Tin tặc Nga khai thác lỗ hổng trên Outlook để tấn công các tổ chức tại Cộng hòa Séc và Đức
Khai thác lỗ hổng leo thang đặc quyền
Bộ Ngoại giao Cộng hòa Séc (MFA) trong một tuyên bố cho biết, một số thực thể chính trị, cơ quan nhà nước và cơ sở hạ tầng quan trọng tại nước này đã bị tấn công mạng, tin tặc đã khai thác lỗ hổng bảo mật trong Microsoft Outlook được phát hiện vào đầu năm 2023.
Lỗ hổng CVE-2023-23397 là lỗ hổng leo thang đặc quyền nghiêm trọng hiện đã được vá trong Outlook. Lỗ hổng này có thể cho phép kẻ tấn công truy cập vào mã băm Net-NTLMv2 rồi sử dụng chúng để tự xác thực bằng một cuộc tấn công chuyển tiếp.
Chính phủ Liên bang Đức (hay còn gọi là Bundesregierung) cũng quy kết tác nhân đe dọa này là thủ phạm của một cuộc tấn công mạng nhằm vào Ban chấp hành Đảng Dân chủ Xã hội Đức bằng cách khai thác lỗ hổng CVE-2023-23397 trong một khoảng thời gian tương đối dài, cho phép các tin tặc có thể xâm phạm nhiều tài khoản email. Một số lĩnh vực cụ thể bị nhắm mục tiêu trong chiến dịch gián điệp mạng này bao gồm: hậu cần, công nghiệp vũ khí, hàng không vũ trụ và các dịch vụ công nghệ thông tin.
Hoạt động của tin tặc Nga
Nhóm tin tặc APT28 có liên kết với Đơn vị 26165 của Cơ quan tình báo quân đội Nga (GRU), còn được biết đến với những cái tên như: BlueDelta, Fancy Bear, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy và TA422.
Cuối tháng 04/2024, Microsoft cho rằng nhóm tin tặc này đã khai thác dịch vụ Microsoft Windows Print Spooler (CVE-2022-38028, điểm CVSS: 7,8) để phát tán phần mềm độc hại tùy chỉnh có tên GooseEgg để xâm nhập vào hệ thống mạng của các tổ chức tại Ukraine cũng như các nước phương Tây.
NATO nhận định các hành động của tin tặc Nga tạo thành mối đe dọa đối với an ninh của các nước đồng minh trong khối EU, phía EU cũng đã lên tiếng và tuyên bố rằng chiến dịch gián điệp mạng cho thấy sự tinh vi của các tin tặc Nga trên không gian mạng.
Chính phủ Anh cho biết: “Hoạt động gần đây của nhóm tin tặc APT28, bao gồm cả việc nhắm mục tiêu vào lãnh đạo của Đảng Dân chủ Xã hội Đức, là hành vi mới nhất của GRU nhằm phá hoại các tiến trình dân chủ trên toàn cầu”.
Bộ Ngoại giao Mỹ xác định tin tặc APT28 có xu hướng thực hiện các chiến dịch tấn công độc hại nhằm mục đích gây rối và gây bất ổn chính trị. Đồng thời, nhấn mạnh Mỹ cam kết đảm bảo an ninh của các đồng minh và đối tác cũng như duy trì trật tự quốc tế dựa trên quy tắc, bao gồm cả trong không gian mạng.
Theo các chuyên gia an ninh mạng tại Google Cloud nhận định, các chiến dịch tấn công mạng được Chính phủ Nga bảo trợ như đánh cắp dữ liệu, tấn công phá hoại, tấn công từ chối dịch vụ phân tán (DDoS) và các hoạt động gián điệp mạng cũng được cho là sẽ gây rủi ro nghiêm trọng đến các cuộc bầu cử ở các khu vực như Mỹ, Anh và các nước EU.
Các nhà nghiên cứu Kelli Vanderlee và Jamie Collier cho biết: “Năm 2016, nhóm tin tặc APT28 liên kết với GRU đã xâm phạm các mục tiêu tổ chức của Đảng Dân chủ Mỹ cũng như tài khoản cá nhân của các nghị sĩ và dàn dựng một chiến dịch rò rỉ thông tin trước cuộc bầu cử Tổng thống Mỹ năm 2016”.
Hơn nữa, dữ liệu từ hai nhà cung cấp dịch vụ bảo mật là Cloudflare và Netscout cho thấy sự gia tăng các cuộc tấn công DDoS nhắm vào Thụy Điển sau khi nước này gia nhập NATO.
Netscout cho biết: “Thủ phạm có khả năng thực hiện các cuộc tấn công này bao gồm các nhóm tin tặc NoName057, Anonymous Sudan, Russian Cyber Army Team và KillNet. Đây là những nhóm tin tặc hoạt động vì mục tiêu chính trị và ủng hộ lý tưởng của Nga”.
Diễn biến này diễn ra khi các cơ quan chính phủ từ Canada, Anh và Mỹ công bố một tài liệu chung nhằm giúp bảo vệ các tổ chức cơ sở hạ tầng quan trọng khỏi các cuộc tấn công mạng do tin tặc Nga tiến hành nhắm vào các hệ thống kiểm soát công nghiệp (ICS) và các hệ thống công nghệ vận hành (OT) từ năm 2022. Mục tiêu chính của các cuộc tấn công này thường là các cơ sở hạ tầng quan trọng ở Bắc Mỹ và châu Âu, bao gồm hệ thống nước, đập, năng lượng, thực phẩm và nông nghiệp.
Vũ Hùng
(Tổng hợp)