#SựKiệnHômNay #Hackers #Kaspersky #Malwarebytes #Ukraine #Nga
Ngày hôm nay, một nhóm bí ẩn liên quan đến 15 năm hack Ukraine-Nga và công ty an ninh Nga Kaspersky đã công bố một nghiên cứu mới về hoạt động của một nhóm tin tặc kéo dài hơn các nhà nghiên cứu đã nhận ra trước đây. Nghiên cứu của hãng bảo mật Malwarebytes đã chỉ ra rằng nhóm Red Stinger đã thực hiện hoạt động gián điệp chống lại cả những nạn nhân thân Ukraine và Nga. Những phát hiện này rất quan trọng vì sự pha trộn ý thức hệ của các mục tiêu và việc thiếu kết nối với các nhóm hack đã biết khác.
Kaspersky cũng đã công bố nghiên cứu về nhóm Bad Magic và kết luận rằng phần mềm độc hại được sử dụng trong các cuộc tấn công không có kết nối với bất kỳ công cụ hack nào khác đã biết. Nghiên cứu mới cung cấp thêm mảnh ghép khác vào câu đố của nhóm tin tặc. Các nhà nghiên cứu của Kaspersky đã xem xét dữ liệu đo từ xa lịch sử để tìm kiếm các kết nối và phát hiện ra rằng các chiến dịch gián điệp giữa các mục tiêu tương tự ở Ukraine và Nga có điểm tương đồng.
Nhóm tin tặc Red Stinger tập trung vào cùng loại mục tiêu, bao gồm cả các quan chức làm việc cho phe thân Nga ở Ukraine và các quan chức, chính trị gia và tổ chức chính phủ Ukraine. Các nhà nghiên cứu đã thấy căn cứ cho việc sử dụng lưu trữ đám mây và các định dạng tệp đặc trưng tương tự trên các tệp mà nhóm đã xuất sang máy chủ của họ.
Sự kết hợp các nghiên cứu của Malwarebytes và Kaspersky đã cung cấp một số bối cảnh sơ bộ để hiểu động cơ có thể có của những kẻ tấn công. Các nghiên cứu này rất quan trọng để đảm bảo an ninh trong các hoạt động trực tuyến và bảo vệ những người dùng không may trở thành nạn nhân của các cuộc tấn công tin tặc.
Nguồn: https://www.wired.com/story/red-stinger-ukraine-russia-espionage-hackers/
công ty an ninh Nga kaspersky hôm nay công bố nghiên cứu mới điều đó thêm một mảnh ghép khác vào câu đố của một nhóm tin tặc có hoạt động dường như kéo dài hơn so với các nhà nghiên cứu đã nhận ra trước đây.
Nghiên cứu được công bố vào tuần trước từ hãng bảo mật Malwarebytes làm sáng tỏ một nhóm hack, Red Stinger, đã thực hiện các hoạt động gián điệp chống lại cả những nạn nhân thân Ukraine ở miền trung Ukraine và những nạn nhân thân Nga ở miền đông Ukraine. Những phát hiện này rất hấp dẫn vì sự pha trộn ý thức hệ của các mục tiêu và việc thiếu kết nối với các nhóm hack đã biết khác. Một vài tuần trước khi Malwarebytes công bố báo cáo của mình, Kaspersky cũng đã công bố nghiên cứu về nhóm mà hãng gọi là Bad Magic và kết luận tương tự rằng phần mềm độc hại được sử dụng trong các cuộc tấn công không có kết nối với bất kỳ công cụ hack nào khác đã biết. Nghiên cứu mà Kaspersky công bố hôm nay cuối cùng đã liên kết nhóm này với hoạt động trong quá khứ và cung cấp một số bối cảnh sơ bộ để hiểu động cơ có thể có của những kẻ tấn công.
Thêm nghiên cứu Malwarebytes vào những gì họ đã tìm thấy một cách độc lập, các nhà nghiên cứu của Kaspersky đã xem xét dữ liệu đo từ xa lịch sử để tìm kiếm các kết nối. Cuối cùng, họ phát hiện ra rằng một số cơ sở hạ tầng đám mây và phần mềm độc hại mà nhóm đang sử dụng có điểm tương đồng với các chiến dịch gián điệp ở Ukraine mà công ty bảo mật ESET được xác định vào năm 2016cũng như các chiến dịch của công ty CyberX được phát hiện vào năm 2017.
Georgy Kucherin, một nhà nghiên cứu phần mềm độc hại của Kaspersky cho biết: “Malwarebytes đã tìm hiểu thêm về giai đoạn lây nhiễm ban đầu và sau đó họ tìm hiểu thêm về trình cài đặt” được sử dụng trong một số cuộc tấn công của nhóm kể từ năm 2020. “Sau khi xuất bản báo cáo của chúng tôi về phần mềm độc hại, chúng tôi đã quyết định xem dữ liệu lịch sử về các chiến dịch tương tự có các mục tiêu tương tự và đã xảy ra trong quá khứ. Đó là cách chúng tôi phát hiện ra hai chiến dịch tương tự từ ESET và CyberX và chúng tôi đã kết luận với độ tin cậy từ trung bình đến cao rằng các chiến dịch được liên kết với nhau và tất cả chúng đều có khả năng được thực hiện bởi cùng một tác nhân.”
Các hoạt động khác nhau theo thời gian có nạn nhân tương tự, có nghĩa là nhóm tập trung vào cùng loại mục tiêu, bao gồm cả các quan chức làm việc cho phe thân Nga ở Ukraine và các quan chức, chính trị gia và tổ chức chính phủ Ukraine. Kucherin cũng lưu ý rằng ông và các đồng nghiệp của mình đã tìm thấy những điểm tương đồng và nhiều điểm trùng lặp trong mã của các plugin được sử dụng bởi phần mềm độc hại của nhóm. Một số mã thậm chí còn được sao chép và dán từ chiến dịch này sang chiến dịch khác. Và các nhà nghiên cứu đã thấy việc sử dụng lưu trữ đám mây và các định dạng tệp đặc trưng tương tự trên các tệp mà nhóm đã xuất sang máy chủ của họ.
Nghiên cứu của Malwarebytes được công bố vào tuần trước đã ghi lại 5 chiến dịch kể từ năm 2020 của nhóm hack, trong đó có một chiến dịch nhắm vào một thành viên của quân đội Ukraine, người làm việc trên cơ sở hạ tầng quan trọng của Ukraine. Một chiến dịch khác nhắm vào các quan chức bầu cử thân Nga ở miền đông Ukraine, một cố vấn của Ủy ban bầu cử trung ương Nga và một người làm việc về giao thông vận tải trong khu vực.
Quay trở lại năm 2016, ESET đã viết về hoạt động mà nó gọi là “Chiến dịch Groundbait”: “Điểm chính khiến Chiến dịch Groundbait khác biệt với các cuộc tấn công khác là nó chủ yếu nhắm vào những người ly khai chống chính phủ ở Cộng hòa Nhân dân Donetsk và Luhansk tự tuyên bố. . Trong khi những kẻ tấn công dường như quan tâm nhiều hơn đến phe ly khai và chính phủ tự tuyên bố ở các vùng chiến sự phía đông Ukraine, thì cũng có một số lượng lớn các mục tiêu khác, bao gồm các quan chức chính phủ, chính trị gia và nhà báo Ukraine.
