Cozy Bear – nhóm hacker bị nghi trộm dữ liệu vaccine Covid-19
Nhóm tin tặc Cozy Bear bị nghi có liên hệ với tình báo Nga và đứng sau nhiều vụ tấn công vào các cơ quan chính phủ phương Tây.
Ngày 16/7, Trung tâm An ninh mạng Quốc gia Anh (NCSC) cáo buộc nhóm hacker APT29, còn gọi là Cozy Bear, tấn công vào các tổ chức nghiên cứu và phát triển vaccine của Anh, Mỹ và Canada nhằm đánh cắp thông tin vaccine Covid-19. NCSC cho biết “chắc chắn tới 95%” Cozy Bear là một phần của tình báo Nga.
Phát ngôn viên Điện Kremlin Dmitry Peskov sau đó tuyên bố Nga “không biết và không liên quan” tới nhóm tin tặc thực hiện các vụ tấn công nhằm vào Anh, đồng thời Nga cũng phải đối mặt với những cuộc tấn công mạng nhằm vào cơ sở dữ liệu máy tính. “Các cơ quan của chúng tôi phải liên tục ngăn chặn những cuộc tấn công như vậy, đó và vấn đề chung”, Peskov nói.
Nhóm tin tặc dùng nhiều phương thức tấn công khác nhau. Ảnh: Reuters.
Cozy Bear là một trong những nhóm tin tặc khét tiếng nhất thế giới, từng thực hiện nhiều vụ tập kích nhằm vào cơ sở hạ tầng mạng của nhiều cơ quan chính phủ trong 10 năm qua. Nhóm bị cáo buộc đứng sau vụ tấn công hệ thống mạng và email của Lầu Năm Góc năm 2015, cũng như máy chủ Ủy ban Quốc gia đảng Dân chủ (DNC) của Mỹ sau đó một năm.
“APT29 xâm nhập thành công nhiều hệ thống máy tính toàn cầu suốt hơn một thập kỷ. Covid-19 mang đến mục tiêu mới cho họ nhắm tới”, Tony Cole, Giám đốc kỹ thuật của công ty Attivo Networks (Mỹ), cho biết.
Vụ tấn công nhằm vào nghiên cứu vaccine của Đại học Oxford và Cao đẳng Hoàng gia Anh có nhiều dấu hiệu điển hình của Cozy Bear. Một trong số đó là kiểu khai thác “spear phishing”, nhằm vào một người hoặc tổ chức bằng cách thu thập, dùng thông tin có thể nhận dạng được, như tên của người quen hoặc bạn thân. Bên cạnh đó là malware có khả năng âm thầm thu dữ liệu từ những hệ thống bị nhiễm.
Ai đứng sau Cozy Bear?
Các cơ quan an ninh Hà Lan năm 2014 phát hiện một số đặc điểm riêng của nhóm hacker này. Họ đột nhập hệ thống camera an ninh ở một tòa nhà gần Quảng trường Đỏ để điều tra nỗ lực tấn công tin tặc từ Nga và lần đầu ghi nhận hoạt động của Cozy Bear.
Đây được coi là mỏ vàng tình báo khi máy quay an ninh cho thấy những gì xuất hiện trên màn hình của nhóm tin tặc Nga, thậm chí giúp phía Hà Lan nhận diện từng thành viên trong nhóm. Phát hiện này càng được củng cố thêm bởi nghiên cứu về malware do Cozy Bear sử dụng, trong đó cho thấy một công cụ mang tên Hammertoss chỉ hoạt động vào giờ hành chính ở Moskva và Saint Petersburg.
Các nhà nghiên cứu cũng nhận thấy các vụ tấn công thường ngừng lại trong những ngày lễ của Nga, cho thấy nhóm hacker được nghỉ và để phần mềm độc hại nằm im.
Video đang HOT
Cozy Bear đột nhập thành công vào một tổ chức nghiên cứu của Mỹ năm 2014. Nhóm phát tán video có vẻ vô hại mang tiêu đề “Office Monkeys LOL Video.zip” với những con khỉ mặc áo và đeo cà vạt. Một mã độc âm thầm phát tán vào mạng nội bộ khi nhân viên chia sẻ video, cho phép nhóm hacker tiếp cận nhiều thông tin mật.
