Microsoft chặn đứng âm mưu tấn công Ukraine, Mỹ, EU của nhóm hacker quân sự Nga
Khoa học - công nghệ - Ngày đăng : 08:30, 08/04/2022
Microsoft đã ngăn chặn thành công các cuộc hack nhắm vào các mục tiêu Ukraine do nhóm APT28 của Nga điều phối sau khi đánh sập 7 tên miền được sử dụng làm cơ sở hạ tầng tấn công. Ukraine đã bị ảnh hưởng bởi các nỗ lực hack kể từ khi các lực lượng Nga tấn công nước này từ ngày 24.2.2022.
APT28 (còn được gọi là Fancy Bear hoặc Strontium), được liên kết với cơ quan tình báo quân sự của Nga, đã sử dụng 7 tên miền này để nhắm mục tiêu vào nhiều tổ chức Ukraine, bao gồm cả các tổ chức truyền thông. 7 tên miền cũng được sử dụng trong các cuộc tấn công chống lại các tổ chức chính phủ của Mỹ, Liên minh châu Âu (EU) và các tổ chức tư vấn liên quan đến chính sách đối ngoại.
Tom Burt, Phó chủ tịch phụ trách mảng Bảo mật & niềm tin của Khách hàng tại Microsoft, cho biết: “Vào thứ Tư, ngày 6.4, chúng tôi đã nhận được lệnh tòa cho phép chúng tôi kiểm soát 7 tên miền internet mà Strontium đang sử dụng để thực hiện các cuộc tấn công này. Kể từ đó, chúng tôi đã chuyển hướng các tên miền này đến một sinkhole do Microsoft kiểm soát, cho phép chúng tôi giảm thiểu việc sử dụng hiện tại của Strontium với các miền này và kích hoạt thông báo về nạn nhân.
Chúng tôi tin rằng Strontium đang cố gắng thiết lập quyền truy cập lâu dài vào hệ thống của các mục tiêu, hỗ trợ chiến thuật cho cuộc tấn công quân sự Ukraine và lấy đi thông tin nhạy cảm".
Sinkhole là máy chủ được thiết kế để nắm bắt lưu lượng độc hại và ngăn chặn việc kiểm soát các máy tính bị lây nhiễm bởi hacker.
Microsoft cũng thông báo cho chính phủ Ukraine về hoạt động độc hại của Strontium và việc làm gián đoạn nỗ lực xâm nhập mạng của các tổ chức có mục tiêu ở nước này.
APT28 liên quan đến nhiều vụ hack nhắm mục tiêu vào các chính phủ
Trước đó, Microsoft đã đệ trình 15 trường hợp khác chống lại APT28 vào tháng 8.2018, dẫn đến việc thu giữ 91 tên miền độc hại.
"Động thái này là một phần của khoản đầu tư dài hạn đang diễn ra, bắt đầu vào năm 2016, để thực hiện hành động pháp lý và kỹ thuật nhằm chiếm cơ sở hạ tầng đang được sử dụng bởi Strontium. Chúng tôi đã thiết lập một quy trình pháp lý cho phép chúng tôi có được quyết định nhanh chóng từ tòa án cho công việc này", Tom Burt nói thêm.
Theo trang Bleeping Computer, APT28 đã hoạt động ít nhất từ năm 2004 thay mặt cho đơn vị quân đội 26165 của Bộ Tổng tham mưu Cơ quan tình báo Nga.
Các nhà điều hành APT28 có liên quan đến các chiến dịch gián điệp mạng nhắm vào các chính phủ trên thế giới, bao gồm cả vụ tấn công Quốc hội Liên bang Đức năm 2015 và các vụ hack chống lại Ủy ban Quốc gia Dân chủ (DNC) cùng Ủy ban Chiến dịch Quốc hội Dân chủ (DCCC) của Mỹ vào năm 2016.
