Google vừa cho biết nhóm hacker Mustang Panda từ Trung Quốc đang nhắm mục tiêu vào các cơ quan chính phủ Nga.
Nhóm phân tích mối đe dọa của Google (TAG) cho biết trong một báo cáo tập trung vào hoạt động mạng ở Đông Âu rằng, Mustang Panda đã xâm nhập thành công một số công ty của Nga.
TAG là nhóm chuyên gia bảo mật hoạt động như một lực lượng bảo vệ người dùng Google khỏi các cuộc tấn công do nhà nước tài trợ.
Như đã tiết lộ trong các báo cáo TAG trước đây, Mustang Panda nhắm mục tiêu vào các tổ chức chính phủ và quân sự Nga, cũng như các quốc gia khác trong khu vực như Ukraine, Kazakhstan và Mông Cổ.
"Ở Nga, các chiến dịch hack kéo dài chống lại nhiều tổ chức chính phủ đã tiếp tục, bao gồm cả Bộ Ngoại giao. Trong tuần qua, TAG đã xác định các vụ hack bổ sung ảnh hưởng đến nhiều nhà thầu và nhà sản xuất quốc phòng Nga cùng một công ty hậu cần của Nga", Billy Leonard - kỹ sư bảo mật của TAG thông báo.
Mustang Panda gần đây bị công ty an ninh mạng Secureworks (Mỹ) quan sát thấy đang nhắm mục tiêu vào "các quan chức hoặc quân nhân quen thuộc trong khu vực".
Báo cáo khác được công bố vào cuối tháng 3.2022 tiết lộ các cuộc tấn công lừa đảo rộng rãi do các nhóm hacker tại Nga phối hợp chống lại NATO và quân đội châu Âu.
Một báo cáo khác từ đầu tháng 3.2022 về hoạt động độc hại liên quan đến cuộc chiến của Nga ở Ukraine cho thấy những nỗ lực liên tục của các hacker từ Nga, Trung Quốc và Belarus nhằm làm tổn hại các tổ chức và quan chức Ukraine lẫn châu Âu.
Billy Leonard nói rằng các tác nhân đe dọa từ Trung Quốc, Iran, Triều Tiên và Nga vẫn đang tích cực nhắm mục tiêu vào cơ sở hạ tầng quan trọng, bao gồm dầu khí, viễn thông và sản xuất.
Google đã chứng kiến nhóm hack APT28 và Turla từ Nga đang thực hiện các chiến dịch lừa đảo thông tin xác thực cùng các cuộc tấn công chống lại các tổ chức quốc phòng và an ninh mạng.
Một nhóm APT khác của Nga được theo dõi là Coldriver (hay còn gọi là Callisto) sử dụng tài khoản Gmail để gửi email lừa đảo nhắm vào các quan chức chính phủ và quốc phòng, các tổ chức phi chính phủ, các tổ chức tư vấn và nhà báo.
Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ tập hợp các quá trình tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc một nhóm người (hacker) nhắm vào một thực thể cá biệt.
Đến nay, các cuộc tấn công của họ đã bị chặn bởi dịch vụ Safe Browsing (duyệt web an toàn) của Google sau khi các miền lừa đảo được xác định và gắn thẻ là độc hại.
Nhóm hacker Ghostwriter (Belarus) cũng đang cố gắng lấy cắp thông tin đăng nhập từ "những cá nhân có nguy cơ cao ở Ukraine" trong các chiến dịch lừa đảo nhắm mục tiêu vào tài khoản Gmail của họ.
"Không có tài khoản nào bị xâm phạm từ chiến dịch đó và Google sẽ cảnh báo tất cả người dùng mục tiêu về những nỗ lực này thông qua các cảnh báo hàng tháng về kẻ tấn công được chính phủ hậu thuẫn", Billy Leonard nói thêm.
Quy mô các cuộc tấn công mạng từ Nga nhắm vào Ukraine
Hôm 27.4, Microsoft cũng tiết lộ quy mô thực sự của các cuộc tấn công mạng từ Nga nhắm vào Ukraine.
Theo Microsoft, hacker từ Nga đã thực hiện nhiều hoạt động không gian mạng chống lại Ukraine dường như để hỗ trợ các cuộc tấn công quân sự và các chiến dịch tuyên truyền trực tuyến của nước này.
