Ngày 31 tháng 1 năm 2023Ravie LakshmananChiến tranh mạng / Phần mềm độc hại
Sandworm có liên kết với Nga đã sử dụng một dòng phần mềm độc hại wiper khác có tên là NikoGạt Nước như một phần của cuộc tấn công diễn ra vào tháng 10 năm 2022 nhắm vào một công ty trong lĩnh vực năng lượng ở Ukraine.
“NikoWiper dựa trên SDelete, một tiện ích dòng lệnh của Microsoft được sử dụng để xóa các tệp một cách an toàn”, công ty an ninh mạng ESET tiết lộ trong Báo cáo hoạt động APT mới nhất được chia sẻ với The Hacker News.
Công ty an ninh mạng Slovakia cho biết các cuộc tấn công trùng hợp với các cuộc tấn công bằng tên lửa do lực lượng vũ trang Nga dàn dựng nhằm vào cơ sở hạ tầng năng lượng của Ukraine, cho thấy có sự chồng chéo về mục tiêu.
Tiết lộ được đưa ra chỉ vài ngày sau khi ESET quy kết Sandworm cho một công cụ xóa dữ liệu dựa trên Golang có tên là SwiftSlicer đã được triển khai chống lại một thực thể Ukraine giấu tên vào ngày 25 tháng 1 năm 2023.
Nhóm mối đe dọa liên tục nâng cao (APT) có liên quan đến cơ quan tình báo quân sự nước ngoài GRU của Nga cũng có liên quan đến một cuộc tấn công thành công một phần nhắm vào hãng thông tấn quốc gia Ukrinform, triển khai tới 5 công cụ gạt nước khác nhau trên các máy bị xâm nhập.
Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã xác định năm biến thể gạt nước là CaddyWiper, ZeroWipe, SDelete, AwfulShred và BidSwipe. Ba trong số các hệ thống Windows được nhắm mục tiêu đầu tiên này, trong khi AwfulShred và BidSwipe nhắm vào các hệ thống linux và FreeBSD.
Việc sử dụng SDelete là đáng chú ý, vì nó cho thấy rằng Sandworm đã thử nghiệm tiện ích này như một công cụ gạt nước trong ít nhất hai trường hợp khác nhau để gây ra thiệt hại không thể khắc phục cho các tổ chức bị nhắm mục tiêu ở Ukraine.
Điều đó nói rằng, Robert Lipovsky, nhà nghiên cứu phần mềm độc hại cấp cao của ESET, nói với The Hacker News rằng “NikoWiper là một phần mềm độc hại khác.”
Bên cạnh vũ khí hóa SDelete, các chiến dịch gần đây của Sandworm cũng đã tận dụng các dòng ransomware riêng biệt, bao gồm Prestige và RansomBoggs, để khóa dữ liệu nạn nhân đằng sau các rào cản mã hóa mà không có bất kỳ tùy chọn nào để khôi phục chúng.
Những nỗ lực này là dấu hiệu mới nhất cho thấy việc sử dụng phần mềm độc hại có tính hủy diệt đang gia tăng và ngày càng được sử dụng làm vũ khí mạng được các nhóm tin tặc Nga lựa chọn.
“Cần gạt nước đã không được sử dụng rộng rãi vì chúng là vũ khí nhắm mục tiêu,” Dmitry Bestuzhev của BlackBerry nói với The Hacker News trong một tuyên bố. “Sandworm đã tích cực làm việc để phát triển các dòng mã độc và ransomware được sử dụng rõ ràng cho Ukraine.”
Không chỉ có Sandworm, mà các tổ chức khác do nhà nước Nga tài trợ như APT29, Callisto và Gamaredon đã tham gia vào các nỗ lực song song nhằm làm tê liệt cơ sở hạ tầng Ukraine thông qua các chiến dịch lừa đảo trực tuyến được thiết kế để tạo điều kiện truy cập cửa sau và đánh cắp thông tin xác thực.
Theo Recorded Future, theo dõi APT29 (hay còn gọi là Nobelium) dưới biệt danh BlueBravo, APT đã được kết nối với cơ sở hạ tầng mới bị xâm nhập có khả năng được sử dụng làm mồi nhử để cung cấp trình tải phần mềm độc hại có tên mã là GraphicalNeutrino.
Trình tải, có chức năng chính là phân phối phần mềm độc hại tiếp theo, lạm dụng API của Notion để liên lạc ra lệnh và kiểm soát (C2) cũng như tính năng cơ sở dữ liệu của nền tảng để lưu trữ thông tin nạn nhân và giai đoạn tải trọng để tải xuống.
“Bất kỳ quốc gia nào có mối liên hệ với cuộc khủng hoảng Ukraine, đặc biệt là những quốc gia có mối quan hệ địa chính trị, kinh tế hoặc quân sự quan trọng với Nga hoặc Ukraine, đều có nguy cơ bị nhắm mục tiêu”, công ty cho biết trong một báo cáo kỹ thuật được công bố vào tuần trước.
Việc chuyển sang Notion, một ứng dụng ghi chú hợp pháp, nhấn mạnh việc APT29 “mở rộng nhưng vẫn tiếp tục sử dụng” các dịch vụ phần mềm phổ biến như Dropbox, Google Drive và Trello để kết hợp lưu lượng phần mềm độc hại và tránh phát hiện.
Mặc dù không phát hiện thấy phần mềm độc hại giai đoạn hai nào, nhưng ESET – cũng đã tìm thấy một mẫu phần mềm độc hại vào tháng 10 năm 2022 – đưa ra giả thuyết rằng phần mềm này “nhằm mục đích tìm nạp và thực thi Cobalt Strike.”
Những phát hiện này cũng được đưa ra ngay sau khi Nga tuyên bố rằng nước này là mục tiêu của “cuộc xâm lược có phối hợp” của phương Tây vào năm 2022 và nước này phải đối mặt với “các cuộc tấn công mạng bên ngoài chưa từng có” từ “các cơ quan tình báo, tập đoàn CNTT xuyên quốc gia và những kẻ tấn công mạng”.
Khi cuộc chiến tranh Nga-Ukraine chính thức bước vào tháng thứ mười hai, vẫn còn phải xem cuộc xung đột tiến triển như thế nào trong lĩnh vực mạng.
Lipovsky nói: “Trong năm qua, chúng tôi đã chứng kiến các làn sóng hoạt động gia tăng – chẳng hạn như vào mùa xuân sau cuộc xâm lược, vào mùa thu và những tháng yên tĩnh hơn trong mùa hè – nhưng nhìn chung đã có một loạt các cuộc tấn công gần như liên tục”. “Vì vậy, một điều mà chúng ta có thể chắc chắn là chúng ta sẽ chứng kiến nhiều cuộc tấn công mạng hơn.”
