Chính phủ Nga hôm thứ Năm cảnh báo về các cuộc tấn công mạng nhằm vào các nhà khai thác cơ sở hạ tầng quan trọng trong nước, khi cuộc xâm lược toàn diện của nước này vào Ukraine bước sang ngày thứ hai.
Ngoài việc cảnh báo “nguy cơ gia tăng cường độ các cuộc tấn công máy tính”, Trung tâm Điều phối và Ứng phó Sự cố Máy tính Quốc gia của Nga nói rằng “các cuộc tấn công có thể nhằm mục đích làm gián đoạn hoạt động của các dịch vụ và tài nguyên thông tin quan trọng, gây thiệt hại về danh tiếng, kể cả vì mục đích chính trị”.
“Bất kỳ lỗi nào trong hoạt động của các đối tượng [cơ sở hạ tầng thông tin quan trọng] do một lý do không được thiết lập đáng tin cậy, trước hết phải được coi là kết quả của một cuộc tấn công máy tính, cơ quan này nói thêm.
Hơn nữa, nó đã thông báo về các hoạt động gây ảnh hưởng có thể được thực hiện để “tạo nên một hình ảnh tiêu cực về Liên bang Nga trong mắt cộng đồng thế giới,” lặp lại một cảnh báo tương tự do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra vào tuần trước về các nỗ lực thao túng thông tin từ các tác nhân nước ngoài nhằm tấn công các thực thể quan trọng.
Tuy nhiên, cơ quan này không chia sẻ chi tiết cụ thể hơn về bản chất của các cuộc tấn công hoặc nguồn gốc của chúng.
Lời khuyên được đưa ra như nhiều chính phủ và ngân hàng trang web ở Nga, bao gồm cả quân đội (mil.ru), Điện Kremlin (kremlin.ru) và Duma Quốc gia (duma.gov.ru), không thể truy cập được trong bối cảnh vô số hành vi vi phạm mạng nhắm mục tiêu vào Ukraine dẫn đến việc triển khai gạt dữ liệu gọi là Kín Khăn Lau trên hàng trăm máy ở quốc gia Đông Âu.
“Điều quan trọng cần lưu ý là wiper tận dụng các đặc quyền cao trên máy chủ bị xâm nhập để làm cho máy chủ 'không thể khởi động' bằng cách ghi đè các cấu hình và bản ghi khởi động, xóa cấu hình thiết bị và xóa các bản sao bóng,” Lavi Lazarovitz, người đứng đầu bộ phận nghiên cứu bảo mật tại CyberArk Labs , cho biết trong một tuyên bố được chia sẻ với The Hacker News.
“Trình gạt nước được định cấu hình để không mã hóa bộ điều khiển miền - nghĩa là giữ cho miền hoạt động và cho phép ransomware sử dụng thông tin đăng nhập hợp lệ để xác thực với máy chủ và mã hóa chúng. Điều này càng làm nổi bật rằng các tác nhân đe dọa sử dụng danh tính bị xâm phạm để truy cập mạng và / hoặc di chuyển theo chiều ngang, ”Lazarovitz nói thêm.
Theo Symantec, không rõ có bao nhiêu mạng đã bị ảnh hưởng bởi phần mềm độc hại xóa sạch dữ liệu chưa từng thấy trước đây, nhằm vào các tổ chức trong ngành tài chính, quốc phòng, hàng không và CNTT. Công ty thuộc sở hữu của Broadcom cũng cho biết họ đã quan sát thấy bằng chứng về các cuộc tấn công bằng cần gạt nước nhằm vào máy móc ở Lithuania, ngụ ý một hiệu ứng lan tỏa.
Hơn nữa, HermeticWiper chia sẻ chồng chéo với một trình gạt dữ liệu khác được gọi là Cổng Thì Thầm lần đầu tiên được báo cáo là được sử dụng để chống lại các tổ chức Ukraine vào tháng Giêng. Giống như phần mềm độc hại sau này, phần mềm độc hại mới được phát hiện đi kèm với sự phát tán của dòng ransomware trên các hệ thống bị xâm nhập.
Sản phẩm phần mềm độc hại ransomware là một tệp .EXE 64 bit, 3.14 MB, được viết bằng Golang, theo kỹ sư ứng phó sự cố của Cybereason, Trần Nhĩ Lịch, người đã chia sẻ phân tích sơ bộ về tệp thực thi.
“Có vẻ như phần mềm tống tiền đã được sử dụng làm mồi nhử hoặc đánh lạc hướng khỏi các cuộc tấn công gạt nước,” Symantec nói. “Điều này có một số điểm tương đồng với các cuộc tấn công của chiếc khăn lau WhisperGate trước đó chống lại Ukraine, nơi chiếc gạt mưa được ngụy trang thành ransomware.”
Phân tích pháp y ban đầu cho thấy rằng các cuộc tấn công có thể đã ở chế độ chuẩn bị trong ít nhất ba tháng, những gì có hoạt động nguy hiểm tiềm ẩn liên quan được phát hiện trong một tổ chức ở Lithuania sớm nhất vào ngày 12 tháng 2021 năm 28. Ngoài ra, một trong các mẫu HermeticWiper được phát hiện có dấu thời gian biên soạn là ngày 2021 tháng XNUMX năm XNUMX.
Mặc dù các hành động gây rối mới nhất vẫn chưa được quy cho chính thức, nhưng chính phủ Vương quốc Anh và Hoa Kỳ đã liên kết Các cuộc tấn công DDoS về Ukraine vào giữa tháng XNUMX tới Cục Tình báo Chính của Nga (còn được gọi là GRU).
Khi các cuộc tấn công tiếp tục diễn ra trên cả lĩnh vực vật lý và kỹ thuật số, Reuters báo cáo rằng chính phủ Ukraine đang tìm kiếm sự giúp đỡ của cộng đồng hacker ngầm trong nước để chống lại các cuộc xâm nhập mạng nhằm vào cơ sở hạ tầng quan trọng và thực hiện các nhiệm vụ gián điệp bí mật chống lại lực lượng Nga xâm lược.
