-
09/04/2020
-
85
-
553 bài viết
Killnet - từ công cụ tấn công DDoS đến nhóm tin tặc chuyên diệt “mạng” (Phần 2)
Trong Phần 1, chúng ta đã có cái nhìn tổng quát về bộ mặt của Killnet và cách mà nhóm nhóm tin tặc theo chủ nghĩa dân tộc có tiếng này hoạt động trong bối cảnh xung đột Nga và Ukraine. Vậy suốt những năm tháng hoạt động, Killnet đã có những vụ tấn công đáng chú ý nào khiến nhiều quốc gia, tổ chức và doanh nghiệp phải “dè chừng”?
Các hoạt động của nhóm gia tăng đáng kể thời điểm bùng nổ xung đột giữa Nga – Ukraine nhưng chính thức tham gia vào chiến tranh không gian mạng chống lại các quốc gia Hoa Kỳ, Vương quốc Anh, Đức, Ý, Latvia, Romania, Lithuania, Estonia, Ba Lan, Ukraine từ tháng 5/2022.
Hầu hết các cuộc tấn công đều nhắm vào chính phủ, trong đó các nhóm nhỏ tập trung vào ngành mũi nhọn như tài chính, vận tải, thực thi pháp luật và công nghệ, cách thức chủ yếu là tấn công DDoS.
Các quốc gia bị ảnh hưởng bởi Killnet
Killnet giáng đòn đầu tiên vào Ukraine bằng việc tắt nguồn trang web của chi nhánh Vodafone (vodafone.ua) và trang web dịch vụ tin tức korrespondent.net vào ngày 3 tháng 3 với lý do phản đối các thông tin tuyên truyền không chính xác.
Tiếp sau đó, Ý cũng trở thành mục tiêu của Killnet do nhóm Anonymous nước này đã tập trung tấn công vào các tên miền của Killnet và công bố cơ sở dữ liệu chứa địa chỉ email và mật khẩu của 146 thành viên Killnet như một động thái tuyên chiến.
Ngày 29/3/2022, Killnet thông báo tấn công thành công vào Sân bay Quốc tế Bradley tại Hoa Kỳ, sau đó là các trang web ở Đức với lý do ngăn chặn sự hỗ trợ quân sự đối với Ukraine.
Ngày 30/5/2022, Killnet tấn công DDoS vào hệ thống an ninh máy tính của Ý, kéo dài hơn 10 tiếng với đỉnh điểm là 40 Gbps lưu lượng và sử dụng nhiều kỹ thuật như ICMP flood, IP fragmentation và TCP SYN flood. Nhóm cũng thực hiện tấn công slow POST vào trang web của chính phủ Ý khiến máy chủ quá tải.
Ngày 28/6/2022, Na Uy - thành viên của tổ chức NATO trở thành mục tiêu tiếp theo của Killnet khi nhiều trang web dịch vụ công cộng nước này bị gián đoạn nhưng không có dấu hiệu cho thấy thông tin nhạy cảm bị xâm nhập. Trang web của tờ báo lớn nhất ở Na Uy cũng gặp sự cố mất kết nối trong 25 phút. Trên Telegram của Killnet cũng xuất hiện hình ảnh chế giễu Bộ trưởng Ngoại giao Na Uy Anniken Huitfeldt khi chỉnh sửa hình ảnh của bà thành Tiên Hắc Ám (Malificent) – nhân vật trong một bộ phim của Disney.
Nguyên nhân là do Na Uy giữ lại hơn 20 tấn hàng hóa, nhu yếu phẩm mùa đông của Nga tại cảng Storskog, để chuyển tới một thị trấn có nhiều người Nga sinh sống trên quần đảo Svalbard của Na Uy, nhằm tuân theo lệnh trừng phạt của Liên minh châu Âu (EU) sau khi nổ ra cuộc xung đột ở Ukraine. Nhưng Na Uy thì vẫn chưa phải là thành viên EU. Đơn xin cấp phép vận chuyển đã bị Bộ Ngoại giao nước này từ chối vào ngày 15/6/2022 và theo phía Nga thì việc này có thể khiến người dân bị thiếu hụt hàng hóa.
Killnet tấn công các trang web của Na Uy và chế giễu Bộ trưởng Ngoại giao nước này
Killnet cũng bị cáo buộc tấn công DDoS vào Lithuania để phản đối quyết định chính phủ nước này về việc ngừng vận chuyển một số hàng hóa theo lệnh trừng phạt và hạn chế thương mại tới vùng ngoại ô Kaliningrad (Nga) do EU áp đặt. Người phát ngôn của nhóm cho biết: “Cuộc tấn công sẽ tiếp tục cho đến khi Lithuania dỡ bỏ lệnh phong tỏa. Cho đến nay, chúng tôi đã phá hủy 1.652 tài nguyên web”.
Cộng hòa Séc cũng bị nhắm mục tiêu khi hệ thống đường sắt, các sân bay địa phương và cổng thông tin của chính phủ bị nhóm Killnet tấn công.
