Nhóm Sandworm hay còn được gọi BlackEnergy, Seashell Blizzard, Voodoo Bear và APT44, được cho là có liên quan đến Cơ quan Tình báo quân đội Nga (GRU), đã thực hiện các cuộc tấn công gián điệp mạng và phá hoại vào nhiều mục tiêu khác nhau.
CERT-UA báo cáo rằng vào tháng 3/2024, các tin tặc Sandworm đã tiến hành các hoạt động trên không gian mạng nhằm làm gián đoạn hệ thống thông tin và truyền thông của các nhà cung cấp năng lượng và điện nước ở 10 khu vực tại Ukraine.
Đặc biệt, trong các cuộc tấn công thì tin tặc Sandworm đã sử dụng backdoor mới là BIASBOAT và LOADGRIP để có quyền truy cập và di chuyển ngang hàng trên hệ thống mạng mục tiêu.
Các chuyên gia CERT-UA lưu ý rằng các cuộc tấn công của nhóm Sandworm trở nên dễ dàng và xác suất thành công cao do các hệ thống mục tiêu có khả năng bảo mật không an toàn và tồn tại nhiều rủi ro (ví dụ: thiếu phân đoạn mạng và chưa có nhiều lớp phòng thủ hệ thống theo chiều sâu).
Từ ngày 7/3 đến ngày 15/3/2024, CERT-UA đã tham gia vào các hoạt động đối phó với các tấn công mạng trên diện rộng, bao gồm thông báo cho các doanh nghiệp bị ảnh hưởng, gỡ bỏ phần mềm độc hại và tăng cường các biện pháp bảo mật.
Dựa trên những phát hiện từ việc điều tra nhật ký (log) thu được từ các thực thể bị xâm nhập, CERT-UA cho rằng các tin tặc Sandworm đã dựa vào các phần mềm độc hại sau để tấn công vào các nhà cung cấp tiện ích của Ukraine:
- QUEUESEED/IcyWell/Kapeka: Backdoor được phát triển bằng C++ trên Windows để thu thập thông tin hệ thống cơ bản và thực thi các lệnh từ máy chủ từ xa. Nó xử lý các hoạt động của tệp, thực thi lệnh và cập nhật cấu hình. Thông tin liên lạc được bảo mật thông qua HTTPS và dữ liệu được mã hóa bằng thuật toán RSA và AES.
Ngoài ra, phần mềm độc hại này lưu trữ dữ liệu và duy trì sự tồn tại trên các hệ thống bị lây nhiễm bằng cách mã hóa cấu hình của nó trong registry và thiết lập các tác vụ để thực thi tự động.
Hình 1. Phần mềm độc hại QUEUESEED thực thi lệnh
- BIASBOAT: Một biến thể trên Linux của mã độc QUEUESEED mới xuất hiện gần đây. BIASBOAT được ngụy trang thành một máy chủ tệp được mã hóa và hoạt động cùng với phần mềm độc hại LOADGRIP.
- LOADGRIP: Cũng là một biến thể Linux của QUEUESEED được phát triển bằng C, được sử dụng để đưa payload vào các tiến trình bằng API ptrace. Payload này thường được mã hóa với khóa giải mã được lấy từ một ID cụ thể của máy tính.
Hình 2. Tập lệnh Bash tải BIASBOAT và LOADGRIP
- GOSSIPFLOW: Phần mềm độc hại này phát triển từ Go và hoạt động trên Windows để thiết lập đường hầm (tunnel) bằng thư viện Yamux multiplexer. GOSSIPFLOW cung cấp proxy SOCKS5 để giúp lọc dữ liệu và liên lạc an toàn với máy chủ điều khiển và ra lệnh (C2).
Các tác nhân đe dọa đã sử dụng những phần mềm này để duy trì tính ổn định, ẩn các tiến trình độc hại và nâng cao đặc quyền của chúng trên các hệ thống bị xâm nhập.
