Chính phủ Nga hôm thứ Năm cảnh báo về các cuộc tấn công mạng nhằm vào các nhà khai thác cơ sở hạ tầng quan trọng trong nước, khi cuộc xâm lược toàn diện của nước này vào Ukraine bước sang ngày thứ hai.
Ngoài cảnh báo về “mối đe dọa gia tăng cường độ của các cuộc tấn công máy tính”, Trung tâm Điều phối và Ứng phó Sự cố Máy tính Quốc gia của Nga cho biết “các cuộc tấn công có thể nhằm làm gián đoạn hoạt động của các tài nguyên và dịch vụ thông tin quan trọng, gây thiệt hại về danh tiếng, kể cả cho các mục đích chính trị. “
“Bất kỳ lỗi nào trong hoạt động của [critical information infrastructure] Các đối tượng do một lý do không được thiết lập đáng tin cậy, trước hết, nên được coi là kết quả của một cuộc tấn công máy tính, cơ quan này cho biết thêm.
Hơn nữa, nó đã thông báo về các hoạt động gây ảnh hưởng có thể được thực hiện để “hình thành một hình ảnh tiêu cực về Liên bang Nga trong mắt cộng đồng thế giới”, lặp lại một cảnh báo tương tự do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra vào tuần trước về các nỗ lực thao túng thông tin từ các tác nhân nước ngoài tấn công các thực thể quan trọng.
Tuy nhiên, cơ quan này không chia sẻ chi tiết cụ thể hơn về bản chất của các cuộc tấn công hoặc nguồn gốc của chúng.
Lời khuyên được đưa ra khi nhiều trang web của chính phủ và ngân hàng ở Nga, bao gồm cả trang web quân sự (mil.ru), Điện Kremlin (kremlin.ru) và Duma Quốc gia (duma.gov.ru), không thể truy cập được giữa vô số mạng các hành vi vi phạm nhắm vào Ukraine dẫn đến việc triển khai một trình xóa dữ liệu có tên HermeticWiper trên hàng trăm máy ở quốc gia Đông Âu này.
Lavi Lazarovitz, người đứng đầu bộ phận nghiên cứu bảo mật tại CyberArk Labs, cho biết: “Điều quan trọng cần lưu ý là wiper tận dụng các đặc quyền cao trên máy chủ bị xâm phạm để làm cho máy chủ ‘không thể khởi động' ‘ , cho biết trong một tuyên bố được chia sẻ với The Hacker News.
“Trình gạt nước được định cấu hình để không mã hóa bộ điều khiển miền – nghĩa là giữ cho miền hoạt động và cho phép ransomware sử dụng thông tin đăng nhập hợp lệ để xác thực với máy chủ và mã hóa chúng. Điều này làm nổi bật thêm rằng các tác nhân đe dọa sử dụng danh tính bị xâm phạm để truy cập mạng và / hoặc di chuyển sang một bên, “Lazarovitz nói thêm.
Theo Symantec, không rõ có bao nhiêu mạng đã bị ảnh hưởng bởi phần mềm độc hại xóa sạch dữ liệu chưa từng thấy trước đây, nhằm vào các tổ chức trong ngành tài chính, quốc phòng, hàng không và CNTT. Công ty thuộc sở hữu của Broadcom cũng cho biết họ đã quan sát thấy bằng chứng về các cuộc tấn công bằng cần gạt nước nhằm vào máy móc ở Lithuania, ngụ ý một hiệu ứng lan tỏa.
Hơn nữa, HermeticWiper chia sẻ trùng lặp với một công cụ xóa dữ liệu khác có tên WhisperGate, lần đầu tiên được báo cáo là được sử dụng chống lại các tổ chức Ukraine vào tháng Giêng. Giống như phần mềm thứ hai, phần mềm độc hại mới được phát hiện đi kèm với sự phát tán của dòng ransomware trên các hệ thống bị xâm nhập.
Phần mềm độc hại ransomware là một tệp .EXE 64-bit, 3,14 MB, được viết bằng Golang, theo Chen Erlich, kỹ sư ứng phó sự cố của Cybereason, người đã chia sẻ phân tích sơ bộ về tệp thực thi.
Symantec cho biết: “Có vẻ như ransomware đã được sử dụng như một mồi nhử hoặc đánh lạc hướng khỏi các cuộc tấn công của wiper. “Điều này có một số điểm tương đồng với các cuộc tấn công cần gạt nước WhisperGate trước đó chống lại Ukraine, nơi chiếc gạt nước này được ngụy trang thành ransomware.”
Phân tích pháp y ban đầu cho thấy rằng các cuộc tấn công có thể đã ở chế độ chuẩn bị trong ít nhất ba tháng, những gì có hoạt động nguy hiểm tiềm ẩn liên quan được phát hiện trong một tổ chức ở Lithuania sớm nhất vào ngày 12 tháng 11 năm 2021. Ngoài ra, một trong các mẫu HermeticWiper được phát hiện có dấu thời gian biên soạn là ngày 28 tháng 12 năm 2021.
Trong khi các hành động gây rối mới nhất vẫn chưa được xác định chính thức, chính phủ Anh và Mỹ đã liên kết các cuộc tấn công DDoS vào Ukraine vào giữa tháng 2 với Cục tình báo chính của Nga (còn được gọi là GRU).
Khi các cuộc tấn công tiếp tục diễn ra trên cả lĩnh vực vật lý và kỹ thuật số, Reuters đưa tin rằng chính phủ Ukraine đang tìm kiếm sự trợ giúp của cộng đồng hacker ngầm trong nước để chống lại các cuộc xâm nhập mạng nhằm vào cơ sở hạ tầng quan trọng và thực hiện các nhiệm vụ gián điệp bí mật chống lại người Nga xâm lược. các lực lượng.
.
