Thông tin này dựa trên một báo cáo mới của Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA). Cơ quan này tuyên bố rằng tin tặc Nga đã can thiệp vào hệ thống liên lạc của 11 công ty viễn thông nước này, dẫn đến gián đoạn dịch vụ và có khả năng vi phạm dữ liệu.
Sandworm là một nhóm gián điệp mạng hoạt động rất tích cực và có liên kết với Cơ quan Tình báo quân đội Nga (GRU). Những kẻ tấn công đã tập trung vào Ukraine trong suốt năm 2023, sử dụng các mồi nhử lừa đảo, phần mềm độc hại trên Android và trình xóa dữ liệu Wiper.
Điểm bắt đầu của các cuộc tấn công là giai đoạn trinh sát mạng của một công ty viễn thông, bằng cách sử dụng công cụ “masscan” để thực hiện quét trên mạng của mục tiêu.
Ví dụ về tập lệnh masscan (CERT-UA)
Các tin tặc Sandworm tìm kiếm các cổng mở và giao diện RDP hoặc SSH không được bảo vệ mà chúng có thể tận dụng để xâm phạm mạng. Ngoài ra, những kẻ tấn công sử dụng các công cụ như “ffuf”, “dirbuster”, “gowitness” và “nmap” để tìm các lỗ hổng tiềm ẩn trong các dịch vụ web có thể bị khai thác để giành quyền truy cập.
Các tài khoản VPN bị xâm phạm không được bảo vệ bằng xác thực đa yếu tố cũng đã bị lợi dụng để có quyền truy cập mạng. CERT-UA cho biết: “Cần lưu ý rằng các hoạt động trinh sát và khai thác được thực hiện từ các máy chủ bị xâm nhập trước đó, đặc biệt là vùng mạng Internet của Ukraine”.
Để khiến cho hoạt động xâm nhập của mình trở nên lén lút hơn, Sandworm sử dụng “Dante”, “socks5” và các máy chủ proxy khác để định tuyến các hoạt động độc hại của chúng thông qua các máy chủ trong khu vực mạng Internet của Ukraine mà đã xâm phạm trước đó, khiến nó ít đáng ngờ hơn.
Báo cáo của CERT-UA cho thấy hai backdoor trong các hệ thống ISP bị vi phạm, đó là “Poemgate” và “Poseidon”. Poemgate nắm bắt thông tin đăng nhập của quản trị viên cố gắng xác thực ở điểm cuối bị xâm nhập, cung cấp cho kẻ tấn công quyền truy cập vào các tài khoản bổ sung mà chúng có thể sử dụng để di chuyển ngang hoặc xâm nhập mạng sâu hơn.
Trong khi đó, Poseidon là một backdoor Linux mà CERT-UA cho biết bao gồm đầy đủ các công cụ điều khiển máy tính từ xa. Sự bền bỉ của Poseidon đạt được bằng cách sửa đổi tác vụ Cron để bổ sung các hành vi độc hại.
Sửa đổi nhị phân Cron để thêm tính bền vững cho Poseidon (CERT-UA)
Sandworm sử dụng công cụ “Whitecat” để xóa dấu vết của cuộc tấn công và xóa nhật ký truy cập. Ở giai đoạn cuối của cuộc tấn công, tin tặc triển khai các tập lệnh có thể gây gián đoạn dịch vụ, đặc biệt là tập trung vào thiết bị Mikrotik và xóa sạch các bản sao lưu để khiến việc khôi phục trở nên khó khăn hơn.
Diễn biến này xảy ra khi CERT-UA cho biết họ đã quan sát thấy bốn chiến dịch tấn công lừa đảo được thực hiện bởi một nhóm tin tặc mà họ theo dõi là nhóm UAC-0006, sử dụng phần mềm độc hại “SmokeLoader” trong tuần đầu tiên của tháng 10/2023.
|
TÀI LIỆU THAM KHẢO https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html |
Phương Chi
14:00 | 04/08/2023
14:00 | 30/11/2023
08:00 | 24/11/2023
14:00 | 23/11/2023
14:00 | 08/11/2023
14:00 | 06/12/2024
09:00 | 05/01/2024
13:00 | 18/01/2024
16:00 | 21/07/2023
16:00 | 18/12/2023
13:00 | 26/02/2024
09:00 | 13/07/2023
11:00 | 11/03/2025
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
14:00 | 03/03/2025
Theo cảnh báo từ công ty tình báo mối đe dọa GreyNoise (Mỹ), các tác nhân đe dọa đang nỗ lực tấn công vào tường lửa PAN-OS của Palo Alto Networks bằng cách khai thác lỗ hổng vừa được khắc phục (CVE-2025-0108) cho phép vượt qua xác thực.
13:00 | 25/12/2024
Năm 2024 sắp kết thúc, hãy cùng điểm lại những sự cố công nghệ nghiêm trọng nhất xảy ra trong năm qua, ảnh hưởng đến hàng tỷ người trên toàn cầu.
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
