Lực lượng bí ẩn Nga khiến hơn 20 quốc gia lao đao, Mỹ-NATO ngã ngửa, phải hành động khẩn

QS |

Núp dưới danh nghĩa nhóm APT34 của Iran, trong vòng 18 tháng qua, nhóm Turla của Nga đã tiến hành nhiều vụ tấn công nhằm vào hơn 20 quốc gia, phần lớn ở Trung Đông.

Hơn 20 quốc gia trở thành mục tiêu tấn công

Các cơ quan tình báo của Anh (GCHQ) và Mỹ (NSA) gần đây tuyên bố rằng họ đã phát hiện ra một nhóm hacker của Nga gọi là Turla. Tổ chức này làm việc cho Tổng cục An ninh Liên bang của Nga (FSB) – đơn vị kế tục của Ủy ban An ninh Quốc gia Xô viết (KGB).

Turla đã bí mật thâm nhập vào mạng lưới nhóm hacker của Iran tên là APT34. Nhờ cải trang bằng cách này, trong vòng 18 tháng qua, Turla đã tiến hành nhiều vụ tấn công nhằm vào hơn 20 quốc gia, phần lớn ở Trung Đông. Điều này cho phép Turla, nếu bị phát hiện, thì vẫn ở dưới danh nghĩa APT34.

Có vẻ người Iran không biết rằng Nga đã thâm nhập vào mạng lưới máy tính bị nhiễm độc của họ. Turla sử dụng các công cụ hack của APT34 và đã đi xa tới mức khiến họ trông như thể một nhóm hacker khác thuộc APT34.

Các đội an ninh mang của Czech và Estonia là những phía đầu tiên phát hiện ra mối liên hệ giữa Turla và APT34.

Lực lượng bí ẩn Nga khiến hơn 20 quốc gia lao đao, Mỹ-NATO ngã ngửa, phải hành động khẩn - Ảnh 1.

Trong vòng 18 tháng qua, Turla đã tiến hành nhiều vụ tấn công nhằm vào hơn 20 quốc gia, phần lớn ở Trung Đông. Nguồn ảnh: GBHackers

Với tư cách là thành viên NATO, hai quốc gia này đã chia sẻ phát hiện của họ với Anh và Mỹ - những nước có các tổ chức an ninh mạng lớn nhất thế giới và đi đầu trong việc phát triển các công cụ tấn công/phòng thủ để chống lại những phía phát động Chiến tranh Mạng nhằm vào các quốc gia thành viên NATO.

Mối quan hệ hợp tác trên bắt đầu từ năm 2007, khi Estonia kêu gọi NATO hãy tuyên bố chiến tranh mạng với Nga do phát hiện Moscow đã bí mật tiến hành một chiến dịch hacking lớn nhằm gây ra thiệt hại tài chính nặng nề cho Estonia. Quốc gia thành viên NATO đã đề nghị gọi đó là hành động khủng bố và kêu gọi liên minh này đứng ra xử lý.

Mỹ-NATO phản ứng tức thì

Sau vụ việc xảy ra với Estonia năm 2008, NATO đã nhanh chóng thành lập Trung tâm Phòng thủ Mạng tại Estonia để nghiên cứu các kỹ thuật Chiến tranh mạng và những vụ tấn công từng xảy ra, đồng thời phối hợp với các quốc gia thành viên khác trong NATO để thiết lập mạng lưới phòng thủ chiến tranh mạng, cũng như các loại vũ khí tấn công để phản ứng.

Mặc dù Trung tâm Phòng thủ Mạng của NATO không thường xuyên công khai các phát hiện của họ nhưng nỗ lực này được cho là đã thành công, cho phép NATO thu được nhiều thông tin hơn về các mối đe dọa hacker, phần lớn trong đó đến từ Nga, Trung Quốc, Triều Tiên và Iran.

GCHQ và NSA chỉ ra rằng họ, cùng với NATO, đã phát triển được các công cụ tốt hơn để phát hiện và nhận diện những phía phát động tấn công. Dường như Bộ Quốc phòng Mỹ đang sử dụng thẩm quyền mới được thông qua của mình để tiến hành các cuộc phản công nhằm vào những quốc gia mà họ phát hiện từng tấn công mạng Mỹ.

Một số quốc gia thành viên khác của NATO cũng âm thầm áp dụng chính sách này, nhưng không đưa ra bất cứ thông cáo báo chí nào về việc đó.

Lực lượng bí ẩn Nga khiến hơn 20 quốc gia lao đao, Mỹ-NATO ngã ngửa, phải hành động khẩn - Ảnh 2.

TajMahal là nền tảng do thám mạng hiếm gặp với kỹ thuật tinh vi. Ảnh: The hacker news

Trong năm 2019, một dòng phần mềm hacker mới đã bị phát hiện, chúng được gọi là TajMahal. Tập hợp các loại phần mềm này được gọi chung là APT (Advanced Persistent Threats) và thường là sản phẩm của các tổ chức chính phủ hoặc các băng đảng tội phạm quy mô lớn.

Phần mềm tinh vi và đắt đỏ (chi phí cao ở khâu phát triển và duy trì) đó có thể tiến hành các hoạt động phạm pháp trong thời gian dài và với quy mô lớn để đánh cắp thông tin hoặc tiền bạc.

TajMahal là một dòng phần mềm khá đặc biệt. Nó có vẻ đã được đưa vào sử dụng từ năm 2013 nhưng cho đến nay vẫn chưa được liệt vào danh sách APT.

Đó được xem là thắng lợi lớn cho một phần mềm APT bởi một khi sự tồn tại của APT mới được xác nhận, các quốc gia trên thế giới sẽ tìm cách tăng cường năng lực phòng thủ và khiến cho loại APT mới bị phát hiện trở nên kém hiệu quả hơn.

Phần mềm TajMahal dường như được phát triển mới hoàn toàn, người ta chưa từng thấy nó được sử dụng bởi bất cứ hacker hay APT nào trước đó.

TajMahal chứa ít nhất 8 module riêng rẽ, có thể đảm đương một chuỗi nhiệm vụ của phần mềm độc hại. Nói một cách khác, TajMahal là công cụ để bí mật xâm nhập vào mạng lưới của đối tượng và đánh cắp dữ liệu.

TajMahal cuối cùng bị phát hiện là phần mềm phát triển dành riêng cho chính phủ Nga. Moscow đã tìm kiếm và phát triển một dòng phần mềm APT có thể hoạt động trong thời gian dài mà không bị phát hiện.

Đường dây nóng: 0943 113 999

Soha
Báo lỗi cho Soha

*Vui lòng nhập đủ thông tin email hoặc số điện thoại