ANM 19/5: Giám đốc cơ quan tình báo Nga phủ nhận việc đứng sau vụ tấn công SolarWinds

Ngày 18/5, tỉnh Quảng Nam tiếp tục hứng chịu hàng loạt cuộc tấn công mạng từ các nhóm tin tặc. Cụ thể, đối tượng “ FRK48” đã tấn công đến 7 trang web thuộc tỉnh Quảng Nam gồm Sở Tài Chính, UBND TP. Tam Kỳ, trang Văn bản pháp luật tỉnh… Ngoài tỉnh Quảng Nam, vừa qua, 2 website của trường ĐH Kinh tế, ĐH Đà Nẵng cũng đã bị tin tặc “ Mr-Solo” xâm nhập.

Liên quan đến vụ tấn công vào Colonial Pipeline, công ty phân tích blockchain Elliptic (Anh) mới đây cho biết họ đã xác định được ví Bitcoin được nhóm tin tặc Nga DarkSide, thủ phạm đứng sau vụ tấn công, sử dụng để thu tiền chuộc từ các nạn nhân. DarkSide và các công ty liên kết của nhóm đã kiếm được ít nhất 90 triệu USD tiền chuộc bằng Bitcoin thông qua 47 ví tiền điện tử khác nhau. Khoản thanh toán trung bình từ các tổ chức là 1,9 triệu USD. Elliptic cho biết, ví Bitcoin của DarkSide chứa 5,3 triệu USD tiền kỹ thuật số trước khi bị rút hết vào tuần trước. Có một số suy đoán rằng số Bitcoin này đã bị chính phủ Mỹ thu giữ.

Trước đó, nhóm tin tặc Darkside từng bị cáo buộc là hoạt động theo chỉ đạo của cơ quan tình báo Nga. Trong một diễn biến liên quan, ngày 18/5, Giám đốc Cơ quan Tình báo Nước ngoài Nga (SVR) Sergei Naryshkin đã phủ nhận việc Nga đứng sau vụ tấn công SolarWinds và cho biết ông ngạc nhiên trước cáo buộc mà Anh và Mỹ đưa ra. Ông cho biết không muốn cáo buộc Mỹ là thủ phạm của vụ tấn công nhưng trích dẫn các tài liệu của cựu nhân viên Cơ quan An ninh Quốc gia Mỹ (NSA) Edward Snowden để cho thấy các thủ thuật của vụ tấn công tương tự các thủ thuật được tình báo Anh và Mỹ sử dụng. Ông cũng khẳng định, việc đưa ra các cáo buộc Nga có liên quan tới các vụ tấn công mạng, đầu độc, hay phá hoại bầu cử là “lố bịch và cường điệu”.

Cùng liên quan đến hoạt động của tiền ảo, 2 nhà nghiên cứu bảo mật của dự án Chống lừa đảo đã phân tích Pi Network phiên bản 1.30.3 được tải về Play Store trên hệ điều hành Android và phát hiện Pi Network thu thập dữ liệu từ danh bạ trên smartphone, gửi về máy chủ nhưng lại quản lý rất lỏng lẻo tài nguyên đã lấy. Cụ thể, Pi Network có tính năng “Nhóm khai thác” mà ở đó người dùng có thể mời bạn bè sử dụng Pi. Để mời được bạn bè, phần mềm cần người dùng cấp quyền truy cập danh bạ điện thoại. Khi được đồng ý, nền tảng này sẽ gửi danh bạ về máy chủ và cập nhật mỗi lần người dùng truy cập vào Nhóm khai thác. Hai nhà nghiên cứu đã lấy token xác thực và gửi yêu cầu lên máy chủ, tải thành công toàn bộ danh bạ mà ứng dụng đã tải lên. Việc này thực hiện được cả khi họ đã yêu cầu xóa tài khoản.

Tại Hoa Kỳ, nhóm nghiên cứu mối đe dọa tại công ty an ninh mạng Uptycs mới đây cho biết đã phát hiện mạng botnet Simps, được quy kết cho nhóm Keksec, chuyên tập trung vào các hoạt động tấn công DDoS. Các binary của botnet này được tải về bởi một shell script và mã độc Gafgyt từ cùng một địa chỉ C&C. Botnet này có vẻ đang ở giai đoạn phát triển ban đầu vì có sự hiện diện của tập tin infected.log sau khi thực thi. Kẻ đứng sau Simps còn sở hữu một kênh Youtube và máy chủ Discord để mô tả và thảo luận về botnet này.

