Trong chiến dịch tấn công mạng này, các tác nhân đe dọa Turla (hay Secret Blizzard) đã chiếm quyền truy cập 33 máy chủ điều khiển và ra lệnh (C2) do tin tặc Pakistan kiểm soát. Đây cũng chính là những kẻ tấn công đã từng xâm nhập vào các mục tiêu của Chính phủ Afghanistan và Ấn Độ.
Theo đó, tin tặc Turla đã xâm nhập vào máy chủ C2 của một nhóm tin tặc APT Pakistan là Storm-0156 (hay SideCopy, Transparent Tribe, APT-36), sử dụng quyền truy cập đó để khởi chạy phần mềm độc hại của riêng chúng và đánh cắp dữ liệu nhạy cảm.
“Chiến dịch mới nhất này kéo dài trong hai năm qua, là trường hợp thứ tư được ghi nhận về việc các tin tặc Turla nhúng mình vào hoạt động của một nhóm gián điệp khác kể từ năm 2019, khi lần đầu tiên chúng bị phát hiện đang tái sử dụng C2 của một nhóm tin tặc Iran”, các nhà nghiên cứu cho biết.
Được biết, Turla là nhóm tin tặc APT tinh vi của Nga nhắm mục tiêu vào các đại sứ quán và văn phòng chính phủ trên khắp thế giới, cũng bị phát hiện đang kiểm soát node Hak5 Cloud C2, một nền tảng được thiết kế để thử nghiệm xâm nhập hợp pháp nhưng bị lạm dụng cho mục đích do thám.
Turla đã hoạt động trong hơn một thập kỷ qua, có liên quan đến một loạt các cuộc tấn công mạng quy mô lớn sử dụng các công cụ phần mềm độc hại phức tạp, chẳng hạn như Snake để tiến hành các hoạt động thu thập thông tin tình báo.
Các hoạt động do Turla thực hiện kể từ tháng 11/2022 cho thấy một nỗ lực nhằm xâm phạm cơ sở hạ tầng C2 của Storm-0156. Mặc dù các cơ chế truy cập ban đầu chưa được biết đến, các nhà nghiên cứu đã phát hiện ra rằng các tin tặc Turla đã sử dụng hiệu quả backdoor Storm-0156 nhằm triển khai các phần mềm độc hại của riêng chúng là TwoDash và Statuezy, trong các mạng lưới chính phủ của Afghanistan, bao gồm Bộ Ngoại giao và Tổng cục Tình báo nước này, từ đó đánh cắp dữ liệu từ thông tin đăng nhập đến các tệp do các tin tặc Storm-0156 thu thập.
“Thông qua kênh này, Turla có khả năng thu thập được rất nhiều dữ liệu. Điều này bao gồm thông tin chi tiết về công cụ của Storm-0156, thông tin xác thực cho cả C2 và mạng lưới mục tiêu, cũng như dữ liệu đã rò rỉ thu thập được từ các hoạt động trước đó”, các nhà nghiên cứu lưu ý.
Black Lotus Labs cho biết, Storm-0156 trước đây thường nhắm vào các mạng lưới của Chính phủ Ấn Độ và Afghanistan, đồng thời lưu ý rằng việc các tin tặc Turla xâm nhập vào các máy trạm của Storm-0156 là bằng chứng cho thấy các tin tặc Nga đã cố tình che đậy dấu vết và làm lu mờ những nỗ lực trong việc quy kết kẻ tấn công tới từ các nhà chức trách.
Đến giữa năm 2024, Black Lotus Labs cho biết Turla đã mở rộng phương thức và phạm vi tấn công, trong đó bao gồm việc sử dụng hai phần mềm độc hại khác là Wasicot và CrimsonRAT mà chúng đã chiếm đoạt được từ Storm-0156.
CrimsonRAT từng được phát hiện lây nhiễm vào các mục tiêu của chính phủ và quân đội Ấn Độ, các nhà nghiên cứu phát hiện ra rằng Turla sau đó đã lợi dụng quyền truy cập này để thu thập dữ liệu từ các lần triển khai phần mềm độc hại từ trước.
