#Sựkiện #TrungQuốc #Hacker #Lướiđiện
Hacker liên kết với Trung Quốc xâm nhập vào Lưới điện lần nữa
Có một số bằng chứng cho thấy chiến dịch hack tập trung vào Ấn Độ trong năm 2021 và việc xâm nhập mới vào lưới điện được xác định bởi Symantec đều được thực hiện bởi cùng một nhóm hacker có liên kết với nhóm điệp viên do Trung Quốc tài trợ có tên là APT41, còn được gọi là Wicked Panda hoặc Barium. Symantec ghi nhận rằng những hacker mà họ theo dõi trong vụ xâm nhập vào lưới điện đã sử dụng một phần mềm độc hại được biết đến là ShadowPad, được triển khai bởi một nhóm con APT41 vào năm 2017 để tấn công chuỗi cung ứng và làm hỏng mã nguồn được phân phối bởi công ty phần mềm mạng NetSarang và trong một số vụ việc kể từ đó. Năm 2020, năm thành viên được cáo buộc là thành viên APT41 đã bị truy tố và được xác định là đang làm việc cho một nhà thầu cho Bộ An ninh Nhà nước Trung Quốc được biết đến với tên gọi Chengdu 404. Nhưng ngay cả vào năm ngoái, Cục An ninh Bí mật Mỹ cũng đã cảnh báo về việc những hacker thuộc APT41 đã đánh cắp hàng triệu USD từ quỹ hỗ trợ Covid-19 của Mỹ, một trường hợp hiếm hoi hacker do nhà nước tài trợ nhắm vào một chính phủ khác.
Mặc dù Symantec không liên kết nhóm xâm nhập lưới điện mà họ gọi là RedFly với bất kỳ nhóm con cụ thể nào của APT41, các nhà nghiên cứu tại công ty bảo mật mạng Mandiant chỉ ra rằng cả sự việc xâm nhập lưới điện RedFly và chiến dịch xâm nhập lưới điện Ấn Độ nhiều năm trước đã sử dụng cùng một tên miền làm máy chủ điều khiển cho phần mềm độc hại: Websencl.com. Điều này cho thấy nhóm RedFly có thể thực sự liên quan đến cả hai vụ việc xâm nhập vào lưới điện này, theo John Hultquist, người đứng đầu trí tuệ mối đe dọa tại Mandiant. (Với việc Symantec không đặt tên quốc gia châu Á nào mà RedFly đã tấn công lưới điện, Hultquist cho biết có thể lại là Ấn Độ lần nữa.)
Nói chung, Hultquist xem việc RedFly xâm nhập vào lưới điện là một dấu hiệu đáng lo ngại cho thấy Trung Quốc đang chuyển sự tập trung của mình vào mục tiêu tấn công quyết liệt hơn đối với cơ sở hạ tầng quan trọng như lưới điện. Nhiều năm qua, Trung Quốc chủ yếu tập trung vào việc tài trợ hacker để tình báo, trong khi các quốc gia khác như Nga và Iran đã cố gắng xâm nhập vào các công ty điện lực nhằm cài đặt phần mềm độc hại có khả năng gây ra mất điện chiến lược. Ví dụ, nhóm tình báo quân đội Nga Sandworm đã cố gắng gây ra ba lần mất điện ở Ukraine – trong đó có hai trường hợp thành công. Một nhóm từ Nga liên kết với cơ quan tình báo FSB được biết đến với tên gọi Berserk Bear đã thường xuyên xâm nhập vào lưới điện Mỹ để có khả năng tương tự, nhưng chưa bao giờ cố gắng gây ra mất ổn định.
Xét về cuộc xâm nhập vào lưới điện của Trung Quốc gần đây nhất, Hultquist cho rằng có vẻ như một số nhóm hacker Trung Quốc có nhiệm vụ tương tự như nhóm Berserk Bear đó: duy trì quyền truy cập, cài đặt phần mềm độc hại cần thiết cho việc phá hoại và chờ lệnh để tiến hành cuộc tấn công mạng vào một thời điểm chiến lược. Và nhiệm vụ đó có nghĩa là những hacker mà Symantec bắt được bên trong lưới điện của quốc gia châu Á không được đặt tên sẽ chắc chắn trở lại, ông nói.
“Họ phải duy trì quyền truy cập, điều đó có nghĩa là họ có thể quay lại ngay lập tức. Họ bị phát hiện, họ chỉnh sửa và họ trở lại,” Hultquist nói. “Yếu tố quan trọng ở đây là khả năng của họ để duy trì mục tiêu – cho đến khi đến lúc thực hiện.”
Nguồn: https://www.wired.com/story/china-redfly-power-grid-cyberattack-asia/
Some evidence suggests the 2021 India-focused hacking campaign and the new power grid breach identified by Symantec were both carried out by the same team of hackers with links to the broad umbrella group of Chinese state-sponsored spies known as APT41, which is sometimes called Wicked Panda or Barium. Symantec notes that the hackers whose grid-hacking intrusion it tracked used a piece of malware known as ShadowPad, which was deployed by an APT41 subgroup in 2017 to infect machines in a supply chain attack that corrupted code distributed by networking software firm NetSarang and in several incidents since then. In 2020, five alleged members of APT41 were indicted and identified as working for a contractor for China’s Ministry of State Security known as Chengdu 404. But even just last year, the US Secret Service warned that hackers within APT41 had stolen millions in US Covid-19 relief funds, a rare instance of state-sponsored cybercrime targeting another government.
Although Symantec didn’t link the grid-hacking group it’s calling RedFly to any specific subgroup of APT41, researchers at cybersecurity firm Mandiant point out that both the RedFly breach and the years-earlier Indian grid-hacking campaign used the same domain as a command-and-control server for their malware: Websencl.com. That suggests the RedFly group may in fact be tied to both cases of grid hacking, says John Hultquist, who leads threat intelligence at Mandiant. (Given that Symantec wouldn’t name the Asian country whose grid RedFly targeted, Hultquist adds that it may in fact be India again.)
More broadly, Hultquist sees the RedFly breach as a troubling sign that China is shifting its focus toward more aggressive targeting of critical infrastructure like power grids. For years, China largely focused its state-sponsored hacking on espionage, even as other nations like Russia and Iran have attempted to breach electrical utilities in apparent attempts to plant malware capable of triggering tactical blackouts. The Russian military intelligence group Sandworm, for example, has attempted to cause three blackouts in Ukraine—two of which succeeded. Another Russian group tied to its FSB intelligence agency known as Berserk Bear has repeatedly breached the US power grid to gain a similar capability, but without ever attempting to cause a disruption.
Given this most recent Chinese grid breach, Hultquist argues it’s now beginning to appear that some Chinese hacker teams may have a similar mission to that Berserk Bear group: to maintain access, plant the malware necessary for sabotage, and wait for the order to deliver the payload of that cyberattack at a strategic moment. And that mission means the hackers Symantec caught inside the unnamed Asian country’s grid will almost certainly return, he says.
“They have to maintain access, which means they’re probably going to go right back in there. They get caught, they retool, and they show up again,” says Hultquist. “The major factor here is their ability to just stay on target—until it’s time to pull the trigger.”
[ad_2]
