Chủ đề

(An ninh quốc phòng) - Mặc dù theo âm lịch, năm 2014 là năm con Ngựa, nhưng về nhiều khía cạnh, năm 2014 đã là năm con Gấu trên không gian mạng, với một số nhóm tin tặc Nga nhận được sự chú ý từ công chúng. Hoạt động được báo cáo bao gồm các băng nhóm mà CrowdStrike đã theo dõi như ENERGETIC BEAR, FANCY BEAR và VENOMOUS BEAR cũng như các nhóm khác như Sandworm, sử dụng bộ công cụ BlackEnergy trong các cuộc tấn công có chủ đích, trái với việc được sử dụng như một mã độc tội phạm thông  thường của công cụ này..

Tổng quan về các băng nhóm tin tặc Nga (kỳ 4)

48_hackertrungquocgiaoducnetvn107_50_10_000000

Mục lục
[ẩn]

Mặc dù theo âm lịch, năm 2014 là năm con Ngựa, nhưng về nhiều khía cạnh, năm
2014 đã là năm con Gấu trên không gian mạng, với một số nhóm tin tặc Nga nhận
được sự chú ý từ công chúng. Hoạt động được báo cáo bao gồm các băng nhóm mà
CrowdStrike đã theo dõi như ENERGETIC BEAR, FANCY BEAR và VENOMOUS BEAR

VENOMOUS BEAR, hay còn được biết đến với tên gọi Snake, Turla và Oroborous, sử
dụng một tập hợp các mã độc Windows cao cấp có thể tận dụng hệ thống tập tin ảo
(VFS) được mã hóa làm bàn đạp cho các công cụ để triển khai và dữ liệu được chuẩn
bị sẵn sàng để trích xuất. Nó cũng bao gồm các đoạn mã độc cho các nền tảng khác như Linux, có thể sử dụng để vận hành cơ sở hạ tầng điều khiển và kiểm soát. Báo cáo bên ngoài cho thấy một xu hướng nhắm mục tiêu vào các đơn vị trong khu vực chính phủ cùng với việc sử dụng các công cụ khai thác lỗ hổng zero-day. Những TTP này, cùng  với sự cải thiện của bộ công cụ của tin tặc, cho thấy đây là một nhóm tin tặc rất tinh vi.

FANCY BEAR là biệt danh CrowdStrike dành cho một nhóm tin tặc còn được biết với
tên gọi Sofacy. Mặc dù các công cụ được nhóm tin tặc này sử dụng không phức tạp như của VENOMOUS BEAR nhưng cả hai nhóm đều có một điểm chung là nhắm mục tiêu vào các cơ quan chính phủ và quân đội, đặc biệt là các khu vực gần Nga như Đông Âu. Bên cạnh các đoạn mã độc cho các hệ điều hành Windows, Linux và các hệ điều hành trên các thiết bị di động, FANCY BEAR còn triển khai các cuộc tấn công lừa đảo, giả mạo các trang web hợp pháp để thu thập thông tin của những người dùng chúng quan tâm.

Phân tích chủ động năm 2014 đã tiết lộ về một nhóm tin tặc Nga khác chưa từng bị
phát hiện nhưng dường như đã được giao nhiệm vụ vì những lợi ích của nhà nước
Nga. BERSERK BEAR đã tiến hành các hoạt động từ năm 2004 đến nay, chủ yếu tập
trung vào việc thu thập thông tin tình báo nhưng cũng hỗ trợ các hoạt động tấn công
song song với cuộc xung đột Nga/ Georgia hồi tháng 08/2008.

ENERGETIC BEAR đã bị CrowdStrike theo dõi từ năm 2012. Nhóm tin tặc này ban đầu
tập trung vào các mục tiêu trong lĩnh vực năng lượng nhưng gần đây đã tách ra, nỗ lực
tấn công vào các tổ chức tài chính, công nghiệp và thương mại. Điều này tương ứng với một sự thay đổi từ chủ yếu sử dụng các phương thức tấn công SWC sang các cuộc tấn công bằng email có chủ đích. Phân tích hoạt động hậu khai thác của ENERGETIC BEAR cho thấy việc sử dụng các công cụ tùy chỉnh để thu thập thông tin đăng nhập, liệt kê thông tin hệ thống mạng và tương tác với thiết bị tự động hóa công nghiệp.

FANCY BEAR

Trong 6 tháng cuối năm 2014, CrowdStrike Intelligence đã phân tích hoạt động tấn
công có chủ đích của một nhóm tin tặc Nga được quan tâm đặc biệt có tên FANCY
BEAR. Các chiến dịch do nhóm tin tặc này tiến hành nhắm mục tiêu vào các cơ quan
chính phủ và quân đội cấp cao tại một số quốc gia, đáng chú ý nhất là các tổ chức chính trị của các quốc gia thuộc Liên Xô cũ cũng như các quốc gia Đông Âu, Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) và các tổ chức thuộc các nước phương Tây. Các thông tin kỹ thuật, như vị trí tài nguyên và thông tin đăng ký tên miền C2, cho thấy sự ám chỉ đến một nhóm tin tặc nói tiếng Nga. Bên cạnh đó, việc nhắm mục tiêu cũng phù hợp với các lợi ích chiến lược của Liên Bang Nga.

Việc nhắm mục tiêu vào các tổ chức cấp cao đòi hỏi các phương tiện kỹ thuật tiên tiến
và linh hoạt. FANCY BEAR cho thấy một mức độ tinh vi về kỹ thuật phù hợp trong các
công cụ của chúng và đặc điểm của nhóm tin tặc này là sự chuẩn bị toàn diện các cuộc tấn công và cơ sở hạ tầng cần thiết. Mã độc chính của nhóm, có tên gọi X-Agent, là một RAT phức tạp, có kiến trúc module và lịch sử phát triển nhiều năm. Do đó, các tin tặc có thể kết hợp các chức năng mã độc cần thiết trên mỗi mục tiêu, trên nhiều hệ điều  hành và các nền tảng di động.

Một đặc điểm đáng chú ý chí có thể thấy trong các mã độc tấn công có chủ đích tiên
tiến và được cấu hình tốt là: Nếu cần thiết, mã độc có thể chuyển đổi giao thức truyền
tải cho kênh điều khiển và kiểm soát của nó, từ HTTP qua email đến thiết bị lưu trữ có
thể tháo rời. Thiết bị lưu trữ có thể tháo rời đặc biệt phù hợp cho môi trường mục tiêu
không có kết nối mạng trực tiếp với một nút C2 mà, thay vào đó, dựa vào việc sử dụng
định kỳ USB để lấp đầy khoảng cách. Bên cạnh đó, những sự cố gần đây liên quan mã
độc sử dụng các đoạn mã cực kỳ khó hiểu, như một động thái khác được thực hiện để
ngăn chặn các nỗ lực phân tích. Tất cả những điều này nhấn mạnh một nhiệm vụ tấn
công có chủ đích rõ ràng.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (10)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (10)

Hiểu về kẻ thù để có thể bảo vệ hệ thống mạng hiệu quả hơn. Phát hiện, ngăn chặn và phòng vệ trước những kẻ tấn công tinh vi nhất hiện nay.           Tác động của...

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net