SektorCERT của Đan Mạch cho biết, 22 cuộc tấn công mạng nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch không phải là chuyện bình thường, những kẻ tấn công biết trước chúng sẽ nhắm mục tiêu vào ai và lần nào cũng trúng. Không một lần nào chúng trượt mục tiêu".
Cơ quan này cho biết, họ đã tìm thấy bằng chứng cho thấy có nhiều cuộc tấn công có liên quan với cơ quan tình báo quân sự GRU của Nga, điều cũng bị theo dõi dưới cái tên Sandworm và có hồ sơ theo dõi về việc dàn dựng các cuộc tấn công mạng gây rối vào các hệ thống kiểm soát công nghiệp. Đánh giá này dựa trên các tạo phẩm có giao tiếp với các địa chỉ IP đã được truy vết đến nhóm tấn công.
Cuộc tấn công mạng phối hợp chưa từng có diễn ra vào ngày 11/5 bằng cách khai thác CVE-2023-28771 (điểm CVSS: 9,8), một lỗ hổng tiêm lệnh nghiêm trọng ảnh hưởng đến tường lửa Zyxel đã được tiết lộ vào cuối tháng 4/2023.
Trên 11 công ty đã bị xâm nhập thành công, các tác nhân đe dọa đã thực thi mã độc để tiến hành trinh sát cấu hình tường lửa và xác định hành động tiếp theo.
SektorCERT cho biết, trong dòng thời gian chi tiết về các sự kiện: “Loại phối hợp này đòi hỏi phải lập kế hoạch và nguồn lực”. "Ưu điểm của việc tấn công đồng thời là thông tin về một cuộc tấn công không thể truyền sang các mục tiêu khác trước khi quá muộn". "Điều này khiến sức mạnh của việc chia sẻ thông tin trở nên vô dụng vì không ai có thể được cảnh báo trước về cuộc tấn công đang diễn ra vì mọi người đều bị tấn công cùng lúc. Điều này thật bất thường và cực kỳ hiệu quả".
Làn sóng tấn công thứ hai nhắm vào nhiều tổ chức hơn sau đó đã được ghi lại từ ngày 22 đến ngày 25/5 bởi một nhóm tấn công bằng vũ khí mạng chưa từng thấy trước đó, làm tăng khả năng có hai tác nhân đe dọa khác nhau đã tham gia vào chiến dịch.
Điều đó nói rằng, hiện tại vẫn chưa rõ liệu các nhóm có hợp tác với nhau, làm việc cho cùng một chủ nhân hay hoạt động độc lập hay không.
Các cuộc tấn công này bị nghi ngờ đã vũ khí hóa thêm hai lỗi nghiêm trọng trong thiết bị Zyxel (CVE-2023-33009 và CVE-2023-33010, điểm CVSS: 9,8) dưới dạng zero-day để đưa tường lửa vào mạng botnet Mirai và MooBot, do các bản vá lỗi cho chúng được công ty phát hành vào ngày 24/5/2023.
Trong một số trường hợp, các thiết bị bị xâm nhập được sử dụng để tiến hành các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các công ty giấu tên ở Hoa Kỳ và Hồng Kông.
SektorCERT giải thích: “Sau khi mã khai thác của một số lỗ hổng được công khai vào khoảng ngày 30/5, các nỗ lực tấn công nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch đã bùng nổ, đặc biệt là từ các địa chỉ IP ở Ba Lan và Ukraine”.
Cơ quan này cho biết thêm, sự tấn công dữ dội của các cuộc tấn công đã khiến các thực thể bị ảnh hưởng ngắt kết nối Internet và chuyển sang chế độ cô lập.
Nhưng đó không chỉ là các tác nhân quốc gia. Theo một báo cáo mới đây của Resecurity, ngành năng lượng cũng ngày càng trở thành tâm điểm của các nhóm ransomware, với các nhà môi giới truy cập ban đầu (IAB) tích cực thúc đẩy việc truy cập trái phép vào các công ty năng lượng hạt nhân.
Sự tiến triển này diễn ra khi công ty Censys phát hiện ra sáu máy chủ thuộc về NTC Vulkan, một nhà thầu CNTT có trụ sở tại Moscow bị cáo buộc đã cung cấp các công cụ mạng tấn công cho các cơ quan tình báo Nga, bao gồm cả Sandworm. Hơn nữa, nghiên cứu đã phát hiện ra mối liên hệ với một nhóm có tên Raccoon Security thông qua chứng thư số NTC Vulkan.
Matt Lembright, giám đốc Federal Applications tại Censys cho biết: “Racoon Security là một thương hiệu của NTC Vulkan và có thể các hoạt động của Raccoon Security bao gồm sự tham gia trước đây hoặc hiện tại vào các sáng kiến bị đã đề cập trước đó và do GRU ký hợp đồng”.
Nguyễn Anh Tuấn
(theo The Hacker News)
08:00 | 08/12/2023
14:00 | 23/11/2023
14:00 | 08/11/2023
09:00 | 25/10/2023
08:00 | 06/11/2023
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024