FBI, CISA tố hacker Nga tấn công mạng chính phủ Mỹ

Nhóm tin tặc tình báo của Nga đã tấn công Mỹ

Các chuyên gia bảo mật tìm ra manh mối cho thấy nhóm tin tặc Fancy Bear đứng sau vụ tấn công mạng bí ẩn được quan chức Mỹ tiết lộ tuần trước.

Tuần trước, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) khuyến cáo việc hacker xâm nhập vào một cơ quan liên bang của nước này. Dù không công khai danh tính kẻ tấn công hay cơ quan bị xâm nhập, CISA nêu chi tiết phương pháp tấn công của tin tặc, cho rằng chúng sử dụng loại phần mềm độc hại mới để đánh cắp dữ liệu mục tiêu.

Manh mối kẻ đứng sau được hé mở nhờ đội nghiên cứu thuộc công ty an ninh mạng Dragos và nội dung bản thông báo FBI gửi tới các đơn vị dễ bị tấn công. Nhóm hacker có thể là Fancy Bear, hay còn có tên APT28 - một nhóm tin tặc làm việc cho cơ quan tình báo quân sự GRU của Nga. Nhóm này được cho là tác giả của nhiều vụ tấn công, từ vụ xâm nhập và đánh cắp dữ liệu nhắm vào cuộc bầu cử tổng thống Mỹ năm 2016 đến một chiến dịch quy mô lớn khác với vô số nỗ lực tấn công các đảng phái chính trị, chiến dịch, tổ chức tư vấn trong năm nay.

Nhóm tin tặc tình báo APT28 được cho là đứng sau những vụ tấn công mạng lớn nhất vài năm qua.

Hồi tháng 5, FBI đã cảnh báo APT28 đang nhắm đến các hệ thống mạng của Mỹ, bao gồm các cơ quan chính phủ và tổ chức giáo dục. FBI cũng liệt kê một số địa chỉ IP mà hacker sử dụng trong quá trình hoạt động. Nhà nghiên cứu Joe Slowik thuộc công ty Dragos nhận thấy một địa chỉ IP trong đó định danh một máy chủ đặt tại Hungary. Địa chỉ này trùng khớp với một IP xuất hiện trong bản khuyến cáo của CISA, cho thấy có thể APT28 đã sử dụng cùng một máy chủ tại Hungary trong vụ xâm nhập mà CISA mô tả lần này.

Slowik, nguyên trưởng nhóm Ứng cứu Khẩn cấp Máy tính của Phòng thí nghiệm Quốc gia Los Alamos nhận định: "Dựa trên sự trùng lặp về cơ sở hạ tầng, chuỗi hành vi liên quan đến sự kiện, cũng như thời gian và mục tiêu - nhắm vào chính phủ Mỹ, có thể thấy sự kiện lần này rất tương đồng, nếu không muốn nói là một phần của chiến dịch liên quan đến APT28 hồi đầu năm nay".

Bên cạnh thông báo của FBI, Slowik còn tìm thấy sợi dây liên kết thứ hai về cơ sở hạ tầng. Một báo cáo năm ngoái của Bộ Năng lượng Mỹ (DOE) cảnh báo APT28 đã thăm dò mạng của một tổ chức chính phủ nước này thông qua máy chủ đặt tại Latvia. Báo cáo còn chỉ rõ địa chỉ IP của máy chủ đó. Một lần nữa, địa chỉ IP Latvia ấy lại xuất hiện trong danh sách công bố của CISA vừa rồi. Kết nối các dữ kiện với nhau, có thể thấy những IP trùng khớp này đã tạo nên mạng lưới cơ sở hạ tầng chung, liên kết các hoạt động tấn công với nhau. Slowik nhận định: "Cả hai trường hợp đều có dấu hiệu trùng khớp".

Slowik nhấn mạnh một số địa chỉ IP liệt kê trong các tài liệu độc lập của FBI, DOE và CISA trùng khớp với nhiều hoạt động tội phạm mạng trước đó, chẳng hạn, các diễn đàn lừa đảo của Nga hay những máy chủ sử dụng trong nhiều vụ cài cắm trojan ngân hàng. Nhưng ông cũng cho rằng điều này đồng nghĩa với việc các tin tặc do chính phủ Nga bảo trợ có thể đang sử dụng lại cơ sở hạ tầng của tội phạm mạng, nhằm mục đích phủ nhận sự liên quan của mình.

