Nhóm tin tặc 'Gấu Nga' tấn công trở lại và lợi hại hơn xưa

Thu Thảo
Thu Thảo
23/11/2018 09:09 GMT+7

Nhóm hacker bị cho là đứng sau vụ tấn công mạng vào Ủy ban Quốc gia Dân Chủ năm 2016 đang quay lại với vũ khí mới sẵn sàng được sử dụng, các nhà nghiên cứu an ninh mạng cảnh báo.

Theo Forbes, nhóm hacker có tên Fancy Bear, nhóm bị tình báo Mỹ xem là cánh tay của chính phủ Nga, vừa bị phát hiện mở nhiều cuộc tấn công mới ở phương Tây. Trong lúc này, một nhóm hacker khác có liên kết chặt chẽ với Fancy Bear là Cozy Bear thực hiện một cuộc tấn công gián điệp nhỏ.
Hãng an ninh mạng Palo Alto Networks cho biết trong tuần này rằng Fancy Bear bắt đầu sử dụng phần mềm độc hại tên Cannon. Dù mới nhưng Cannon chỉ dùng kỹ thuật cũ. Đơn cử, nó dùng email như là cách để chuyển dữ liệu từ các mục tiêu bị nhắm đến. Các tổ chức tấn công mạng này nằm ở Bắc Mỹ, châu Âu và một nước thuộc Liên Xô cũ.
Nhóm hacker Nga còn được biết đến với cái tên APT28 và Sofacy đã và đang nỗ lực thử các phương pháp tấn công lừa đảo bằng email. Trong đợt tấn công mới nhất, email hứa hẹn về thông tin trong vụ máy bay Lion Air 737 MAX rơi trên biển ngoài khơi Indonesia hôm 29.10, khiến 189 người chết. Đây là chủ đề gây nhiều tranh cãi, vì hãng hàng không vũ trụ Boeing bị chỉ trích vì không cung cấp đủ thông tin cho phi công về tính năng an toàn của máy bay.
Fancy Bear dùng thông tin trên để nhắm đến một tổ chức chính phủ chịu trách nhiệm nhiều vấn đề về đối ngoại ở châu Âu, với văn bản Microsoft Word độc hại có tựa “crash list(Lion Air Boeing 737).docx”. Sofacy thường dùng tin tức hợp thời để lừa nạn nhân, theo phó giám đốc tình báo mối đe dọa tại Unit 42, bà Jen Miller-Osborn.
Bà Miller-Osborn không chắc tại sao Fancy Bear quay về sử dụng kỹ thuật cũ là liên lạc qua email, song lưu ý rằng đây có thể là nỗ lực để tránh bị phát hiện. Phương pháp này cũng có thể được dùng để tải thêm phần mềm độc hại về máy tính bị nhiễm.
Chuyên gia này cho biết đội ngũ của bà bận rộn nhiều tháng gần đây. Dù vậy, cuộc bầu cử giữa kỳ mới nhất vào tháng này thì yên tĩnh hơn rất nhiều so với hồi bầu cử tổng thống năm 2016.
Trong khi đó, Cozy Bear, nhóm cũng bị các nhà nghiên cứu an ninh mạng cho là có dính líu đến Nga, phát động cuộc tấn công lừa đảo hôm 14.11. Theo hãng an ninh mạng FireEye, đây là hành động đầu tiên của Cozy Bear trong một năm.
Trong email độc hại, các tin tặc giả làm quan chức Susan Stevenson thuộc Bộ Ngoại giao Mỹ. Để làm cho các cuộc tấn công trông thật hơn, chúng dùng máy chủ của một bệnh viện và trang web của một hãng tư vấn để gửi thông điệp. Dù email trông có vẻ chứa đầy thông tin liên lạc an toàn từ nhân viên Bộ Ngoại giao Mỹ và văn bản thực tập chính thức, thực tế toàn bộ đều bị nhiễm phần mềm độc hại được thiết kế để nhắm vào mục tiêu.
Đầu tuần này, FireEye cho biết danh sách tấn công mới nhất của Cozy Bear bao gồm ít nhất 20 khách hàng thuộc nhiều ngành công nghiệp, trong đó có viện chính sách, truyền thông, quân đội Mỹ, cơ quan thực thi pháp luật, giao thông vận tải, dược phẩm, chính phủ và nhà thầu quốc phòng.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.