Đặc biệt, Hoa Kỳ là quốc gia gánh chịu “chiến dịch tấn công” liên tiếp từ Killnet. Ngày 21/7/2022, tập đoàn công nghệ, vũ khí, quốc phòng, an ninh thông tin và hàng không vũ trụ Lockheed Martin xuất hiện trên thông báo tấn công của Killnet. Nhóm nhỏ Phoenix dưới trướng Killnet cũng nhận trách nhiệm về vụ tấn công 2 bệnh viện lớn ở Hoa Kỳ. Các cuộc tấn công khác nhắm vào các trang web của chính phủ gồm Cơ quan Tình báo Không gian Địa lý Quốc gia, sân bay và ngân hàng lớn…
Lockheed Martin trở thành mục tiêu mới của Killnet
Nhóm cũng tấn công Trung tâm An ninh mạng của Bỉ và trang web của Nghị viện châu Âu khiến trang web không thể truy cập trong một khoảng thời gian ngắn sau khi trang này đăng thông tin về việc Nga tài trợ cho chủ nghĩa khủng bố.
Những cuộc tấn công trên cho thấy bức tranh toàn cảnh về các hoạt động của Killnet khi nhóm nhắm vào nhiều lĩnh vực và quốc gia khác nhau với động cơ đa dạng: từ các mâu thuẫn địa chính trị đến cả lợi ích tài chính.
Chưa có bằng chứng nào cho thấy Killnet được tài trợ bởi chính phủ Nga và cộng thêm với việc phải thực hiện các dịch vụ theo đơn đặt hàng cho thấy nhóm vẫn đang phải “tự làm, tự nuôi thân” để duy trì hoạt động của mình. Trong tương lai, có thể nhóm sẽ hướng đến trở thành các biệt đội đánh thuê trên mạng.
Dù là với động cơ nào, các nhóm tin tặc như Killnet đã gây ra rất nhiều khó khăn và thách thức cho các cơ quan, tổ chức cả tư nhân và chính phủ. Bài toán để đối phó với các cuộc tấn công DDoS cũng rất nan giải vì khi đó sẽ là cuộc đọ sức giữa ai “khỏe” hơn và “sống sót” lâu hơn. Sau này, khi nhắc đến cái tên Killnet, người ta sẽ nghĩ ngay đến nhóm tấn công chuyên “diệt mạng” đã mang lại ác mộng cho nhiều tổ chức.
Các vụ tấn công đáng chú ý
Killnet thường phản ứng nhanh chóng theo biến động của tin tức và thời cuộc, nhắm vào nhiều tổ chức và cơ quan khác nhau. Thêm vào đó, nhóm cũng thường xuyên thông báo về các cuộc tấn công trên kênh Telegram trước khi nó diễn ra, trong đó có đăng tên miền và địa chỉ IP của mục tiêu để mời người dùng tham gia vào các cuộc tấn công.Các hoạt động của nhóm gia tăng đáng kể thời điểm bùng nổ xung đột giữa Nga – Ukraine nhưng chính thức tham gia vào chiến tranh không gian mạng chống lại các quốc gia Hoa Kỳ, Vương quốc Anh, Đức, Ý, Latvia, Romania, Lithuania, Estonia, Ba Lan, Ukraine từ tháng 5/2022.
Hầu hết các cuộc tấn công đều nhắm vào chính phủ, trong đó các nhóm nhỏ tập trung vào ngành mũi nhọn như tài chính, vận tải, thực thi pháp luật và công nghệ, cách thức chủ yếu là tấn công DDoS.
Các quốc gia bị ảnh hưởng bởi Killnet
Killnet giáng đòn đầu tiên vào Ukraine bằng việc tắt nguồn trang web của chi nhánh Vodafone (vodafone.ua) và trang web dịch vụ tin tức korrespondent.net vào ngày 3 tháng 3 với lý do phản đối các thông tin tuyên truyền không chính xác.
Tiếp sau đó, Ý cũng trở thành mục tiêu của Killnet do nhóm Anonymous nước này đã tập trung tấn công vào các tên miền của Killnet và công bố cơ sở dữ liệu chứa địa chỉ email và mật khẩu của 146 thành viên Killnet như một động thái tuyên chiến.
Ngày 29/3/2022, Killnet thông báo tấn công thành công vào Sân bay Quốc tế Bradley tại Hoa Kỳ, sau đó là các trang web ở Đức với lý do ngăn chặn sự hỗ trợ quân sự đối với Ukraine.
Ngày 30/5/2022, Killnet tấn công DDoS vào hệ thống an ninh máy tính của Ý, kéo dài hơn 10 tiếng với đỉnh điểm là 40 Gbps lưu lượng và sử dụng nhiều kỹ thuật như ICMP flood, IP fragmentation và TCP SYN flood. Nhóm cũng thực hiện tấn công slow POST vào trang web của chính phủ Ý khiến máy chủ quá tải.
Ngày 28/6/2022, Na Uy - thành viên của tổ chức NATO trở thành mục tiêu tiếp theo của Killnet khi nhiều trang web dịch vụ công cộng nước này bị gián đoạn nhưng không có dấu hiệu cho thấy thông tin nhạy cảm bị xâm nhập. Trang web của tờ báo lớn nhất ở Na Uy cũng gặp sự cố mất kết nối trong 25 phút. Trên Telegram của Killnet cũng xuất hiện hình ảnh chế giễu Bộ trưởng Ngoại giao Na Uy Anniken Huitfeldt khi chỉnh sửa hình ảnh của bà thành Tiên Hắc Ám (Malificent) – nhân vật trong một bộ phim của Disney.
Nguyên nhân là do Na Uy giữ lại hơn 20 tấn hàng hóa, nhu yếu phẩm mùa đông của Nga tại cảng Storskog, để chuyển tới một thị trấn có nhiều người Nga sinh sống trên quần đảo Svalbard của Na Uy, nhằm tuân theo lệnh trừng phạt của Liên minh châu Âu (EU) sau khi nổ ra cuộc xung đột ở Ukraine. Nhưng Na Uy thì vẫn chưa phải là thành viên EU. Đơn xin cấp phép vận chuyển đã bị Bộ Ngoại giao nước này từ chối vào ngày 15/6/2022 và theo phía Nga thì việc này có thể khiến người dân bị thiếu hụt hàng hóa.
Killnet tấn công các trang web của Na Uy và chế giễu Bộ trưởng Ngoại giao nước này
Killnet cũng bị cáo buộc tấn công DDoS vào Lithuania để phản đối quyết định chính phủ nước này về việc ngừng vận chuyển một số hàng hóa theo lệnh trừng phạt và hạn chế thương mại tới vùng ngoại ô Kaliningrad (Nga) do EU áp đặt. Người phát ngôn của nhóm cho biết: “Cuộc tấn công sẽ tiếp tục cho đến khi Lithuania dỡ bỏ lệnh phong tỏa. Cho đến nay, chúng tôi đã phá hủy 1.652 tài nguyên web”.
Cộng hòa Séc cũng bị nhắm mục tiêu khi hệ thống đường sắt, các sân bay địa phương và cổng thông tin của chính phủ bị nhóm Killnet tấn công.
Đặc biệt, Hoa Kỳ là quốc gia gánh chịu “chiến dịch tấn công” liên tiếp từ Killnet. Ngày 21/7/2022, tập đoàn công nghệ, vũ khí, quốc phòng, an ninh thông tin và hàng không vũ trụ Lockheed Martin xuất hiện trên thông báo tấn công của Killnet. Nhóm nhỏ Phoenix dưới trướng Killnet cũng nhận trách nhiệm về vụ tấn công 2 bệnh viện lớn ở Hoa Kỳ. Các cuộc tấn công khác nhắm vào các trang web của chính phủ gồm Cơ quan Tình báo Không gian Địa lý Quốc gia, sân bay và ngân hàng lớn…
Lockheed Martin trở thành mục tiêu mới của Killnet
Nhóm cũng tấn công Trung tâm An ninh mạng của Bỉ và trang web của Nghị viện châu Âu khiến trang web không thể truy cập trong một khoảng thời gian ngắn sau khi trang này đăng thông tin về việc Nga tài trợ cho chủ nghĩa khủng bố.
Những cuộc tấn công trên cho thấy bức tranh toàn cảnh về các hoạt động của Killnet khi nhóm nhắm vào nhiều lĩnh vực và quốc gia khác nhau với động cơ đa dạng: từ các mâu thuẫn địa chính trị đến cả lợi ích tài chính.
Tương lai nào cho Killnet?
Killnet mặc dù theo đuổi chủ nghĩa dân tộc, nhưng bản chất vẫn là nhóm chuyên tấn công và cung cấp dịch vụ được thúc đẩy bởi động cơ tài chính. Số tiền mà Killnet kiếm được cho đến nay vẫn còn là một ẩn số.Chưa có bằng chứng nào cho thấy Killnet được tài trợ bởi chính phủ Nga và cộng thêm với việc phải thực hiện các dịch vụ theo đơn đặt hàng cho thấy nhóm vẫn đang phải “tự làm, tự nuôi thân” để duy trì hoạt động của mình. Trong tương lai, có thể nhóm sẽ hướng đến trở thành các biệt đội đánh thuê trên mạng.
Dù là với động cơ nào, các nhóm tin tặc như Killnet đã gây ra rất nhiều khó khăn và thách thức cho các cơ quan, tổ chức cả tư nhân và chính phủ. Bài toán để đối phó với các cuộc tấn công DDoS cũng rất nan giải vì khi đó sẽ là cuộc đọ sức giữa ai “khỏe” hơn và “sống sót” lâu hơn. Sau này, khi nhắc đến cái tên Killnet, người ta sẽ nghĩ ngay đến nhóm tấn công chuyên “diệt mạng” đã mang lại ác mộng cho nhiều tổ chức.
Nguồn: Tổng hợp