Nhóm Hacker Nga Đang Cố Gắng Tấn Công Hàng Trăm Hệ Thống

Với việc phát hiện chiến dịch gián điệp SolarWinds tàn khốc của Nga đã đặt dấu hiệu cho các kỹ thuật chiếm đoạt chuỗi cung ứng tinh vi của các hacker tình báo nước ngoài Moscow. Nhưng bây giờ rõ ràng rằng, suốt thời gian gián điệp SolarWinds và hậu quả của nó, một nhóm hacker Kremlin khác vẫn duy trì công việc hàng ngày của họ, sử dụng các kỹ thuật cơ bản nhưng thường hiệu quả để mở mạch gần như bất kỳ mạng nào có lỗ hổng mà họ có thể tìm thấy trên khắp Hoa Kỳ và toàn cầu.

Vào thứ Năm, Cơ quan An ninh Quốc gia (NSA), Cục FBI, Cơ quan An ninh và An toàn Cơ sở Hạ tầng của DHS và Trung tâm An ninh Mạng Quốc gia của Vương quốc Anh đã phát đi cảnh báo chung về hàng trăm cuộc tấn công hacker bằng cách sử dụng kỹ thuật tấn công brute-force trên khắp thế giới, đều do Đơn vị 26165 của cơ quan tình báo quân sự GRU của Nga thực hiện, còn được biết đến rộng rãi là Fancy Bear hoặc APT28. Chiến dịch tấn công đã nhắm vào một loạt các tổ chức, bao gồm cả cơ quan chính phủ và quân đội, các nhà thầu quốc phòng, các đảng chính trị và các công ty tư vấn, công ty logistics, công ty năng lượng, các trường đại học, các công ty luật và các công ty truyền thông. Nói cách khác, gần như mọi lĩnh vực quan tâm trên internet.

Chiến dịch tấn công đã sử dụng các kỹ thuật tương đối cơ bản đối với những mục tiêu đó, đoán tên người dùng và mật khẩu hàng loạt để có quyền truy cập ban đầu. Nhưng các cơ quan an ninh mạng cảnh báo rằng chiến dịch Fancy Bear vẫn đã thành công trong việc xâm nhập nhiều tổ chức và lấy cắp email từ chúng—và nó vẫn chưa kết thúc. "Chiến dịch tấn công brute-force này để thu thập và rò rỉ dữ liệu, truy cập thông tin đăng nhập và nhiều hơn nữa, có thể vẫn đang diễn ra, trên quy mô toàn cầu," Rob Joyce, giám đốc An ninh mạng của NSA, viết trong một tuyên bố đi kèm cảnh báo.

Đơn vị 26165 của GRU, nhiều hơn cả các đội tình báo của SVR thực hiện chiến dịch SolarWinds, có một lịch sử hacking gây rối cao. Fancy Bear đã đứng sau các hoạt động hack-and-leak đã nhắm đến mọi người từ Ủy ban Quốc gia Dân chủ và Chiến dịch Clinton năm 2016 đến Tổ chức Olympic Quốc tế và Tổ chức Chống doping Toàn cầu. Nhưng vẫn chưa có lý do nào để tin rằng ý đồ của nỗ lực mới này vượt quá gián điệp truyền thống, theo John Hultquist, phó chủ tịch tại công ty an ninh Mandiant và một người theo dõi GRU lâu dài.

"Những xâm nhập này không nhất thiết là dấu hiệu của những trò quậy phá khi chúng ta nghĩ đến GRU," Hultquist nói. Nhưng điều đó không có nghĩa là chiến dịch hack không quan trọng. Anh ta xem cảnh báo chung, đặt tên IP và phần mềm độc hại được sử dụng bởi các hacker, như là một cố gắng thêm "ma sát" vào một hoạt động xâm nhập thành công. "Đó là một lời nhắc tốt rằng GRU vẫn tồn tại, thực hiện loại hoạt động này và có vẻ tập trung vào các mục tiêu gián điệp cổ điển như nhà làm chính sách, nhà ngoại giao và ngành công nghiệp quốc phòng."

Việc bao gồm các mục tiêu trong lĩnh vực năng lượng trong chiến dịch hack nâng cao cảnh báo, đặc biệt là khi một nhóm hacker khác của GRU, Sandworm, vẫn là nhóm hacker duy nhất từng kích hoạt sự cố mất điện thực sự, phá hoại các công ty điện Ukraine vào năm 2015 và 2016. Bộ Năng lượng cũng cảnh báo riêng vào đầu năm 2020 rằng hacker đã nhắm vào một "đơn vị năng lượng" ở Mỹ ngay trước Giáng sinh năm 2019. Cảnh báo này bao gồm các địa chỉ IP sau đó được kết hợp với Đơn vị 26165 của GRU, như MYTOUR đầu tiên đưa tin vào năm ngoái. "Tôi luôn lo lắng khi thấy GRU trong không gian năng lượng," Hultquist nói. Tuy nhiên, anh ấy vẫn nhìn nhận rằng gián điệp đơn giản là động cơ có thể.