Các cuộc xâm nhập được báo cáo cho thấy việc hack đã đóng vai trò lớn hơn trong cuộc xung đột so với những gì từng được công khai.
Các nhà nghiên cứu nhận thấy cuộc tấn công kỹ thuật số, mà Microsoft cho biết đã bắt đầu 1 năm trước cuộc tấn công Ukraine của Nga hôm 24.2.2022, có thể đã đặt nền tảng cho các nhiệm vụ quân sự khác nhau trong lãnh thổ bị chiến tranh tàn phá.
Trong khoảng thời gian từ ngày 23.2 đến 8.4.2022, Microsoft đã quan sát thấy tổng cộng 37 cuộc tấn công mạng phá hoại từ Nga nhắm vào Ukraine.
Các chuyên gia cho biết phát hiện này nhấn mạnh cách chiến tranh hiện đại có thể kết hợp các cuộc tấn công kỹ thuật số và tấn công quân sự bất ngờ.
Thomas Rid, Giáo sư nghiên cứu chiến lược tại Trường Nghiên cứu Quốc tế Cao cấp Paul H. Nitze thuộc Đại học Johns Hopkins (Mỹ), cho biết: “Các tướng lĩnh và điệp viên Nga đã cố gắng thực hiện các cuộc tấn công mạng như một phần trong nỗ lực chiến tranh, trong khi họ đang vật lộn trên chiến trường”.
Microsoft nói các hành động tấn công mạng và quân sự của Nga hoạt động "song song với một mục tiêu chung được đặt ra”. Hãng công nghệ Mỹ nói không thể xác định liệu mối tương quan này được thúc đẩy bởi việc ra quyết định phối hợp hay chỉ đơn giản là vì các mục tiêu chung.
Ví dụ, một dòng thời gian do Microsoft công bố cho thấy vào hôm 1.3 - cùng ngày một tên lửa Nga được bắn vào tháp truyền hình Kyiv - các công ty truyền thông ở thủ đô Ukraine đã bị tấn công phá hoại và gián điệp mạng.
Một trường hợp khác, nhóm nghiên cứu an ninh mạng của Microsoft đã ghi lại cảnh "các hacker bị nghi ngờ là người Nga" ẩn nấp trên cơ sở hạ tầng quan trọng của Ukraine ở thành phố Sumy, phía đông bắc nước này, hai tuần trước khi tình trạng thiếu điện trên diện rộng được báo cáo trong khu vực vào ngày 3.3.
Ngày hôm sau, Microsoft cho biết hacker từ Nga đã đột nhập vào một mạng chính phủ ở thành phố Vinnytsia, miền trung Ukraine. Ngày 6.3, tên lửa san bằng sân bay Vinnytsia.
Victor Zhora, quan chức an ninh mạng hàng đầu Ukraine, cho biết tiếp tục chứng kiến các cuộc tấn công mạng từ Nga nhắm vào các công ty viễn thông địa phương và các nhà khai thác lưới điện năng lượng.
“Tôi tin rằng họ có thể tổ chức nhiều cuộc tấn công hơn vào những lĩnh vực này. Chúng ta không nên đánh giá thấp hacker Nga nhưng có lẽ cũng không nên đánh giá quá cao tiềm năng của họ”, Victor Zhora nói với các phóng viên.
Ông cảm ơn Microsoft, chính phủ Mỹ và nhiều đồng minh châu Âu đã hỗ trợ an ninh mạng cho Ukraine.
Kể từ khi cuộc chiến bắt đầu, các học giả và nhà phân tích cho rằng Nga dường như ít tích cực hơn trong lĩnh vực mạng chống lại Ukraine so với dự kiến. Báo cáo của Microsoft cho thấy một loạt các hoạt động mạng độc hại nhưng tác động trong hầu hết trường hợp là không rõ ràng.
3 tuần trước, chính phủ Mỹ đã công khai vạch trần một vũ khí mạng có tên Pipedream được thiết kế để làm hỏng các hệ thống điều khiển công nghiệp. Dù không thuộc về Nga nhưng công cụ này được coi là rất nguy hiểm và việc phát hiện ra nó trùng với cuộc xung đột ở Ukraine.