Các thành viên của đơn vị hack quân sự Nga này đã bị Mỹ buộc tội tấn công DNC và DCCC vào năm 2018, cũng như nhắm mục tiêu và hack các thành viên riêng lẻ trong Chiến dịch Clinton.
Hai năm sau, Hội đồng Liên minh châu Âu đã công bố các biện pháp trừng phạt với nhiều thành viên APT28 vì liên quan đến vụ hack Quốc hội Liên bang Đức vào năm 2015.
FBI kiểm soát hàng ngàn router và thiết bị tường lửa khỏi tay hacker quân sự Nga
Hôm 6.4, Cục Điều tra Liên bang Mỹ (FBI) cho biết đã giành quyền kiểm soát hàng ngàn router (bộ định tuyến) và thiết bị tường lửa khỏi tay hacker quân sự Nga bằng cách tấn công cơ sở hạ tầng tương tự cách các điệp viên Nga đang sử dụng để liên lạc với các thiết bị này.
Hoạt động bất thường này là động thái tấn công trước nhằm ngăn chặn các hacker Nga điều động các thiết bị bị xâm nhập vào một mạng botnet - mạng lưới các máy tính bị hack có thể tấn công các máy chủ khác với lưu lượng truy cập cao bất thường.
"May mắn thay, chúng tôi đã có thể phá vỡ mạng botnet này trước khi nó có thể được sử dụng", Bộ trưởng Tư pháp Mỹ - Merrick Garland cho biết.
Mạng botnet có mục tiêu được kiểm soát thông qua phần mềm độc hại Cyclops Blink, mà các cơ quan an ninh mạng của Mỹ và Vương quốc Anh đã công khai vào cuối tháng 2.2022 liên quan Sandworm.
Sandworm được phương Tây cho là một trong những nhóm hacker có liên hệ với cơ quan tình báo quân đội Nga, nhiều lần bị cáo buộc thực hiện các cuộc tấn công mạng.
Cyclops Blink được thiết kế để chiếm quyền điều khiển các thiết bị do WatchGuard Technologies và ASUSTeK Computer (còn được gọi là Asus) sản xuất, theo nghiên cứu của các công ty an ninh mạng tư nhân. Từ đó, Cyclops Blink cung cấp cho các dịch vụ của Nga quyền truy cập vào các hệ thống bị xâm phạm, khả năng tách lọc hoặc xóa dữ liệu từ xa hoặc biến các thiết bị chống lại bên thứ ba.
WatchGuard Technologies xác nhận rằng đã làm việc với Bộ Tư pháp Mỹ để phá vỡ mạng botnet nhưng không tiết lộ số lượng thiết bị bị ảnh hưởng - chỉ nói rằng chúng đại diện cho "ít hơn 1% thiết bị WatchGuard".
AsusTek đã không trả lời khi được đề nghị bình luận về chuyện trên.
Giám đốc FBI - Chris Wray nói với các phóng viên rằng FBI, với sự chấp thuận của tòa án, đã bí mật tiếp cận hàng ngàn bộ định tuyến và thiết bị tường lửa để xóa phần mềm độc hại và cấu hình lại các thiết bị.
Chris Wray nói: “Chúng tôi đã xóa phần mềm độc hại khỏi các thiết bị được sử dụng bởi hàng nghìn doanh nghiệp nhỏ vì an ninh mạng trên toàn thế giới. Chúng tôi đã đóng chặt cánh cửa mà người Nga đã sử dụng để xâm nhập vào chúng".
Các quan chức Mỹ đã khởi động một chiến dịch nâng cao nhận thức “để thông báo cho chủ sở hữu các thiết bị WatchGuard Technologies về các bước họ cần thực hiện để khắc phục sự cố nhiễm mã độc hoặc lỗ hổng bảo mật” và chưa đến một nửa số thiết bị đã được sửa để trục xuất hacker.
FBI đã thực hiện công việc của mình với sự hợp tác của WatchGuard.