Tấn công vào nhà máy điện Dorad của Israel
Vào ngày 8/10/2023, một vụ tấn công mạng lớn vào nhà máy điện Dorad của Israel đã được nhóm tin tặc Cyber Av3ngers công bố trên các diễn đàn ngầm. Nhóm này đã chia sẻ những bức ảnh về vụ tấn công có hình ảnh quốc kỳ Palestine cùng với các thông điệp chính trị ủng hộ lực lượng Hamas. Tuyên bố này được công bố song song với một thông báo khác về việc nhắm mục tiêu vào trang web Dorad bằng một cuộc tấn công từ chối dịch vụ (DoS) để tăng thêm độ tin cậy cho vụ tấn công.
Các nhà nghiên cứu của Kaspersky đã phân tích dữ liệu do Cyber Av3ngers công bố và nhận thấy nó được lấy từ những thông tin rò rỉ cũ hơn của một nhóm tin tặc hacktivist khác tên là Moses Staff.
Moses Staff bị cáo buộc là một nhóm tin tặc đến từ Iran, lần đầu tiên được xác định trên các diễn đàn ngầm vào tháng 9/2021. Hoạt động chính của họ là gây thiệt hại cho các công ty Israel bằng cách đánh cắp thông tin và công bố dữ liệu nhạy cảm.
Ngoài ra, nhóm này cũng nhắm mục tiêu vào các tổ chức từ các quốc gia khác như Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ. Điều quan trọng cần đề cập là không tìm thấy bằng chứng nào liên kết nhóm Cyber Av3ngers và các tin tặc của Moses Staff.
Giới thiệu về Cyber Av3ngers
Có một nhóm tin tặc với tên tương tự được gọi là Cyber Avengers và đã hoạt động ít nhất từ năm 2020. Tuy nhiên, có rất ít bằng chứng kết nối Cyber Avengers với Cyber Aveng3rs hoặc Cyber Av3ngers.
Với cuộc xung đột địa chính trị hiện tại, họ bắt đầu thu hút sự chú ý của công chúng về các hoạt động của mình hơn. Các nhóm tin tặc này chủ yếu nhắm vào các tổ chức của Israel, chủ yếu là những cơ quan vận hành các cơ sở hạ tầng quan trọng của đất nước này. Kể từ năm 2020, Cyber Avengers đã nhận trách nhiệm về vụ cắt điện trên diện rộng và tấn công mạng hệ thống đường sắt của Israel.
Ngày 15/9/2023, một kênh mới đã được tạo trên Telegram với tên @CyberAveng3rs. Kênh này bắt đầu bằng các thông báo liên kết chủ sở hữu của nó với các hoạt động trước đây do Cyber Avengers thực hiện, sau đó thêm thông tin về mục tiêu của họ vào cơ sở hạ tầng quan trọng của Israel, bao gồm cả hệ thống điện và nước.
Bài đăng mới nhất trên kênh này là về một hướng dẫn bảo mật đã được Chính phủ Israel công bố về vấn đề an ninh cơ sở hạ tầng. Nhóm Cyber Avengers đã gửi hướng dẫn qua danh sách các mục tiêu như một sự chế nhạo điều này.
Các tệp tin của Cyber Av3ngers
Các tệp rò rỉ ban đầu của Moses Staff từ năm 2022 không còn có sẵn từ các liên kết ban đầu. Tuy nhiên, các tệp tin vẫn có thể được tìm thấy trên các diễn đàn ngầm khác.
Kho lưu trữ được Moses Staff công bố lần đầu tiên vào tháng 6/2022, nó bao gồm dữ liệu bị rò rỉ từ nhiều công ty ở Israel. Các tệp liên quan đến vụ tấn công nhà máy điện Dorad (bao gồm 11 tệp), có mốc thời gian từ tháng 8/2020 và đến ngày 14/6/2022. Dữ liệu trong kho lưu trữ ở dạng tài liệu PDF cùng với ảnh PNG và JPEG. Một đoạn video cũng được những kẻ tấn công đăng tải song song với vụ rò rỉ dữ liệu.
So sánh các bức ảnh được đăng bởi Cyber Av3ngers và các bức ảnh gốc từ kho lưu trữ của Moses Staff, các nhà nghiên cứu của Kaspersky đưa ra phỏng đoán như sau:
- Cyber Av3ngers đã chụp ảnh từ các tài liệu và video PDF bị rò rỉ của Moses Staff.