CERT-UA nhận định rằng mục đích của các cuộc tấn công này là nhằm tăng cường hiệu quả của các cuộc tấn công tên lửa của Nga vào các cơ sở hạ tầng mục tiêu tại Ukraine.
Trước đó, công ty an ninh mạng Mandiant (Mỹ) đã tiết lộ mối liên hệ của nhóm tin tặc Sandworm với ba nhóm theo chủ nghĩa hacktivist trên Telegram trước đây đã từng tuyên bố tấn công vào cơ sở hạ tầng quan trọng ở châu Âu và Mỹ.
Ngọc Nguyên
(Tổng hợp)
13:00 | 26/02/2024
14:00 | 10/05/2024
08:00 | 15/05/2024
14:00 | 22/05/2024
13:00 | 07/02/2024
13:00 | 06/06/2024
16:00 | 15/05/2024
13:00 | 27/05/2024
14:00 | 23/11/2023
14:00 | 17/03/2025
Trải qua nhiều năm xây dựng và phát triển, Tạp chí An toàn thông tin với sứ mệnh và tầm nhìn dài hạn đã khẳng định được vai trò quan trọng của mình trong việc truyền thông và nâng cao nhận thức người dùng trong lĩnh vực bảo mật và an toàn thông tin; góp phần tạo dựng một nền tảng vững chắc cho công tác phòng ngừa, phát hiện và ứng phó với các mối nguy hiểm trên không gian mạng. Nhân dịp kỷ niệm 19 năm thành lập (17/3/2006 - 17/3/2025), Tạp chí An toàn thông tin tự hào nhìn lại hành trình đầy nỗ lực và cống hiến của mình, không ngừng khẳng định vai trò tiên phong trong việc bảo vệ an toàn không gian mạng.
08:00 | 02/01/2025
Tháng 12/2024, Ban Công nghệ, Hiệp hội An ninh mạng quốc gia đã thực hiện khảo sát tại 4.935 cơ quan, doanh nghiệp tại Việt Nam. Từ đó, đưa ra báo cáo với những số liệu chi tiết, nổi bật là các vấn đề liên quan đến tình hình an ninh mạng mà các cơ quan, doanh nghiệp đang gặp phải trong năm vừa qua, đồng thời đưa ra những khuyến nghị và các giải pháp khắc phục. Dưới đây là các thông tin chi tiết của báo cáo.
15:00 | 27/12/2024
Mới đây, Fortinet đã đưa ra dự báo về các mối đe dọa mạng năm 2025, đánh giá toàn diện về sự phát triển của các phương pháp tấn công truyền thống, các xu hướng mới nổi định hình tương lai của tội phạm mạng và đưa ra khuyến nghị hành động cho các tổ chức nhằm tăng cường khả năng bảo vệ và phục hồi.
21:00 | 18/12/2024
Chiều 18/12, tại Hà Nội, Bộ Giáo dục và Đào tạo (GD&ĐT) cùng Ban Cơ yếu Chính phủ tổ chức Lễ ký kết thoả thuận giữa hai bên về công tác đảm bảo mật, xác thực và an toàn thông tin của Bộ GD&ĐT.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh biến đổi khí hậu ngày càng phức tạp, Công ty Cổ phần Nhiệt điện Hải Phòng không ngừng nỗ lực cải thiện quy trình sản xuất nhằm bảo vệ môi trường và thúc đẩy an sinh xã hội. Với chiến lược sử dụng hợp lý tài nguyên và áp dụng công nghệ tiên tiến, công ty đã và đang thực hiện nhiều biện pháp thiết thực để giảm thiểu tác động đến môi trường.
10:00 | 21/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
SoftBank có kế hoạch chuyển đổi một nhà máy sản xuất tấm nền LCD Sharp trước đây tại Nhật Bản thành một trung tâm dữ liệu để vận hành các tác nhân trí tuệ nhân tạo được phát triển với sự hợp tác của OpenAI, “cha đẻ” của ChatGPT.
10:00 | 21/03/2025