Trong vụ tấn công máy chủ DNC năm 2016, thành viên Cozy Bear hoạt động suốt hơn một năm trong mạng riêng của Mỹ mà không biết một nhóm khác của Nga là Fancy Bear cũng hiện diện tại đó.
Năm 2017, Cozy Bear và Fancy Bear cũng nhiều lần tìm cách đánh cắp thông tin mật từ các bộ ngành chính phủ Hà Lan. Họ đặc biệt chú ý đến cuộc tổng tuyển cử năm đó, buộc chính phủ nước này phải kiểm phiếu thủ công để tránh nguy cơ nước ngoài can thiệp bầu cử.
Cozy Bear dùng kỹ thuật gì?
Nhóm tin tặc có hàng loạt chiến thuật tấn công mạng để khai thác điểm yếu, chủ yếu xoay quanh việc tung ra hàng nghìn email để cài bẫy những người dùng không rành công nghệ. Spear phishing là phương thức đơn giản mà hiệu quả để lừa người dùng chia sẻ dữ liệu như số thẻ tín dụng, thông tin hộ chiếu và nhiều thứ khác.
Nhân viên y tế chuẩn bị mẫu vaccine Covid-19 tại Saint Petersburg, Nga, hồi tháng 6. Ảnh: Reuters.
NCSC cho biết APT29 nhằm vào những “lỗ hổng công khai có sẵn” trong giai đoạn đầu của đợt tấn công, cụ thể là phần mềm và phần cứng được hàng triệu người sử dụng khi phải ở nhà để đáp ứng biện pháp cách biệt cộng đồng.
“Nhóm khai thác những điểm yếu biết trước trong tường lửa và router, lợi dụng chúng để xâm nhập mạng nội bộ. Nhắm mục tiêu diện rộng cho phép nhóm tin tặc tiếp cận nhiều hệ thống trên toàn thế giới”, giáo sư Alan Woodward, chuyên gia khoa học máy tính ở Đại học Surrey của Anh, cho hay.
Khi đột nhập thành công, Cozy Bear có thể tấn công mục tiêu cụ thể hơn bằng hàng loạt mã độc phức tạp. Một trong số này là SoreFang, chuyên bám vào mã HTTP để thu thập thông tin từ nạn nhân.
Một phần mềm khác mang tên WellMess hoặc WellMail cũng được sử dụng từ năm 2018, cho phép tin tặc tùy ý tải file từ các hệ thống nhiễm độc. Nó được dùng làm cổng chuyển dữ liệu đánh cắp từ mạng nội bộ của mục tiêu để nơi lưu trữ của Cozy Bear, cũng như tải thêm lệnh mới đến phần mềm độc hại trong máy tính để chuyển mục tiêu.
Liệu hacker đã lấy được thông tin vaccine?
NCSC từ chối xác nhận nhóm tin tặc có lấy được thông tin nghiên cứu vaccine Covid-19 hay không. Tuy nhiên, Cozy Bear từng nhiều lần đột nhập thành công vào máy tính các tổ chức nghiên cứu và cơ quan chính phủ trong quá khứ.
Các tổ chức nghiên cứu nhiều tháng qua được cảnh báo nguy cơ bị tấn công trong đại dịch. NCSC thông báo nguy cơ tin tặc nước ngoài nhắm vào các dự án vaccine nhằm đánh cắp thông tin sống còn với nỗ lực đối phó Covid-19. Các nhân viên y tế và nhà nghiên cứu được khuyến khích thay mật khẩu máy tính để tránh nguy cơ tin tặc đột nhập
“Hacker có khả năng đã lấy được mọi thông tin rồi”, giáo sư Woodward cho hay.
Hàng loạt người dùng bị khoá tài khoản vô thời hạn, Twitter lên tiếng xác nhận lý do
Sự cố này diễn ra trong bối cảnh hàng loạt tài khoản Twitter của nhiều người nổi tiếng bị hacker chiếm quyền kiểm soát vào hôm qua.
Một ngày sau khi vụ hack quy mô lớn nhắm vào tài khoản của hàng loạt những nhân vật nổi tiếng xảy ra, Twitter hôm nay lại gặp sự cố mới.