Hack brute-force của GRU có thể là "tận dụng cơ hội" thay vì chính xác, Joe Slowik, người dẫn dắt phòng tình báo tại công ty an ninh Gigamon và người đầu tiên phát hiện ra mối liên kết giữa cảnh báo của Bộ Năng lượng và GRU, lập luận. Anh ta đề xuất rằng đội ngũ có thể đơn giản chỉ đang tiếp cận mọi mạng có thể tìm thấy trước khi chuyển giao quyền truy cập đó cho các hacker Kremlin khác có nhiệm vụ cụ thể hơn, như gián điệp hoặc phá hủy. "Nhiệm vụ của họ là 'đi và lấy cho chúng tôi điểm truy cập trong các tổ chức có quan tâm'," Slowik nói. "Sau đó họ giữ nó hoặc chuyển giao cho các bên chăm sóc xâm nhập phức tạp hơn, dựa trên bất kỳ quyền truy cập nào họ có thể tìm thấy."

Tuy nhiên, phạm vi của chiến dịch "phun sương" đó cho thấy cách GRU có thể đang tăng cường những cố gắng truy cập của mình, Slowik nói. Cảnh báo lưu ý, ví dụ, rằng các hacker đã sử dụng Kubernetes, một công cụ ảo hóa máy chủ và tự động hóa. Điều này dường như là một chiêu mới để quay nhanh các máy ảo để sử dụng trong những cố gắng xâm nhập của họ. Và bằng cách giữ cho các kỹ thuật đơn giản được sử dụng bởi hacker do nhà nước và hacker tội phạm mạng giống nhau, hack của GRU vẫn giữ nguyên tính "có thể phủ nhận" một phần, Slowik thêm. Nếu không phải vì cảnh báo của các cơ quan chính phủ liên kết nó với GRU, có lẽ không có chứng cứ gì cho các nhà điều hành mạng phân biệt sự kiện đang được thăm dò từ các cố gắng hack khác nhau.

Sau cuộc họp giữa Tổng thống Mỹ Joe Biden và Tổng thống Nga Vladimir Putin tại hội nghị thượng đỉnh ở Geneva, tổ chức một phần để giảm căng thẳng về chiến dịch gián điệp SolarWinds của Nga, tin tức mới nhất về hacking của Nga có vẻ như là một cú đấm vào nỗ lực ngoại giao của Mỹ. Sau tất cả, Biden đã đề cập đến Putin 16 lĩnh vực quan trọng của Mỹ mà ông xác định là không thể chấp nhận cho bất kỳ hoạt động hack nào—bao gồm cả lĩnh vực năng lượng.

Tuy nhiên, vẫn chưa rõ rằng chiến dịch hack masiv brute-force của GRU đã xâm nhập vào những mục tiêu cơ sở hạ tầng đặc biệt nhạy cảm nào, nếu có, hoặc có xảy ra sau cuộc họp thượng đỉnh hay trước đó. Bất kể điều đó, John Hultquist của Mandiant lập luận, không có cuộc họp nào giữa Biden và Putin—hoặc bất kỳ biện pháp ngoại giao nào khác—sẽ bao giờ có thể ngăn chặn trò chơi gián điệp mãi mãi giữa mèo và chuột.

"Điều này có nghĩa là mọi thứ đã phá vỡ với Nga chưa? Không, không có gì chúng ta có thể làm để khiến Moscow ngừng gián điệp," Hultquist nói. "Điều đó đơn giản không thể xảy ra. Chúng ta sẽ luôn sống trong một thế giới nơi người Nga đang thu thập thông tin, và điều đó sẽ luôn bao gồm khả năng mạng."

• 📩 Tin tức mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
• Trận chiến giữa mỏ lithium và hoa dại
• Không, vaccine Covid-19 sẽ không khiến bạn từ trở nên nam châm. Đây là lý do tại sao
• Chiến dịch của DuckDuckGo chứng minh sự riêng tư trực tuyến là có thể
• Một làn sóng mới của các ứng dụng hẹn hò lấy cảm hứng từ TikTok và thế hệ Z
• Các ứng dụng di động yêu thích của bạn cũng có thể chạy trên trình duyệt web
• 👁️ Khám phá AI như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
• 🎮 MYTOUR Games: Nhận những mẹo, đánh giá và nhiều hơn nữa
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Kiểm tra lựa chọn của đội ngũ Gear chúng tôi cho các bộ theo dõi sức khỏe, đồ chạy (bao gồm giày và tất), và tai nghe tốt nhất