APT28 – Nhóm Hacker nguy hiểm được chính phủ Nga tài trợ

Một nhóm gián điệp mạng đã nhắm mục tiêu vào một loạt các chính phủ Đông Âu và các tổ chức an ninh liên quan, bao gồm cả Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO).

Công ty tình báo Mỹ FireEye vừa đưa ra bản báo cáo về cuộc tấn công Advanced Persistent Thread (APT), nói rằng các cuộc tấn công mạng nhắm vào các tổ chức khác nhau có sự liên hệ với Nga và có thể được chính phủ Nga tài trợ.

Báo cáo đã đưa ra những bằng chứng xác thực, các hoạt động tập trung mà chỉ có thể là được chính phủ tài trợ – đặc biệt, một chính phủ có trụ sở tại Moscow. Tuy nhiên lại có rất ít bằng chứng về sự liên kết hoạt động gián điệp không gian mạng.

Nhóm tình báo mạng được cho là đã hoạt động ít nhất từ năm 2007, ăn cắp nhiều bí mật chính trị của nhà nước từ các doanh nghiệp và chính phủ nước ngoài. Nhóm này đã phát động một cuộc tấn công mạng vào chính phủ ở Georgia, Đông Âu, cũng như NATO và Tổ chức An ninh và Hợp tác châu Âu.

Trong khi đó, các nhóm tội phạm mạng Nga được biết để tiến hành các chiến dịch trên mạng lớn nhằm đánh cắp tiền và thông tin tài chính, nhưng APT28 tập trung vào thông tin đặc quyền liên quan đến chính phủ, quân đội và các tổ chức an ninh.

Hãng bảo mật phân tích thêm, phần mềm độc hại mà APT28 sử dụng có tiếng Nga. Hơn nữa, hơn 96% mẫu phân tích của phần mềm độc hại được theo dõi từ thứ hai tới thứ sáu, từ 8:00 – 14:00 theo múi giờ song song với giờ làm việc tại Moscow và St. Petersburg. Vì thế, báo cáo cho rằng nhóm tin tặc đang tồn tại ở Moscow.

Nhóm APT28 đã liên tục cập nhật phần mềm và thực hiện những chương trình để đảo ngược kỹ thuật. Chúng sử dụng một công cụ downloader mà FireEye gọi là SOURFACE, một backdoor có nhãn EVILTOSS cho phép tin tặc truy cập từ xa và cấy ghép các module linh hoạt gọi là CHOPSTICK để tăng cường chức năng của các phần mềm gián điệp.

Việc nhiễm độc thường đạt được thông qua một email lừa đảo (phishing) với một mồi nhử có liên quan và các phần mềm độc hại ẩn trong các tập tin đính kèm. Các nhóm hacker cũng đã tạo ra một số tên miền giả cho các sự kiện quốc phòng trụ sở tại Anh, bao gồm cả Counter Terror Expo để thu thập thông tin về người tham dự. Cùng với sự giúp đỡ của các công cụ nêu trên, nhóm đã đạt được quyền truy cập vào tập tin hệ thống và registry; liệt kê các tài nguyên mạng; tạo ra các quy trình; đăng nhập tổ hợp phím; truy cập lưu trữ thông tin; thực hiện shellcode và mã hóa exfiltrated dữ liệu tải lên với một khóa RSA công khai.

Các thực hành mã hóa trong phần mềm độc hại của nhóm cho thấy một kỹ năng chuyên nghiệp và khả năng làm  phức tạp thêm sự đảo ngược kỹ thuật.

Trong một báo cáo khác, một quan chức cấp cao Nhà Trắng đã xác nhận rằng tin tặc Nga đã đột nhập vào các mạng máy tính của Nhà Trắng. Nga cũng bị nghi ngờ đã tấn công vào Ukraine, bao gồm cả việc truy cập vào điện thoại di động các chính trị gia để theo dõi thông tin liên lạc.

Theo THN