Khi Nhật Bản chuẩn bị cho Thế vận hội Mùa hè 2020 sắp tới tại Tokyo cho năm tới, quốc gia này cần phải tự chuẩn bị cho các cuộc tấn công mạng tinh vi, đặc biệt là từ các tin tặc được nhà nước bảo trợ.

Microsoft đã đưa ra một thông báo ngắn, cảnh báo về một làn sóng tấn công mạng mới nhắm mục tiêu của một nhóm tin tặc được nhà nước Nga tài trợ khi cố gắng tấn công hàng chục cơ quan chống doping và các tổ chức thể thao trên khắp thế giới.

Các cuộc tấn công bắt nguồn từ nhóm hack Nga ‘Strontium’, được biết đến rộng rãi là Fancy Bear hoặc APT28, và được cho là có liên quan đến Thế vận hội Mùa hè 2020 sắp tới ở Tokyo.

Nhóm hack Fancy Bear, còn được gọi là APT28, Sofacy, X-agent , Sednit , Sandworm và Pawn Storm, được cho là có liên quan đến cơ quan tình báo quân sự GRU của Nga và đã hoạt động từ ít nhất là năm 2007.

Trong ba thập kỷ qua, nhóm này đã được ghi nhận là có nhiều vụ hack cao cấp, như hack các cuộc bầu cử tổng thống Mỹ để ảnh hưởng đến kết quả, nhắm mục tiêu vào một quốc gia có ransomware NotPetya, gây mất điện ở thủ đô Kiev của Ukraine và vi phạm an nình tại Lầu Năm Góc.

Các cuộc tấn công mạng mới nhất bắt đầu vào ngày 16 tháng 9, dường như sau khi Cơ quan chống doping thế giới (WADA) tìm thấy sự bất thường trong cơ sở dữ liệu từ phòng thí nghiệm chống doping quốc gia của Nga, cảnh báo rằng các vận động viên Nga có thể phải đối mặt với lệnh cấm thi đấu tại Thế vận hội mùa hè Tokyo 2020.

Trung tâm tình báo đe dọa của Microsoft cho biết rằng một số “cuộc tấn công mạng quan trọng” này đã thành công, nhưng phần lớn thì không, và công ty đã thông báo cho các tổ chức bị ảnh hưởng và làm việc với một số trong số họ để “bảo vệ các tài khoản hoặc hệ thống bị xâm nhập”.

Tin tặc nhắm vào 16 tổ chức thể thao và chống doping

Microsoft xác nhận nhóm hack Fancy Bear nhắm vào ít nhất 16 tổ chức thể thao và chống doping quốc gia và quốc tế trên khắp ba châu lục, nhưng nó không tiết lộ danh tính của họ.

Các kỹ thuật hack được Fancy Bear sử dụng trong chiến dịch mới nhất liên quan đến “lừa đảo, dò mật khẩu, khai thác các thiết bị kết nối internet và sử dụng cả phần mềm độc hại nguồn mở và có tùy chỉnh”.

Mặc dù những kỹ thuật này rất nổi tiếng và không mới, nhưng rõ ràng chúng đã được chứng minh rất hiệu quả trong các cuộc tấn công mạng trước đây của Fancy Bear chống lại “chính phủ, quân đội, xe tăng, công ty luật, tổ chức nhân quyền, công ty tài chính và trường đại học trên thế giới.”

Ví dụ: khi nạn nhân mở tài liệu độc hại được đính kèm trong email, việc khai thác sẽ tự động thực thi một số tập lệnh PowerShell trong nền và cài đặt phần mềm độc hại trên máy tính của nạn nhân, cho phép kẻ tấn công kiểm soát hoàn toàn từ xa.

Fancy Bear cũng nhắm mục tiêu các sự kiện Olympic trước đó

Đây không phải là lần đầu tiên khi tin tặc Fancy Bear nhắm vào các tổ chức chống doping.

Fancy Bear đã rò rỉ dữ liệu vận động viên từ Cơ quan chống doping thế giới (WADA) để trả thù cơ quan này vào năm 2016 khi họ có hành động tương tự với các vận động viên Nga trong Thế vận hội mùa hè Rio 2016.

Nhóm hack cũng bị cáo buộc đã tiến hành các cuộc tấn công tương tự do nhà nước tài trợ trong Thế vận hội mùa đông Pyeongchang 2018 được tổ chức tại Hàn Quốc khi sử dụng phần mềm độc hại “Kẻ hủy diệt Olympic” để phá vỡ mạng lưới chính thức của Thế vận hội mùa đông.

Mặc dù phần mềm độc hại không làm gián đoạn nguồn cấp dữ liệu trực tiếp trong lễ khai mạc, nhưng nó đã thành công trong việc phá vỡ trang web chính thức cho Thế vận hội Mùa đông trong 12 giờ, làm sập Wi-Fi trong sân vận động Olympic Pyeongchang, và không thể xem TV và internet tại trung tâm báo chí chính, không thể in vé của người tham dự cho các sự kiện hoặc nhận thông tin địa điểm.

Để bảo vệ bản thân và tổ chức của bạn khỏi trở thành nạn nhân của Fancy Bear và các chiến dịch tấn công mạng tương tự, Microsoft đã khuyến nghị triển khai xác thực hai yếu tố (2FA) trên tất cả các tài khoản email cá nhân và doanh nghiệp của bạn và cũng cho phép cảnh báo bảo mật về các liên kết và tệp từ các trang web đáng ngờ .

Bên cạnh đó, các tổ chức cũng được khuyên nên giáo dục nhân viên của mình phát hiện các cuộc tấn công lừa đảo, để họ không bị lừa cung cấp dữ liệu cá nhân của tổ chức cho những kẻ tấn công.

LEAVE A REPLY

Please enter your comment!
Please enter your name here