- Cyber Av3ngers đã cắt ảnh và thêm ảnh logo trước khi công bố.
Nhìn chung, dữ liệu bị rò rỉ dường như là kết quả của các hoạt động tấn công mạng của Moses Staff, các tệp tin dường như đã bị đánh cắp thông qua việc sử dụng phần mềm độc hại từ các máy tính thuộc các tổ chức mục tiêu và hành vi này đã được thực hiện bởi tin tặc bằng cách sử dụng các công cụ tùy chỉnh như PyDCrypt, DCSrv và StrifeWater.
PyDCrypt là một chương trình viết bằng Python và xây dựng bằng PyInstaller, được sử dụng để lây nhiễm các máy tính khác trên mạng và đảm bảo rằng payload chính DCSrv được thực thi đúng cách.
DCSrv là một tiến trình độc hại giả mạo tiến trình svchost.exe hợp pháp. DCSrv ngăn chặn mọi quyền truy cập vào máy tính và mã hóa tất cả các ổ đĩa của nó bằng công cụ mã hóa mã nguồn mở hợp pháp DiskCryptor.
Trong khi đó, StrifeWater là một Trojan truy cập từ xa (RAT) lén lút được sử dụng trong giai đoạn đầu của cuộc tấn công để che giấu hành vi. Ngoài ra, nó còn có khả năng thực thi lệnh từ xa và chụp ảnh màn hình.
Vì Moses Staff không cố gắng thu lợi tài chính và mục tiêu trọng tâm của nhóm tin tặc này là gây thiệt hại cho đối phương nên thường không có cách nào để trả tiền chuộc và giải mã dữ liệu.
Kết luận
Dựa trên thông tin được cung cấp và phân tích thông tin đó, vụ tấn công mạng của Cyber Av3ngers được thực hiện từ một lần vi phạm bảo mật trước đó và không phải là kết quả của bất kỳ hoạt động truy cập trái phép mới nào vào dữ liệu.
Tuy nhiên, các tác nhân đe dọa như Moses Staff với mục tiêu đến người dùng cá nhân và các tổ chức chính phủ, đặc biệt là trong các môi trường cơ sở hạ tầng quan trọng, vẫn đang hoạt động.
Điều quan trọng là phải phân tích kỹ lưỡng những sự cố như vậy để hiểu rõ bản chất của dữ liệu bị xâm phạm, cách lấy được dữ liệu đó và liệu có lỗ hổng bảo mật nào bị khai thác hay không. Ngoài ra, nó nhấn mạnh tầm quan trọng của việc duy trì các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi các mối đe dọa mới và tái diễn đối với hệ thống công nghệ thông tin và công nghệ vận hành (OT).
Hồng Đạt
15:00 | 13/10/2023
14:00 | 08/11/2023
07:00 | 24/04/2023
21:00 | 16/11/2023
10:00 | 11/07/2022
16:00 | 01/12/2023
09:00 | 09/01/2024
11:00 | 07/02/2024
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
07:00 | 29/03/2024
Chiều 26/3, tại Hà Nội, Quân ủy Trung ương, Bộ Quốc phòng tổ chức tuyên dương Gương mặt trẻ tiêu biểu, Gương mặt trẻ triển vọng toàn quân năm 2023. Đại tướng Lương Cường, Ủy viên Bộ Chính trị, Ủy viên Thường vụ Quân ủy Trung ương, Chủ nhiệm Tổng cục Chính trị Quân đội nhân dân (QĐND) Việt Nam đã tới dự và phát biểu tại chương trình.
16:00 | 01/02/2024
Hòa chung khí thế tưng bừng, phấn khởi của cả nước kỷ niệm 94 năm Ngày thành lập Đảng Cộng sản Việt Nam và chào đón Xuân Giáp Thìn 2024, sáng ngày 01/02, tại Hà Nội, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ long trọng tổ chức Lễ kỷ niệm 20 năm Ngày truyền thống của Trung tâm (05/02/2004 - 05/02/2024) và đón nhận Bằng khen của Thủ tướng Chính phủ.
15:00 | 26/01/2024
Microsoft cho biết, nhóm tin tặc nước Nga có tên là Midnight Blizzard (hay còn biết đến dưới tên APT29, Cozy Bear) đã đột nhập hệ thống vào ngày 12/1 và đánh cắp một số email, tài liệu từ tài khoản nhân viên.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024