ANM 14/6: Tin tặc Nga tấn công nhà thầu vũ khí hạt nhân của Cơ quan An ninh Hạt nhân Mỹ
Trong 3 ngày từ 11 đến 13/6, cơ quan an ninh mạng Việt Nam đã phát hiện hơn 60 website Việt Nam bị tấn công. Đáng chú ý, nhóm tin tặc Moroccan Revolution đã thực hiện 55 vụ tấn công nhằm vào trang web của trường Đại học Luật TP. HCM (daotao.hcmulaw.edu.vn) Viện Khoa học Nông nghiệp Việt Nam (daotao-vaas.org.vn). Moroccan Revolution là nhóm tin tặc từng thực hiện nhiều cuộc tấn công vào các cơ quan chính phủ cũng như các tổ chức, trường học tại Việt Nam.
Bên cạnh đó, cơ quan an ninh mạng cũng phát hiện đối tượng “osintguy” rao bán trên diễn đàn “raidforums” cơ sở dữ liệu gồm 57 triệu hồ sơ Facebook của người dùng Việt Nam. Gói dữ liệu này có chứa ID Facebook và số điện thoại của người dùng. Đối tượng để lại thông tin liên lạc là tài khoản Telegram “osintguy”.
Thời gian qua, Mỹ tiếp tục chứng kiến các vụ tấn công mạng theo sau 2 vụ việc xảy ra tại công ty điều hành đường ống dẫn nhiên liệu Colonial Pipeline và công ty chế biến thịt JBS. Điển hình trong số đó là công ty Volkswagen Mỹ mới đây cho biết họ đã trở thành nạn nhân của một vụ tấn công mạng, ảnh hưởng đến hơn 3.3 triệu khách hàng và người mua triển vọng tại Bắc Mỹ. Tập đoàn này cho biết, tin tặc đã lấy được thông tin cá nhân, ở mức có giới hạn, của khách hàng từ một nhà thầu cung cấp mà nhánh Audi Volkswagen và một số đại lý ở Mỹ cũng như Canada sử dụng để bán hàng và tiếp thị qua hệ thống mạng. Loạt thông tin bị đánh cắp được thu thập để bán hàng và tiếp thị từ năm 2014 đến năm 2019 và nằm trong một hồ sơ điện tử nhưng nhà cung cấp không bảo mật. Đa số khách hàng trong các hồ sơ bị đánh cắp chỉ có số điện thoại và địa chỉ email. Trong một số trường hợp, dữ liệu cũng bao gồm thông tin về một chiếc xe đã mua, cho thuê hoặc chỉ dọ giá.
Công ty điện lực Luma Energy (Mỹ) cung cấp điện tại Puerto Rico mới đây cũng cho biết họ đã hứng chịu một vụ tấn công mạng ngay trước khi xảy ra một vụ hỏa hoạn tại trạm biến áp Monacillo khiến hàng nghìn khách hàng rơi vào cảnh mất điện, nhưng không cho biết hai vụ việc có liên quan đến nhau hay không. Cụ thể, vụ hỏa hoạn tại trạm biến áp Monacillo xảy ra 2 giờ sau khi trang web của công ty này trở thành mục tiêu của một vụ tấn công mạng với khoảng 2 triệu lượt truy cập mỗi giây. Đám cháy đã gây ra tình trạng mất điện trên diện rộng trên đảo Puerto Rico. Công ty này cho biết vụ tấn công mạng đã ngăn chặn khách hàng truy cập tài khoản của họ, nhưng không thông báo họ có điều tra mối liên hệ giữa vụ tấn công mạng và vụ hỏa hoạn hay không.
Ngoài ra, Sol Oriens, nhà thầu phụ của Bộ Năng lượng Mỹ (DOE) và hợp tác với Cơ quan An ninh Hạt nhân Quốc gia (NNSA) về vũ khí hạt nhân, đã hứng chịu một vụ tấn công mạng được tiến hành bởi nhóm cho thuê dịch vụ tấn công bằng mã độc tống tiền REvil vào tháng 05/2021. Công ty này cho biết, kẻ tấn công đã đánh cắp được một số dữ liệu và công ty đang làm việc với một công ty pháp y công nghệ bên thứ ba để xác định phạm vi dữ liệu bị xâm phạm. Trên trang rò rỉ của REvil, nhóm này đã đăng một số thông tin nội bộ của Sol Oriens, bao gồm bảng mẫu trả lương của công ty này từ tháng 9/2020, có chứa họ tên, số an sinh xã hội và lương hàng quý của một số nhân viên. Bên cạnh đó, dữ liệu bị rò rỉ còn có một sổ cái hợp đồng của công ty và bản ghi nhớ phác thảo các kế hoạch đào tạo nhân viên có logo của DOE và NNSA.