Tại Singapore, Các nhà nghiên cứu tại hãng bảo mật ESET (Singapore) cho biết đã phát hiện 158 vấn đề về bảo mật và quyền riêng tư trong 58 ứng dụng theo dõi (stalkware) trên Android của nhiều nhà cung cấp khác nhau, có thể cho phép kẻ tấn công kiểm soát thiết bị của nạn nhân, tấn công chiếm quyền điều khiển tài khoản của kẻ theo dõi, đánh chặn dữ liệu, thực thi mã từ xa. Một số ứng dụng stalkware còn lưu trữ thông tin về kẻ theo dõi và dữ liệu về nạn nhân của họ trên máy chủ, ngay cả sau khi kẻ theo dõi yêu cầu xóa dữ liệu. Đã có 6 nhà cung cấp khắc phục các vấn đề trong ứng dụng của họ, 44 nhà cung cấp không thừa nhận các vấn đề này, 7 nhà cung cấp cho biết có ý định giải quyết các lỗ hổng trong bản cập nhật sắp tới trong khi một nhà cung cấp quyết định không khắc phục vấn đề được báo cáo.

Thời gian qua, chính phủ nhiều quốc gia tiếp tục trở thành mục tiêu tấn công của các tội phạm mạng. Ngày 18/5, Trung tâm Ứng cứu Khẩn cấp Máy tính Sri Lanka (SLCERT) cho biết, một số trang web chính phủ nước này đã hứng chịu một vụ tấn công mạng, tuy nhiên vấn đề đã được giải quyết. Cụ thể, trang web của Bộ Y tế, Đại sứ quán Sri Lanka tại Trung Quốc và Đại học Rajarata đã bị tấn công deface trên các trang phụ. Các trang web này có chứa lỗ hổng, hiện đã được khắc phục và đã hoạt động bình thường trở lại. SLCERT cho biết sẽ có một cuộc điều tra được tiến hành để xác định thủ phạm của vụ tấn công này.

Trong một diễn biến khác liên quan đến chính sách an ninh mạng, ngày 17/5, Hội đồng Liên minh châu Âu (EU) đã quyết định tiếp tục gia hạn các lệnh trừng phạt cho phép tổ chức này đóng băng tài sản và cấm nhập cảnh đối với các cá nhân, tổ chức tin tặc nước ngoài. Việc gia hạn lệnh trừng phạt này cũng bao gồm những lệnh đã áp đặt vào năm 2020 đối với các nhóm tin tặc được chính quyền Nga, Trung Quốc và Bắc Triều Tiên hậu thuẫn. Việc trừng phạt các cá nhân, tổ chức liên quan đến các cuộc tấn công mạng là biện pháp mà EU đã bắt đầu xem xét kể từ tháng 5/2019 trong nỗ lực ngăn chặn tin tặc và đáp trả các cuộc tấn công nhằm vào mục tiêu ở Châu Âu. Theo quyết định mới, lệnh trừng phạt sẽ được kéo dài thêm một năm, đến ngày 18/5/2020.

Liên quan đến cuộc điều tra của Chính phủ Argentina nhằm vào dịch vụ WhatsApp, vừa qua, chính phủ thông báo đã yêu cầu Facebook dừng thực hiện những thay đổi trong chính sách về quyền riêng tư cho phép thu thập dữ liệu của người sử dụng dịch vụ nhắn tin WhatsApp. Lệnh này sẽ có hiệu lực ít nhất 6 tháng hoặc cho tới khi Cục Bảo vệ dữ liệu cá nhân kết thúc quá trình điều tra các kế hoạch của Facebook. Chính phủ Argentina cho biết, sự can thiệp này là cần thiết do có sự bất cân xứng lớn về khả năng thương lượng giữa người dùng và WhatsApp, khiến người dùng hầu như buộc phải chấp nhận các điều kiện dịch vụ mới, cho phép WhatsApp thu thập dữ liệu cá nhân quá mức và chia sẻ không đúng cách các thông tin cá nhân với các ứng dụng khác trong nhóm như Facebook và Instagram.

Trần Anh