạng của Cyber Av3ngers được thực hiện từ một lần vi phạm bảo mật trước đó và không phải là kết quả của bất kỳ hoạt động truy cập trái phép mới nào vào dữ liệu.
Tuy nhiên, các tác nhân đe dọa như Moses Staff với mục tiêu đến người dùng cá nhân và các tổ chức chính phủ, đặc biệt là trong các môi trường cơ sở hạ tầng quan trọng, vẫn đang hoạt động.
Điều quan trọng là phải phân tích kỹ lưỡng những sự cố như vậy để hiểu rõ bản chất của dữ liệu bị xâm phạm, cách lấy được dữ liệu đó và liệu có lỗ hổng bảo mật nào bị khai thác hay không. Ngoài ra, nó nhấn mạnh tầm quan trọng của việc duy trì các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi các mối đe dọa mới và tái diễn đối với hệ thống công nghệ thông tin và công nghệ vận hành (OT).
Hồng Đạt
15:00 | 13/10/2023
14:00 | 08/11/2023
07:00 | 24/04/2023
21:00 | 16/11/2023
10:00 | 11/07/2022
09:00 | 09/01/2024
11:00 | 07/02/2024
16:00 | 01/12/2023
14:00 | 10/05/2024
Các cơ quan chức năng tại Cộng hòa Séc và Đức mới đây vừa tiết lộ rằng họ là mục tiêu của một chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc đến từ Nga có tên gọi APT28.
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
16:00 | 15/03/2024
Hàng năm, Microsoft phát hành Báo cáo phòng thủ kỹ thuật số. Đây là một bản đánh giá toàn diện về bối cảnh các mối đe dọa toàn cầu và các xu hướng lớn nhất trong lĩnh vực an ninh mạng. Năm 2023 tiếp tục ghi nhận sự gia tăng các mối đe dọa mạng cả về độ tinh vi cũng như tốc độ và quy mô, gây tổn hại đến các nhóm dịch vụ, thiết bị và người dùng. Các chuyên gia của Microsoft tin rằng trí tuệ nhân tạo (AI) có thể giúp tạo ra một sân chơi bình đẳng nhưng các nhóm bảo mật cần phải có hiểu biết sâu sắc và nguồn lực cần thiết để tận dụng tối đa tiềm năng của công nghệ này.
09:00 | 06/03/2024
Khoảng 22h20' ngày 5/3 (giờ Việt Nam), nhiều người dùng mạng xã hội của Facebook tại Việt Nam đã không thể truy cập được vào tài khoản của mình.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
09:00 | 15/05/2024