Ngày 24 tháng 2 năm 2023Ravie LakshmananChiến tranh mạng / An ninh mạng
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đang kêu gọi các tổ chức và cá nhân tăng cường cảnh giác trên mạng, khi cuộc xâm lược quân sự của Nga vào Ukraine chính thức bước sang một năm.
“CISA đánh giá rằng Hoa Kỳ và các quốc gia châu Âu có thể gặp phải các cuộc tấn công gây rối và làm mất uy tín nhằm vào các trang web nhằm gieo rắc hỗn loạn và bất hòa xã hội vào ngày 24 tháng 2 năm 2023, ngày kỷ niệm cuộc xâm lược Ukraine năm 2022 của Nga,” cơ quan này cho biết.
Để đạt được mục tiêu đó, CISA khuyến nghị các tổ chức nên triển khai các phương pháp hay nhất về an ninh mạng, tăng cường sự sẵn sàng và thực hiện các bước chủ động để giảm khả năng và tác động của các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
Lời khuyên này được đưa ra khi Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) tiết lộ rằng tin tặc quốc gia Nga đã xâm phạm các trang web của chính phủ và cài đặt các cửa hậu từ tháng 12 năm 2021.
CERT-UA quy hoạt động này cho một tác nhân đe dọa mà nó theo dõi là UAC-0056, còn được gọi là DEV-0586, Ember Bear, Nodaria, TA471 và UNC2589.
Các cuộc tấn công đòi hỏi phải sử dụng web shell cũng như một số cửa hậu tùy chỉnh như CredPump, HoaxApe và HoaxPen, thêm vào kho công cụ của nhóm như WhisperGate, SaintBot, OutSteel, GraphSteel, GrimPlant và gần đây là Graphiron.
Cơ quan này, trong một tư vấn liên quan, cũng tiết lộ một chiến dịch lừa đảo mang các tệp lưu trữ RAR dẫn đến việc triển khai phần mềm giám sát và điều khiển từ xa Remos. Nó được liên kết với một tác nhân đe dọa được gọi là UAC-0050 (và UAC-0096).
Phát hiện này được đưa ra khi Fortinet báo cáo sự gia tăng 53% trong các cuộc tấn công wiper phá hoại từ quý 3 đến quý 4 năm 2022, chủ yếu do các tin tặc do nhà nước Nga tài trợ sử dụng nhiều loại phần mềm độc hại phá hủy dữ liệu chưa từng có tại Ukraine.
Nhà cung cấp dịch vụ bảo mật cho biết: “Những dòng mới này đang ngày càng được các nhóm tội phạm mạng lựa chọn và sử dụng trong mạng lưới dịch vụ tội phạm mạng (CaaS) đang phát triển”.
“Tội phạm mạng hiện cũng đang phát triển phần mềm độc hại wiper của riêng chúng. Phần mềm độc hại này đang được sử dụng dễ dàng trong các tổ chức CaaS, nghĩa là mối đe dọa của phần mềm độc hại wiper đang lan rộng hơn bao giờ hết và tất cả các tổ chức đều là mục tiêu tiềm năng, không chỉ những tổ chức có trụ sở tại Ukraine hoặc các quốc gia xung quanh.”