Được biết, Tập đoàn sản xuất thức ăn nhanh McDonald’s (Mỹ) mới đây cũng đã trở thành nạn nhân của tội phạm mạng. Tin tặc đã tấn công hệ thống máy chủ của hãng và truy cập dữ liệu của các khách hàng ở Hàn Quốc và Đài Loan. Tập đoàn này cho biết, mặc dù ngay sau khi phát hiện vụ tấn công mạng, họ đã nhanh chóng xóa quyền truy cập nhưng tin tặc vẫn tiếp cận được một số dữ liệu, trong đó có tập tin chứa dữ liệu cá nhân của khách hàng. Tuy nhiên, các thông tin này không liên quan tới hoạt động thanh toán của khách hàng. Các hoạt động của công ty cũng không bị gián đoạn. McDonald’s khẳng định sẽ sớm thông báo tới các cơ quan chức năng sở tại và khách hàng có thông tin cá nhân bị truy cập.
Trong một diễn biến khác, công ty an ninh mạng Group-IB (Singapore) vừa công bố báo cáo cho biết APT41 (Wicked Panda), nhóm tin tặc được chính phủ Trung Quốc bảo trợ, có thể chính là thủ phạm của vụ tấn công mạng gần đây vào nhà cung cấp công nghệ thông tin và truyền thông vận tải hàng không SITA và một số hãng hàng không trong đó có Air India. Các nhà nghiên cứu phát hiện, kẻ tấn công đã sử dụng một chứng chỉ để xác thực lưu lượng truy cập web của họ (chứng chỉ SSL) và chứng chỉ này được phát hiện trên 5 máy chủ. Một trong các địa chỉ IP của những máy chủ này từng được Microsoft xác định là được sử dụng bởi APT41. Bên cạnh đó, mã độc được sử dụng trong vụ tấn công này hoạt động theo cách thức tương tự với các công cụ của APT41, bao gồm các tập tin được sử dụng để thiết lập quyền truy cập lâu dài vào hệ thống của nạn nhân.
Cùng liên quan các hoạt động của tin tặc nói tiếng Trung, hãng bảo mật ESET mới đây cho biết đã phát hiện nhóm BackdoorDiplomacy nhắm mục tiêu vào các bộ ngoại giao và công ty viễn thông tại Châu Phi và Trung Đông từ năm 2017. Theo đó, tin tặc đã nhắm mục tiêu vào các lỗ hổng trong các thiết bị được kết nối Internet, như máy chủ web, để xâm nhập vào hệ thống nạn nhân. Khi đã xâm nhập thành công, tin tặc sử dụng các công cụ nguồn mở để quét môi trường và di chuyển trong hệ thống, sau đó triển khai mã độc tùy chỉnh Turian có khả năng đánh cắp dữ liệu nhạy cảm từ các phương tiện tháo lắp được. ESET cho biết, BackdoorDiplomacy có nhiều điểm tương tự về kỹ thuật, thủ thuật và quy trình với các nhóm tin tặc Châu Á khác, trong khi Kaspersky cho rằng nhóm này có điểm tương tự với nhóm tin tặc nói tiếng Trung CloudComputing.
Cùng thời điểm này, Ủy ban Thường vụ Đại hội Đại biểu Nhân dân Toàn quốc Trung Quốc khóa XIII trong phiên họp thứ 29 đã thông qua Luật Bảo mật Dữ liệu, áp dụng cho các hoạt động xử lý dữ liệu và giám sát an ninh bên trong lãnh thổ Trung Quốc. Theo luật này, các công ty chuyển “dữ liệu cốt lõi” của nước này ra nước ngoài mà không có sự chấp thuận thích hợp từ chính quyền sẽ phải đối mặt với hình phạt lên đến 10 triệu Nhân dân tệ (1,56 triệu USD) và có thể buộc phải đóng cửa. Các công ty giao nộp “dữ liệu quan trọng” cho cơ quan tư pháp hoặc thực thi pháp luật nước ngoài mà không được chấp thuận trước sẽ bị phạt 5 triệu Nhân dân tệ (781.000 USD). “Dữ liệu cốt lõi” được định nghĩa là dữ liệu liên quan đến an ninh quốc gia và kinh tế, phúc lợi của người dân và lợi ích công cộng quan trọng. Luật không đưa ra định nghĩa cho “dữ liệu quan trọng” nhưng kêu gọi thiết lập hệ thống phân loại dữ liệu.
Trong một diễn biến liên quan đến vấn đề hợp tác an ninh mạng giữa 2 cường quốc Nga – Mỹ, ngày 13/6, trả lời phỏng vấn trong chương trình “Moscow. Kremlin. Putin” trên kênh truyền hình Rossiya-1, Tổng thống Nga Vladimir Putin cho biết, Nga sẵn sàng dẫn độ tội phạm mạng sang Mỹ, nhưng với điều kiện Mỹ cũng đáp ứng yêu cầu tương tự của Nga. Ông Putin nói thêm rằng, việc dẫn độ tội phạm cần được văn bản hoá bằng các thoả thuận. Bình luận trên được ông Putin đưa ra chỉ 3 ngày trước thềm cuộc gặp thượng đỉnh đầu tiên giữa ông và người đồng cấp Mỹ Joe Biden vào ngày 16/6 tại Geneva, Thụy Sĩ. Quan hệ Nga và Mỹ được cả hai bên thừa nhận đang trong giai đoạn tồi tệ nhất nhiều thập kỉ, trong đó vấn đề an ninh mạng là một trong những mâu thuẫn chủ chốt.
Trần Anh