Không giống như các nhóm gián điệp Nga khác sử dụng công cụ riêng để che giấu danh tính, Turla sử dụng cơ sở hạ tầng của các tác nhân đe dọa mạng khác để gián tiếp thu thập thông tin tình báo. Điều này không chỉ cung cấp cho chúng những thông tin nhạy cảm mà còn che giấu một cách chiến lược, vì các nỗ lực ứng phó sự cố có thể nhầm lẫn khi quy kết các vụ xâm phạm cho các nhóm khác.
“Có một đặc điểm nổi bật ở nhóm Turla, đó là sự táo bạo trong việc khai thác máy chủ C2 của những tác nhân đe dọa khác cho mục đích riêng của chúng”, Black Lotus Labs cảnh báo, bên cạnh đó lưu ý rằng chiến lược này cho phép những người điều hành Turla có thể đánh cắp từ xa các tệp tin nhạy cảm đã được thu thập trước đó từ các hệ thống mạng bị xâm phạm mà không cần sử dụng (và có thể làm lộ) các công cụ của riêng chúng.
Trong khi theo dõi các tương tác của Turla với các node C2 Storm-0156 bị chiếm đoạt, Black Lotus Labs cho biết họ đã xác định được hoạt động phát tín hiệu từ nhiều mạng lưới Chính phủ Afghanistan mà các tác nhân đe dọa Storm-0156 đã xâm phạm trước đó.
Black Lotus Labs đã phối hợp cùng với các chuyên gia bảo mật tại Microsoft cho biết, đã quan sát các tương tác của Turla với một tập hợp con các node CrimsonRAT C2, trước đây từng được sử dụng để nhắm mục tiêu vào chính phủ và quân đội Ấn Độ.
Một báo cáo riêng từ Microsoft ghi lại cách nhóm tin tặc Turla đã xâm nhập và chiếm đoạt một cách có hệ thống cơ sở hạ tầng của ít nhất 6 nhóm tin tặc do nhà nước tài trợ và tội phạm khác nhau kể từ năm 2017.
Các nhà nghiên cứu giải thích rằng điều này phù hợp với mô hình đã được thiết lập của Turla, trước đây đã từng chiếm đoạt cơ sở hạ tầng của các tin tặc Iran (Hazel Sandstorm), tin tặc Kazakhstan (Storm-0473) và các tác nhân đe dọa khác. Phân tích của Microsoft cho thấy cách tiếp cận này là một chiến lược có chủ đích của FSB nhằm tiến hành các hoạt động gián điệp mạng trong khi che giấu hành vi của chúng phía sau các hoạt động của các nhóm tin tặc khác.
Hồng Đạt
(Tổng hợp)
13:00 | 27/05/2024
08:00 | 20/12/2024
08:00 | 15/05/2024
16:00 | 23/05/2024
10:00 | 10/03/2025
Hơn 500.000 thiết bị Android và ít nhất 4.900 chiếc iPhone và iPad đã bị ứng dụng giám sát di động Spyzie xâm phạm mà người dùng không hề phát hiện.
15:00 | 04/03/2025
Dữ liệu mới nhất từ Kaspersky cho thấy, trong năm 2024, đã có 86.233.675 sự cố liên quan đến mối đe dọa bảo mật từ thiết bị nội bộ được phát hiện tại Việt Nam, gây ảnh hưởng đến 52,1% người dùng. Con số này được cho là đã cải thiện hơn nhiều so với tổng số 114.802.178 sự cố được phát hiện vào năm 2023.
11:00 | 03/03/2025
Theo thông báo từ Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ), Học viện dự kiến tuyển sinh 05 nghiên cứu sinh trình độ Tiến sĩ và 80 học viên trình độ Thạc sĩ chuyên ngành An toàn thông tin trong năm 2025.
08:00 | 27/02/2025
Pwn2Own - “Giải Oscar” của ngành an ninh mạng toàn cầu đã chính thức công bố các thông tin của mùa mới. Theo đó, cuộc thi an ninh mạng uy tín và lớn nhất thế giới sẽ diễn ra vào ngày 15 - 17/5/2025, tại Berlin, Đức.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
SoftBank có kế hoạch chuyển đổi một nhà máy sản xuất tấm nền LCD Sharp trước đây tại Nhật Bản thành một trung tâm dữ liệu để vận hành các tác nhân trí tuệ nhân tạo được phát triển với sự hợp tác của OpenAI, “cha đẻ” của ChatGPT.
10:00 | 21/03/2025
