-
09/04/2020
-
85
-
553 bài viết
Nga cảnh giác trước các cuộc tấn công mạng vào cơ sở hạ tầng trọng yếu
Chính phủ Nga đã cảnh báo về các cuộc tấn công mạng nhằm vào các cơ sở hạ tầng quan trọng của nước này trong bối cảnh xung đột với Ukraine đang “nóng như lửa đốt”.
Ngoài cảnh báo về nguy cơ cường độ của các cuộc tấn công mạng máy tính đang tăng lên, Trung tâm Điều phối và Ứng phó sự cố Máy tính Quốc gia của Nga cho biết: "Các cuộc tấn công có thể làm gián đoạn hoạt động của các tài nguyên và dịch vụ thông tin quan trọng nhằm gây thiệt hại về cả danh tiếng và chính trị. Bất kỳ thiếu sót nào trong việc vận hành các cơ sở hạ tầng thông tin quan trọng vì một lý do không đáng tin cậy, trước hết sẽ đều được xem xét là kết quả của một cuộc tấn công mạng máy tính".
Cảnh báo này có lẽ xuất phát từ tình trạng nhiều website chính phủ và ngân hàng tại Nga, bao gồm cả quân đội (mil.ru), điện Kremlin (kremlin.ru) và Duma quốc gia Nga (duma.gov.ru) không thể truy cập trong khi đang xảy vô số các hành vi vi phạm nhắm vào Ukraine để triển khai mã độc HermeticWiper trên hàng trăm máy tính tại quốc gia này.
Lavi Lazarovitz, chuyên gia an ninh mạng tại CyberArk Labs cho biết: "Đáng lưu ý là Wiper lợi dụng các đặc quyền cao trên máy chủ bị xâm phạm để khiến máy chủ “không thể khởi động".
Wiper được định cấu hình để không mã hóa bộ điều khiển miền - nghĩa là vừa giữ cho miền hoạt động, vừa cho phép ransomware sử dụng thông tin đăng nhập hợp lệ để xác thực với máy chủ và mã hóa chúng. Điều này càng khiến hacker mạo danh để truy cập mạng và khai thác các thiết bị xung quanh.
Chưa rõ có bao nhiêu mạng lưới bị ảnh hưởng bởi phần mềm độc hại xóa sạch dữ liệu nhắm vào các tổ chức tài chính, quốc phòng, hàng không và công nghệ thông tin, nhưng đã có bằng chứng về các cuộc tấn công wiper tương tự nhắm vào các thiết bị ở Lithuania.
HermeticWiper cũng có điểm tương đồng với một công cụ xóa dữ liệu khác có tên WhisperGate, lần đầu tiên xuất hiện trong cuộc tấn công các tổ chức của Ukraine vào tháng 1/2022, đi kèm với sự lây nhiễm ransomware trên các hệ thống bị xâm nhập.
Phân tích chứng cứ số ban đầu cho thấy các cuộc tấn công có thể đã "nhen nhóm" ít nhất 3 tháng. Phát hiện sớm nhất là ở Lithuania vào ngày 12 tháng 11 năm 2021. Ngoài ra, một trong các mẫu HermeticWiper được phát hiện có mốc thời gian được tìm thấy vào ngày 28 tháng 12 năm 2021.
Mặc dù chưa có xác nhận chính thức, chính phủ Anh và Hoa Kỳ đã nghi vấn các cuộc tấn công DDoS vào Ukraine từ giữa tháng 2 có liên quan đến Cục Tình báo của Nga (GRU).
Trước đó các nhà chức trách Ukraine cũng quan ngại "một làn sóng chiến tranh trên không gian mạng" đang ập đến khi Nga có thể tăng cường các cuộc tấn công. Ví dụ như việc Cơ quan An ninh Ukraine (SBU) đã phá dỡ một bot farm ở Lviv mà họ cho rằng do Nga đứng sau nắm 18.000 tài khoản giả mạo nhằm phao tin đồn để "gieo rắc" sự hoảng loạn cho người dân.
Sự cẩn trọng của Nga không hề là thừa khi Ukraine đã kêu gọi các hacker ngầm đứng lên bảo vệ đất nước, trong đó sẽ bố trí một số đơn vị tấn công để tiến hành các hoạt động gián điệp bên ngoài lãnh thổ của mình. Hay mới đây nhóm hacker khét tiếng Anonymous cảnh báo sẽ tấn công vào các hệ thống mạng của chính phủ Nga trong thời gian tới.