Dù không gọi tên APT28, bản khuyến cáo của CISA trình bày chi tiết từng bước thực hiện của tin tặc khi chúng xâm nhập vào cơ quan liên bang chưa được tiết lộ danh tính của Mỹ. Bằng cách nào đó, hacker lấy được tên người dùng và mật khẩu của nhiều nhân viên để xâm nhập vào hệ thống. CISA thừa nhận họ chưa rõ những thông tin đăng nhập bị đánh cắp thế nào, nhưng bản báo cáo suy đoán rằng những kẻ tấn công có thể đã tận dụng lỗ hổng được xác định trong Pulse Secure VPN, một dạng công nghệ bảo mật truy cập nội bộ được sử dụng rộng rãi trên toàn chính phủ liên bang.

Tin tặc sau đó sử dụng các dòng lệnh để di chuyển giữa hệ thống máy tính của cơ quan, trước khi tải xuống một phần mềm độc hại tùy chỉnh. Chúng sử dụng phần mềm độc hại ấy để truy cập vào máy chủ có chứa tệp của cơ quan, rồi chuyển các bộ sưu tập tệp đến những máy tính chúng đã chiếm được quyền kiểm soát, nén dữ liệu thành tệp .zip để dễ dàng đánh cắp.

Dù CISA không công khai với các nhà nghiên cứu mẫu trojan tùy chỉnh được nhóm tin tặc sử dụng, Costin Raiu, Giám đốc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky, cho rằng các thuộc tính của mã độc này khớp với một mẫu khác được tải lên kho lưu trữ nghiên cứu phần mềm độc hại VirusTotal ở Arab Saudi. Qua phân tích mẫu, Raiu nhận thấy đây là một sáng tạo độc đáo, xây dựng từ những công cụ tấn công phổ biến, nhưng không có manh mối nào liên quan đến các nhóm hacker từng biết tới, đồng thời mẫu này đã bị xáo trộn với nhiều lớp mã hóa. Raiu cho biết: "Các lớp mã hóa khiến mẫu này thực sự thú vị. Thật là bất thường và cũng hiếm gặp trường hợp ta không thể tìm ra sợi dây liên kết với bất cứ thứ gì".

Đầu tháng 9, Microsoft cảnh báo rằng nhóm tin tặc APT28 đã thực hiện những kỹ thuật tương đối đơn giản với quy mô hàng loạt để xâm phạm nhiều tổ chức và chiến dịch tranh cử của cả hai Đảng phái chính trị Mỹ. Theo Microsoft, nhóm này sử dụng kết hợp tính năng rải mật khẩu - thử những mật khẩu phổ biến trên nhiều tài khoản người dùng, và tính năng "brute force" để thử nhiều mật khẩu trên cùng một tài khoản.

Dù không xác nhận kết quả nghiên cứu mà Slowik tìm ra có liên quan đến bản báo cáo của CISA, John Hultquist, Giám đốc tình báo của công ty bảo mật FireEye, nhận định: "Nếu APT28 thực sự là nhóm tin tặc đứng sau vụ tấn công trong bản khuyến cáo của CISA, đó sẽ là lời cảnh tỉnh rằng tổ chức này có thể còn thực hiện những hoạt động gián điệp có mục tiêu và tinh vi hơn thế. Chúng là những diễn viên đáng gờm và vẫn có khả năng tiếp cận những khu vực nhạy cảm".

APT28 đã có lịch sử gắn với nhiều hoạt động gián điệp nhắm vào các mục tiêu quân sự và chính phủ Mỹ, NATO và Đông Âu. Bản khuyến cáo của CISA, cùng với các phát hiện của DOE và FBI, theo dõi những chiến dịch tấn công mạng có liên quan đến APT28... đều cho thấy tổ chức gián điệp này vẫn còn tiếp tục hoạt động đến tận ngày nay.

"Không có gì ngạc nhiên khi tình báo Nga cố gắng thâm nhập vào chính phủ Mỹ. Họ vẫn thường làm thế", Slowik cho hay. "Nhưng cần xác định rằng đây không chỉ là hoạt động tiếp tục tái diễn đơn thuần, mà hoạt động đó nay đã thành công".