Các nhà nghiên cứu an ninh mạng hôm thứ Hai cho biết họ đã phát hiện ra bằng chứng về các cuộc tấn công có chủ đích của một hoạt động hack có liên quan đến Nga nhằm vào một thực thể Ukraine vào tháng 7 năm 2021.
Symantec thuộc sở hữu của Broadcom, trong một báo cáo mới được công bố hôm thứ Hai, cho rằng các cuộc tấn công là do một diễn viên được theo dõi là Gamaredon (hay còn gọi là Shuckworm hoặc Armageddon), một tập thể gián điệp mạng đã hoạt động ít nhất từ năm 2013.
Vào tháng 11 năm 2021, các cơ quan tình báo Ukraine coi nhóm này là một “dự án đặc biệt” của Cơ quan An ninh Liên bang Nga (FSB), ngoài việc chỉ điểm cho tổ chức này vì đã thực hiện hơn 5.000 cuộc tấn công mạng nhằm vào các cơ quan công quyền và cơ sở hạ tầng quan trọng ở nước này.
Các cuộc tấn công Gamaredon thường bắt nguồn từ các email lừa đảo lừa người nhận cài đặt trojan truy cập từ xa tùy chỉnh có tên Pterodo. Symantec tiết lộ rằng, trong khoảng thời gian từ ngày 14 tháng 7 năm 2021 đến ngày 18 tháng 8 năm 2021, diễn viên đã cài đặt một số biến thể của backdoor cũng như triển khai các tập lệnh và công cụ bổ sung.
Các nhà nghiên cứu cho biết: “Chuỗi tấn công bắt đầu bằng một tài liệu độc hại, có khả năng được gửi qua email lừa đảo, được mở bởi người dùng máy bị nhiễm”. Danh tính của tổ chức bị ảnh hưởng không được tiết lộ.
Vào cuối tháng 7, đối thủ đã tận dụng thiết bị cấy ghép để tải xuống và chạy một tệp thực thi hoạt động như một ống nhỏ giọt cho ứng dụng khách VNC trước khi thiết lập kết nối với máy chủ điều khiển và chỉ huy từ xa dưới sự kiểm soát của họ.
“Máy khách VNC này dường như là gánh nặng cuối cùng cho cuộc tấn công này”, các nhà nghiên cứu lưu ý, thêm vào việc cài đặt được theo sau bằng cách truy cập một số tài liệu khác nhau, từ mô tả công việc đến thông tin nhạy cảm của công ty trên máy bị xâm nhập.
Ukraine kêu gọi hoạt động cờ sai trong các cuộc tấn công gạt nước
Phát hiện được đưa ra trong bối cảnh làn sóng tấn công phá hoại và gây rối nhằm vào các thực thể Ukraine do các tổ chức được cho là do nhà nước Nga tài trợ, dẫn đến việc triển khai trình xóa tệp có tên WhisperGate, cùng lúc nhiều trang web thuộc chính phủ đã bị xóa.
Cuộc điều tra tiếp theo về phần mềm độc hại này đã tiết lộ rằng mã được sử dụng trong trình gạt mưa được sử dụng lại từ một chiến dịch ransomware giả có tên là WhiteBlackCrypt nhằm vào các nạn nhân Nga vào tháng 3 năm 2021.
Điều thú vị là, ransomware được biết là bao gồm biểu tượng cây đinh ba – là một phần của quốc huy của Ukraine – trong ghi chú tiền chuộc mà nó hiển thị cho các nạn nhân của mình, khiến Ukraine nghi ngờ rằng đây có thể là một hoạt động cờ sai có chủ đích nhằm đổ lỗi cho ” giả “nhóm ủng hộ Ukraine để dàn dựng một cuộc tấn công vào chính phủ của họ.
.