Ngoài cảnh báo về nguy cơ cường độ của các cuộc tấn công mạng máy tính đang tăng lên, Trung tâm Điều phối và Ứng phó sự cố Máy tính Quốc gia của Nga cho biết: "Các cuộc tấn công có thể làm gián đoạn hoạt động của các tài nguyên và dịch vụ thông tin quan trọng nhằm gây thiệt hại về cả danh tiếng và chính trị. Bất kỳ thiếu sót nào trong việc vận hành các cơ sở hạ tầng thông tin quan trọng vì một lý do không đáng tin cậy, trước hết sẽ đều được xem xét là kết quả của một cuộc tấn công mạng máy tính".
Cảnh báo này có lẽ xuất phát từ tình trạng nhiều website chính phủ và ngân hàng tại Nga, bao gồm cả quân đội (mil.ru), điện Kremlin (kremlin.ru) và Duma quốc gia Nga (duma.gov.ru) không thể truy cập trong khi đang xảy vô số các hành vi vi phạm nhắm vào Ukraine để triển khai mã độc HermeticWiper trên hàng trăm máy tính tại quốc gia này.
Lavi Lazarovitz, chuyên gia an ninh mạng tại CyberArk Labs cho biết: "Đáng lưu ý là Wiper lợi dụng các đặc quyền cao trên máy chủ bị xâm phạm để khiến máy chủ “không thể khởi động".
Wiper được định cấu hình để không mã hóa bộ điều khiển miền - nghĩa là vừa giữ cho miền hoạt động, vừa cho phép ransomware sử dụng thông tin đăng nhập hợp lệ để xác thực với máy chủ và mã hóa chúng. Điều này càng khiến hacker mạo danh để truy cập mạng và khai thác các thiết bị xung quanh.
Chưa rõ có bao nhiêu mạng lưới bị ảnh hưởng bởi phần mềm độc hại xóa sạch dữ liệu nhắm vào các tổ chức tài chính, quốc phòng, hàng không và công nghệ thông tin, nhưng đã có bằng chứng về các cuộc tấn công wiper tương tự nhắm vào các thiết bị ở Lithuania.
HermeticWiper cũng có điểm tương đồng với một công cụ xóa dữ liệu khác có tên WhisperGate, lần đầu tiên xuất hiện trong cuộc tấn công các tổ chức của Ukraine vào tháng 1/2022, đi kèm với sự lây nhiễm ransomware trên các hệ thống bị xâm nhập.
Phân tích chứng cứ số ban đầu cho thấy các cuộc tấn công có thể đã "nhen nhóm" ít nhất 3 tháng. Phát hiện sớm nhất là ở Lithuania vào ngày 12 tháng 11 năm 2021. Ngoài ra, một trong các mẫu HermeticWiper được phát hiện có mốc thời gian được tìm thấy vào ngày 28 tháng 12 năm 2021.
Mặc dù chưa có xác nhận chính thức, chính phủ Anh và Hoa Kỳ đã nghi vấn các cuộc tấn công DDoS vào Ukraine từ giữa tháng 2 có liên quan đến Cục Tình báo của Nga (GRU).
Trước đó các nhà chức trách Ukraine cũng quan ngại "một làn sóng chiến tranh trên không gian mạng" đang ập đến khi Nga có thể tăng cường các cuộc tấn công. Ví dụ như việc Cơ quan An ninh Ukraine (SBU) đã phá dỡ một bot farm ở Lviv mà họ cho rằng do Nga đứng sau nắm 18.000 tài khoản giả mạo nhằm phao tin đồn để "gieo rắc" sự hoảng loạn cho người dân.
Sự cẩn trọng của Nga không hề là thừa khi Ukraine đã kêu gọi các hacker ngầm đứng lên bảo vệ đất nước, trong đó sẽ bố trí một số đơn vị tấn công để tiến hành các hoạt động gián điệp bên ngoài lãnh thổ của mình. Hay mới đây nhóm hacker khét tiếng Anonymous cảnh báo sẽ tấn công vào các hệ thống mạng của chính phủ Nga trong thời gian tới.
Theo Thehackernews, WhiteHat
Chỉnh sửa lần cuối: