Tin tặc Nga nhắm mục tiêu vào các tổ chức tài chính

13/05/2015 10:59

Hãng bảo mật Root9B mới đây đã đưa ra cảnh báo cho biết, một nhóm tin tặc Nga chuyên nhắm mục tiêu vào các tổ chức chính phủ, quân sự và truyền thông hiện đang chuẩn bị tấn công vào các ngân hàng Mỹ cũng như các quốc gia khác.

Các hoạt động chuẩn bị của nhóm, bao gồm viết mã độc mới, đăng ký các tên miền tương tự tên miền của các mục tiêu bị tấn công và thiết lập các máy chủ điều khiển và kiểm soát (C&C), đã bị các nhà nghiên cứu đến từ Root9B phát hiện.

Nhóm tin tặc này đã hoạt động ít nhất từ năm 2007 và được biết đến dưới nhiều cái tên như APT28 và Pawn Storm. Một số hãng bảo mật cho rằng nhóm này hoạt động bên ngoài nước Nga và có thể có liên hệ với các cơ quan tình báo của nước này.

Tin tặc Nga nhắm mục tiêu vào các tổ chức tài chính (Ảnh minh họa)
Tin tặc Nga nhắm mục tiêu vào các tổ chức tài chính (Ảnh minh họa)

Công cụ chính của nhóm là một cửa hậu có tên gọi Sednit hay Sofacy, được phát tán đến nạn nhân thông qua các email lừa đảo hoặc bằng hình thức “drive-by download” (tải tập tin tự động mà người dùng không hay biết) từ các trang web đã bị tấn công.

Hồi cuối tháng 04/2015, các nhà phân tích của Root9B đã phát hiện một tên miền giả mạo tương tự như tên miền của một tổ chức tài chính tại Trung Đông. Khi tìm hiểu sâu hơn, họ đã phát hiện các mẫu mã độc Sofacy mới cũng như các máy chủ và tên miền mới được thiết lập bởi nhóm tin tặc này cho các hoạt động sắp tới.

Dựa trên các thông tin thu được, Root9B cho rằng, các mục tiêu trong kế hoạch của APT28 gồm có Ngân hàng Thương mại Quốc tế tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE), ngân hàng Bank of America, TD Canada Trust, Quỹ Nhi đồng Liên Hiệp Quốc (UNICEF), United Bank for Africa, Regions Bank, và có thể là cả ngân hàng Commerzbank.

Root9B đã cảnh báo các tổ chức tài chính này cũng như các cơ quan có thẩm quyền tại Mỹ và quốc tế. Các nhà phân tích tại Root9B cho rằng, nếu chúng tấn công, chúng sẽ sử dụng hình thức tấn công lừa đảo (spear-phishing). Hiện vẫn chưa rõ các cuộc tấn công đã được tiến hành hay chưa.

Hãng bảo mật này cũng đã công bố mã băm (hash) của các mẫu mã độc mà họ đã phát hiện cùng địa chỉ IP của một máy chủ C&C được APT28 thiết lập để các doanh nghiệp có thể chặn chúng trên hệ thống mạng của họ.

Dựa trên các bằng chứng có được, Root9B tin rằng, APT28 có hai nhóm nhỏ: Một nhóm chuyên nhắm mục tiêu vào các tổ chức chính phủ và quân sự trong khi nhóm còn lại chuyên tấn công vào các ngân hàng cùng các tổ chức tài chính.

ITWorld nhận định, các tin tặc có lẽ đã quyết định hoãn các hoạt động của chúng để thay đổi cơ sở hạ tầng và mục tiêu. Vì vậy, các tổ chức cần tiếp tục cảnh giác và nên kiểm tra tất cả các email để có thể phát hiện các cuộc tấn công lừa đảo.

Lan Anh (dịch từ ITWorld)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video