VietNetwork.Vn

Chính phủ Hoa Kỳ và liên minh các đối tác quốc tế đã chính thức xác định một nhóm tin tặc Nga được theo dõi với tên gọi Cadet Blizzard thuộc Trung tâm đào tạo chuyên gia 161 (Đơn vị 29155) của Cục Tình báo Chính phủ (GRU).

Các cơ quan này cho biết : "Những tác nhân mạng này chịu trách nhiệm về các hoạt động mạng máy tính chống lại các mục tiêu toàn cầu nhằm mục đích do thám, phá hoại và gây tổn hại danh tiếng kể từ ít nhất năm 2020".


"Kể từ đầu năm 2022, mục tiêu chính của các tác nhân mạng dường như là nhắm mục tiêu và phá hoại các nỗ lực cung cấp viện trợ cho Ukraine."

Mục tiêu của các cuộc tấn công tập trung vào cơ sở hạ tầng quan trọng và các lĩnh vực tài nguyên then chốt, bao gồm các dịch vụ chính phủ, dịch vụ tài chính, hệ thống giao thông, năng lượng và chăm sóc sức khỏe của các thành viên Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO), Liên minh Châu Âu, Trung Mỹ và các nước Châu Á.

Bản tư vấn chung được công bố vào tuần trước như một phần của cuộc tập trận phối hợp có tên gọi Chiến dịch Toy Soldier, đến từ các cơ quan tình báo và an ninh mạng tại Hoa Kỳ, Hà Lan, Cộng hòa Séc, Đức, Estonia, Latvia, Ukraine, Canada, Úc và Vương quốc Anh.

Cadet Blizzard, còn được gọi là Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 và UNC2589, đã gây chú ý vào tháng 1 năm 2022 vì triển khai phần mềm độc hại WhisperGate (hay còn gọi là PAYWIPE) phá hoại nhiều tổ chức nạn nhân của Ukraine trước cuộc xâm lược quân sự toàn diện của Nga vào quốc gia này.

Quay trở lại tháng 6 năm 2024, một công dân Nga 22 tuổi tên là Amin Timovich Stigal đã bị truy tố tại Hoa Kỳ vì bị cáo buộc có vai trò dàn dựng các cuộc tấn công mạng phá hoại chống lại Ukraine bằng phần mềm độc hại wiper. Tuy nhiên, việc sử dụng WhisperGate được cho là không chỉ riêng nhóm này thực hiện.

Bộ Tư pháp Hoa Kỳ (DoJ) đã buộc tội năm sĩ quan có liên quan đến Đơn vị 29155 vì âm mưu xâm nhập máy tính và lừa đảo qua mạng nhằm vào các mục tiêu ở Ukraine, Hoa Kỳ và 25 quốc gia NATO khác.

Tên của năm sĩ quan được liệt kê dưới đây -

• Yuriy Denisov (Юрий Денисов), một đại tá trong quân đội Nga và là sĩ quan chỉ huy của Chiến dịch mạng thuộc Đơn vị 29155
• Vladislav Borovkov (Владислав Боровков), Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов), và Nikolay Korchagin (Николай Корчагин), các trung úy trong quân đội Nga được phân về Đơn vị 291 55 người làm việc về hoạt động mạng

"Các bị cáo đã làm như vậy để gieo rắc mối lo ngại trong công dân Ukraine về sự an toàn của hệ thống chính phủ và dữ liệu cá nhân của họ", Bộ Tư pháp cho biết. "Mục tiêu của các bị cáo bao gồm các hệ thống và dữ liệu của Chính phủ Ukraine không có vai trò liên quan đến quân sự hoặc quốc phòng. Các mục tiêu sau đó bao gồm các hệ thống máy tính ở các quốc gia trên thế giới đang hỗ trợ Ukraine".

Cùng với bản cáo trạng, chương trình Phần thưởng vì Công lý của Bộ Ngoại giao Hoa Kỳ đã công bố phần thưởng lên tới 10 triệu đô la cho thông tin về bất kỳ vị trí nào của bị cáo hoặc hoạt động mạng độc hại của họ.

Có dấu hiệu cho thấy Đơn vị 29155 chịu trách nhiệm về các âm mưu đảo chính, phá hoại, hoạt động gây ảnh hưởng và ám sát trên khắp châu Âu, trong khi kẻ thù mở rộng phạm vi để bao gồm cả các hoạt động tấn công mạng kể từ ít nhất năm 2020.

Mục tiêu cuối cùng của các cuộc xâm nhập mạng này là thu thập thông tin nhạy cảm cho mục đích do thám, gây tổn hại danh tiếng bằng cách làm rò rỉ dữ liệu đó và chỉ đạo các hoạt động phá hoại nhằm phá hoại các hệ thống chứa dữ liệu có giá trị.

Theo thông báo, Đơn vị 29155 được cho là bao gồm các sĩ quan GRU cấp dưới đang tại ngũ, những người cũng dựa vào tội phạm mạng đã biết và những người hỗ trợ dân sự khác như Stigal để thực hiện nhiệm vụ của họ.

Bao gồm các hành vi làm hỏng trang web, quét cơ sở hạ tầng, đánh cắp dữ liệu và rò rỉ dữ liệu liên quan đến việc phát hành thông tin trên các tên miền trang web công cộng hoặc bán thông tin đó cho những đối tượng khác.

Chuỗi tấn công bắt đầu bằng hoạt động quét lợi dụng các lỗ hổng bảo mật đã biết trong Atlassian Confluence Server và Data Center, Dahua Security và tường lửa Sophos để xâm nhập vào môi trường của nạn nhân, sau đó sử dụng Impacket để khai thác sau và di chuyển ngang, và cuối cùng là đánh cắp dữ liệu vào cơ sở hạ tầng chuyên dụng.

"Những kẻ tấn công mạng có thể đã sử dụng phần mềm độc hại Raspberry Robin với vai trò là một nhà môi giới truy cập", các cơ quan lưu ý. "Những kẻ tấn công mạng đã nhắm mục tiêu vào cơ sở hạ tầng Microsoft Outlook Web Access (OWA) của nạn nhân bằng cách rải mật khẩu để lấy tên người dùng và mật khẩu hợp lệ".

Các tổ chức được khuyến nghị ưu tiên cập nhật hệ thống thường xuyên và khắc phục các lỗ hổng đã biết bị khai thác, phân đoạn mạng để ngăn chặn sự lây lan của hoạt động độc hại và thực thi xác thực đa yếu tố (MFA) chống lừa đảo cho tất cả các dịch vụ tài khoản bên ngoài.