Tin tặc Nga có liên quan đến cuộc tấn công mạng lớn nhất từ trước đến nay vào cơ sở hạ tầng quan trọng của Đan Mạch

13:39 | 26/02/2024

Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.

SektorCERT của Đan Mạch cho biết, 22 cuộc tấn công mạng nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch không phải là chuyện bình thường, những kẻ tấn công biết trước chúng sẽ nhắm mục tiêu vào ai và lần nào cũng trúng. Không một lần nào chúng trượt mục tiêu".

Cơ quan này cho biết, họ đã tìm thấy bằng chứng cho thấy có nhiều cuộc tấn công có liên quan với cơ quan tình báo quân sự GRU của Nga, điều cũng bị theo dõi dưới cái tên Sandworm và có hồ sơ theo dõi về việc dàn dựng các cuộc tấn công mạng gây rối vào các hệ thống kiểm soát công nghiệp. Đánh giá này dựa trên các tạo phẩm có giao tiếp với các địa chỉ IP đã được truy vết đến nhóm tấn công.

Cuộc tấn công mạng phối hợp chưa từng có diễn ra vào ngày 11/5 bằng cách khai thác CVE-2023-28771 (điểm CVSS: 9,8), một lỗ hổng tiêm lệnh nghiêm trọng ảnh hưởng đến tường lửa Zyxel đã được tiết lộ vào cuối tháng 4/2023.

Trên 11 công ty đã bị xâm nhập thành công, các tác nhân đe dọa đã thực thi mã độc để tiến hành trinh sát cấu hình tường lửa và xác định hành động tiếp theo.

SektorCERT cho biết, trong dòng thời gian chi tiết về các sự kiện: “Loại phối hợp này đòi hỏi phải lập kế hoạch và nguồn lực”. "Ưu điểm của việc tấn công đồng thời là thông tin về một cuộc tấn công không thể truyền sang các mục tiêu khác trước khi quá muộn". "Điều này khiến sức mạnh của việc chia sẻ thông tin trở nên vô dụng vì không ai có thể được cảnh báo trước về cuộc tấn công đang diễn ra vì mọi người đều bị tấn công cùng lúc. Điều này thật bất thường và cực kỳ hiệu quả".

Làn sóng tấn công thứ hai nhắm vào nhiều tổ chức hơn sau đó đã được ghi lại từ ngày 22 đến ngày 25/5 bởi một nhóm tấn công bằng vũ khí mạng chưa từng thấy trước đó, làm tăng khả năng có hai tác nhân đe dọa khác nhau đã tham gia vào chiến dịch.

Điều đó nói rằng, hiện tại vẫn chưa rõ liệu các nhóm có hợp tác với nhau, làm việc cho cùng một chủ nhân hay hoạt động độc lập hay không.

​Các cuộc tấn công này bị nghi ngờ đã vũ khí hóa thêm hai lỗi nghiêm trọng trong thiết bị Zyxel (CVE-2023-33009 và CVE-2023-33010, điểm CVSS: 9,8) dưới dạng zero-day để đưa tường lửa vào mạng botnet Mirai và MooBot, do các bản vá lỗi cho chúng được công ty phát hành vào ngày 24/5/2023.

Trong một số trường hợp, các thiết bị bị xâm nhập được sử dụng để tiến hành các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các công ty giấu tên ở Hoa Kỳ và Hồng Kông.

SektorCERT giải thích: “Sau khi mã khai thác của một số lỗ hổng được công khai vào khoảng ngày 30/5, các nỗ lực tấn công nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch đã bùng nổ, đặc biệt là từ các địa chỉ IP ở Ba Lan và Ukraine”.

Cơ quan này cho biết thêm, sự tấn công dữ dội của các cuộc tấn công đã khiến các thực thể bị ảnh hưởng ngắt kết nối Internet và chuyển sang chế độ cô lập.

Nhưng đó không chỉ là các tác nhân quốc gia. Theo một báo cáo mới đây của Resecurity, ngành năng lượng cũng ngày càng trở thành tâm điểm của các nhóm ransomware, với các nhà môi giới truy cập ban đầu (IAB) tích cực thúc đẩy việc truy cập trái phép vào các công ty năng lượng hạt nhân.

Sự tiến triển này diễn ra khi công ty Censys phát hiện ra sáu máy chủ thuộc về NTC Vulkan, một nhà thầu CNTT có trụ sở tại Moscow bị cáo buộc đã cung cấp các công cụ mạng tấn công cho các cơ quan tình báo Nga, bao gồm cả Sandworm. Hơn nữa, nghiên cứu đã phát hiện ra mối liên hệ với một nhóm có tên Raccoon Security thông qua chứng thư số NTC Vulkan.

Matt Lembright, giám đốc Federal Applications tại Censys cho biết: “Racoon Security là một thương hiệu của NTC Vulkan và có thể các hoạt động của Raccoon Security bao gồm sự tham gia trước đây hoặc hiện tại vào các sáng kiến bị đã đề cập trước đó và do GRU ký hợp đồng”.