Twitter lên tiếng xác nhận hệ thống của mình bị mất kiểm soát, gây nên tình trạng tự khóa tài khoản của hàng loạt những người dùng.
Theo đó, mạng xã hội "chim xanh" đã lên tiếng xác nhận hệ thống của mình bị mất kiểm soát, gây nên tình trạng tự khóa tài khoản của hàng loạt những người dùng đã từng đổi mật khẩu trong vòng 30 ngày qua.
Theo ghi nhận, không chỉ những ai đã từng đổi mật khẩu mà kể những người chỉ có ý định đổi mật khẩu, cũng gặp phải tình trạng này và bị hệ thống của Twitter khóa tài khoản.
Những người bị khoá tài khoản đều đã từng đổi mật khẩu, hoặc ý định đổi mật khẩu, trong 30 ngày qua.
Số lượng người bị khóa tài khoản được cho là rất lớn, tuy nhiên phía Twitter từ chối cung cấp số liệu cụ thể, theo Mashable.
Sự cố này diễn ra trong bối cảnh hàng loạt tài khoản Twitter của nhiều người nổi tiếng bị hacker chiếm quyền kiểm soát vào hôm qua.
Số lượng lớn những nhân vật quyền lực bị ảnh hưởng khiến đây được cho là sự cố bảo mật nghiêm trọng nhất trong lịch sử của Twitter, trong đó có tỷ phú Bill Gates, cựu Tổng thống Mỹ Barack Obama, cựu Phó Tổng thống Mỹ Joe Biden, tỷ phú Elon Musk,...
Số lượng lớn những nhân vật quyền lực bị hacker chiếm quyền kiểm soát tài khoản Twitter vào hôm qua.
Các tài khoản bị hack đều đăng tải bài viết với cùng một nội dung quảng bá cho một ví Bitcoin lừa đảo.
Trong một thông báo được đăng tải vào hôm qua, Twitter đã lên tiếng xác nhận hệ thống của họ đã bị tấn công qua "kẽ hở" nhân viên và gọi đây là một cuộc "tấn công phi kĩ thuật". Công ty không công bố gì thêm về vụ việc này nhưng cho biết sẽ có nhiều thông tin hơn sau khi họ tiếp tục điều tra.
Dẫu vậy, theo nguồn tin từ Vice thì mọi chuyện không đơn giản như vậy. Phóng viên của Vice khẳng định một trong số các tin tặc và đã liên hệ với ông. Những kẻ này khẳng định đã trả tiền cho một nhân viên Twitter để đổi lấy quyền truy cập vào một công cụ kiểm soát các tài khoản Twitter cao cấp.
Twitter cũng lên tiếng thừa nhận hệ thống của mình đã bị tấn công qua "kẽ hở" nhân viên
Về phía Twitter, mạng xã hội này không đưa ra bất kỳ phản hồi về thông tin từ Vice chia sẻ.
Quay trở lại với vụ việc hàng loạt người dùng bị khoá thời gian vô thời hạn, chưa rõ khi nào lỗi này sẽ được khắc phục và khi nào người dùng có thể lấy lại tài khoản của mình.
Twitter cho biết hiện không có bằng chứng cho thấy những kẻ có liên quan đến vụ việc hôm qua là nguyên nhân gây ra sự cố khóa tài khoản người dùng
Tuy nhiên, Twitter cho biết hiện không có bằng chứng cho thấy những kẻ có liên quan đến vụ việc hôm qua là nguyên nhân gây ra sự cố khóa tài khoản người dùng. Công ty cũng khuyến cáo người dùng hiện không cần phải thay đổi mật khẩu của mình.
Xuất hiện phương thức phát tán mã độc cực kỳ tinh vi, người dùng thiết bị Android cần cảnh giác Bằng cách giả dạng ứng dụng của bưu điện, hacker có thể đánh cắp mọi thông tin của người dùng và phát tán mã độc sang các số liên hệ trong danh bạ khổ chủ. Mới đây, công ty Cybereason chuyên về bảo mật có trụ sở tại Boston - Mỹ đã đưa ra cảnh báo đối với người dùng Android về cách...