Hacker bắt đầu chuyển hướng tấn công vào quốc phòng và ngoại giao Viễn Đông

Kaspersky Lab đã theo dõi một nhóm gián điệp mạng trong nhiều năm qua mang tên Sofacy. Theo đó, hãng phát hiện Sofacy đang dần chuyển mục tiêu sang vùng Viễn Đông, đặc biệt là các tổ chức quân sự, quốc phòng và ngoại giao ngoài các mục tiêu có liên quan đến NATO.

Các nhà nghiên cứu phát hiện ra rằng nhóm hacker nổi tiếng nói tiếng Nga này đã đặt backdoor trên một máy chủ trước đó bị chiếm quyền bởi mối đe doạ nói tiếng Anh đứng phía sau Lamberts. Và cụm máy chủ này thuộc về tập đoàn quan sự và hàng không vũ trụ ở Trung Quốc.

Sofacy hay còn được biết đến dưới tên APT28 hay Fancy Bear cũng có khi chồng chéo các mối đe doạ an ninh khác gồm Turla (nói tiếng Nga) và Danti (nói tiếng Trung) khi có cùng nạn nhân mục tiêu.

Tháng 2 này, Kaspersky Lab đã công bố công khai tổng quan các hoạt động của Sofacy trong năm 2017, tiết lộ những bước đi của nhóm hacker đang dần chuyển mục tiêu liên quan đến NATO sang Trung Đông, Trung Á và các khu vực khác.

Nhóm hacker sử dụng các công cụ lừa đảo để đánh cắp thông tin, trong đó gồm thông tin tài khoản, các thông tin và tài liệu nhạy cảm. Ngoài ra nhóm cũng bị nghi ngờ là đang phân phối các dữ liệu vận chuyển nguy hiểm đến các mục tiêu khác nhau.

Các phát hiện từ Kaspersky Lab cho thấy, Sofacy không phải là kẻ tấn công duy nhất theo dõi các khu vực này, mà còn chồng chéo đối tượng mục tiêu với các đối tượng đe doạ khác nhau trên thế giới.

Sự chồng chéo này nổi bật nhất là giữa Sofacy và  nhóm hacker nói tiếng Anh đứng sau Lamberts. Mối liên hệ này đã được phát hiện ngay sau khi các nhà nghiên cứu phát hiện ra sự hiện diện của Sofacy trên một cụm máy chủ được xác định trước đó bị tổn hại bởi mã độc Gray Lambert. Máy chủ này vốn thuộc về một tập đoàn tại Trung Quốc, chuyên phát triển, thiết kế và sản xuất các công nghệ hàng không và vũ trụ.

Thế nhưng trong ví dụ này, giao diện SPLM gốc cho Sofacy vẫn là một ẩn số mà các chuyên gia vẫn đang truy tìm. Điều này đưa ra đến một số giả thuyết khả năng, gồm thực tế là Sofacy có thể dùng một cách khai thác mới hoặc chưa bị phát hiện hoặc một chiêu mới của backdoor, hoặc nhóm bằng cách nào đó đã quản lý để khai thác các kênh hoạt động của Gray Lambert để tải mã độc này về.

Các chuyên gia tin rằng, câu trả lời phù hợp nhất là một tập lệnh PowerShell mới hoặc ứng dụng web hợp pháp nhưng dễ bị xâm nhập đã bị khai thác để tải và thực thi mã SPLM trong trường hợp này. Các nghiên cứu vẫn đang được tiến hành nhằm khám phá đáp án cho bài toán này.

Theo trưởng nhóm nghiên cứu bảo mật của Kaspersky Lab, ông Kurt Baugartner cho biết “Nhóm Sofacy được miêu tả là một nhóm hacker hoang dã và liều lĩnh nhưng theo những gì mà nhóm nghiên cứu khám phá, nhóm hacker này rất thực tế, cẩn thận và nhanh nhẹn. Hoạt động của chúng ở phương Đông phần lớn đã được báo cáo, nhưng rõ ràng đây không chỉ là nhân tố đe doạ duy nhất quan tâm đến khu vực này hoặc thậm chí trong các mục tiêu tương tự”.

Hiện tất cả các sản phẩm của Kaspersky đã có thể phát hiện và ngăn chặn thành công các cuộc tấn công của Sofacy được biết đến, khi đối phó với một số khả năng tấn công đầy thách thức hơn có thể yêu cầu khởi động lại.

Với các tổ chức đang hoạt động quân sự, quốc phòng và các vấn đề liên quan đến ngoại giao ở các khu vực bị ảnh hưởng, Kaspersky khuyến nghị người dùng nên sử dụng giải pháp bảo mật cấp doanh nghiệp đã được kiểm chứng kết hợp với các công nghệ chống tấn công.

Giải pháp này sẽ giúp cho hệ thống có khả năng phát hiện và nhanh chóng ngăn chặn những cuộc tấn công nhắm mục tiêu nâng cao thông qua  các phân tích vấn đề dị thường trên mạng, cung cấp cho các nhóm an toàn mạng toàn màn hình thông qua mạng và tự động hoá phản hồi.

Nếu phát hiện phải các dấu hiệu đầu tiên của cuộc tấn công mục tiêu, các tổ chức hãy xem xét các dịch vụ bảo vệ được quản lý cho phép bạn phát hiện các mối đe doạ cấp cao, giảm thời gian chờ và sắp xếp các phản hồi kịp thời.

Minh Hương