Nhóm hacker Nga tấn công 1000 công ty năng lượng

Đã qua rồi những ngày tội phạm mạng chỉ tập trung vào việc phát tán phần mềm độc hại vào máy tính người dùng dù đó là thông tin của một cá nhân bình thường hay một người có tầm quan trọng. Ngày nay, các công ty, tổ chức trong lĩnh vực năng lượng đã trở thành mục tiêu thú vị mới cho tội phạm mạng.

Vài ngày trước, các nhà nghiên cứu bảo mật đã phát hiện một phần mềm độc hại giống như Stuxnet là Havex được lập trình để lây nhiễm phần mềm điều khiển hệ thống công nghiệp của các hệ thống SCADA, với khả năng có thể vô hiệu hóa các đập thủy điện, quá tải nhà máy điện hạt nhân và thậm chí đóng cửa một lưới điện quốc gia chỉ với một phím tắt duy nhất.

Tin tặc Nga tấn công 1000 công ty năng lượng

Một nhóm tin tặc người Nga gọi là Energetic Bear đã gây thiệt hại cho hơn 1.000 công ty năng lượng trong khu vực châu Âu và Bắc Mỹ với một loại vũ khí mạng tinh vi, tương tự như Stuxnet. Nhóm này còn có tên gọi khác là Chuồn chuồn (Dragonfly), hoạt động từ năm 2011, bằng cách sử dụng các trang web lừa đảo và mã độc để nhắm vào các tổ chức cung cấp năng lượng của Mỹ cùng một số nước khác từ năm 2013.

Công ty Symantec tuyên bố rằng “Mục tiêu chính của chúng dường như là để gián điệp”. Nhóm xuất hiện để tạo nguồn lực, quy mô và tổ chức. Rất có khả năng là có sự tham gia của chính phủ trong các chiến dịch phần mềm độc hại này–  công ty cho biết thêm.

Theo bài viết trên blog ngày hôm qua của hãng bảo mật Symantec, nhóm Dragonfly chủ yếu nhằm mục tiêu khai thác đường ống dẫn dầu khí, các nhà máy phát điện và các hệ thống điều khiển công nghiệp cung cấp các thiết bị cho ngành năng lượng ở một số nước trên thế giới.

Hoạt động phá hoại

Kể từ năm 2013, Dragonfly được tổ chức để tấn công các hệ thống điều khiển công nghiệp (ICS) quản lý điện, nước, dầu, khí và các hệ thống dữ liệu, làm ảnh hưởng đến hầu hết 84 quốc gia trong một chiến dịch kéo dài 18 tháng, hầu hết các nạn nhân ở Hoa Kỳ, Tây Ban Nha, Pháp, Ý, Đức, Thổ Nhĩ Kỳ và Ba Lan.

“Dragonfly ban đầu nhắm mục tiêu các công ty quốc phòng và hàng không tại Mỹ, Canada trước khi chuyển tập trung chủ yếu vào các công ty năng lượng của Mỹ và châu Âu vào đầu năm 2013. Dragonfly hoạt động dưới sự bảo trợ của nhà nước, cho thấy một mức độ nguy hiểm cao đối với các công ty, tổ chức và chính phủ các nước”.

Hướng tấn công

Dragonfly sử dụng các kỹ thuật khác nhau để lây nhiễm vào các phần mềm công nghiệp với các mã độc được điều kiển từ xa (Remote Access Trojan – RAT) để truy cập vào hệ thống máy tính, các phần mềm độc hại được phát tán bằng cách đính kèm trong email, các trang web tải phần mềm và khai thác các chương trình của bên thứ ba. Nó có khả năng phá hoại hoặc làm gián đoạn các nguồn cung cấp năng lượng của một số quốc gia tại châu Âu.

“Dragonfl, muốn tấn công vào một số tổ chức chiến lược quan trọng nhằm mục đích gián điệp. Nếu chúng sử dụng khả năng phá hoại, chúng có thể gây ra thiệt hại hoặc sự gián đoạn nguồn cung cấp năng lượng ở các nước bị ảnh hưởng”.

Dragonfly liên kết với Havex

Dragonfly sử dụng hai loại công cụ: đầu tiên là Backdoor.Oldrea được sử dụng để thu thập thông tin hệ thống, bao gồm sổ địa chỉ liên lạc trong Outlook của máy tính nạn nhân cùng một danh sách các tập tin và chương trình đã được cài đặt. Thứ hai là Trojan.Karagany được sử dụng để gửi đi các dữ liệu đánh cắp và tải về các tập tin độc hại và chạy chúng trên máy tính bị nhiễm.

Các Oldrea backdoor còn được gọi là Havex. Cả Oldrea và Karagany đều cho phép tội phạm mạng truy cập từ xa vào hệ thống bị nhiễm thông qua các cửa hậu (backdoor) mà chúng đã để lại, cũng như đánh cắp dữ liệu bí mật, tải về và cài đặt các phần mềm độc hại vào hệ thống.

Sâu máy tính Stuxnet nổi tiếng năm 2010 được thiết kế để phá hoại các dự án hạt nhân của Iran. Nó đặc biệt nhắm mục tiêu vào một cơ sở làm giàu uranium để làm cho máy ly tâm vượt khỏi tầm kiểm soát và gây ra thiệt hại vật chất cho các nhà máy ở Natanz, Iran và đã vô hiệu hóa thành công 1.000 máy ly tâm mà Iran đã sử dụng để làm giàu uranium.

Theo The Hacker News