BLOG
Chiến tranh mạng trong cuộc xung đột Nga - Ukraine
2 năm trước
Trong cuộc xung đột Nga-Ukraine, “Nhóm nghiên cứu Cyberint” đã có nhiều nỗ lực nhằm theo dõi bức tranh toàn cảnh về cuộc xung đột Nga-Ukraine trên chiến trường Không Gian Mạng. Lần đầu tiên trong lịch sử, Cyberint đã chứng kiến một cuộc chiến với sự tham ra của mọi loại đối tượng trên mạng bao gồm:
+ Các nhóm tin tặc được nhà nước tài trợ
+ Các nhóm tin tặc chuyên nghiệp, phi chính phủ
+ Các nhóm Script Kiddies
+ Các cá nhân trên mạng là những tình nguyện viên muốn tham gia cuộc chiến
Từ sự kiện này đã phơi bày một thực tế về các mối đe dọa và những rủi ro đến từ công nghệ sức mạnh số, và nạn nhân của nó là bất kỳ ai trong chúng ta: dân thường, các nhà tài phiệt, các doanh nghiệp, các tổ chức của chính phủ…
CÁC LOẠI HÌNH TẤN CÔNG ĐƯỢC SỬ DỤNG:
1. Tấn công bằng DDoS: Tấn công từ chối dịch vụ máy chủ phân tán, làm tê liệt hệ thống máy chủ, gián đoạn dịch vụ.
2. Tấn công bằng Phishing (Lừa đảo): Tấn công bằng kỹ thuật Phishing, ăn cắp thông tin, lan truyền mã độc gây thiệt hại về tài sản và rò rỉ thông tin mật.
3. Tấn công bằng Phần mềm độc hại: Tiêm nhiễm chương trình độc hại, tự lây lan, mã hóa hoặc xóa sạch dữ liệu.
4. Ẩn danh khi tham gia cuộc chiến: Sử dụng các công cụ ẩn danh khi tham gia cuộc chiến, tránh truy vết.
CÁC CUỘC TẤN CÔNG CỦA NGA NHẮM VÀO UKRAINE:
1. Tấn công DDoS chống lại Ukraine
Một trong những cuộc tấn công đầu tiên được thực hiện nhằm vào Ukraine là cuộc tấn công từ chối máy chủ (DDoS) phân tán dẫn đến các trang web của Bộ Quốc phòng Ukraine, Ngân hàng PrivateBank và Oschadbank không hoạt động trong vài giờ.
2. Tấn công lan truyền mã độc HermeticWiper
Ngoài nỗ lực của Nga nhằm xâm phạm các tổ chức tài chính và chính phủ bằng các cuộc tấn công DDoS, các nhà nghiên cứu bảo mật tại ESET, Symantec và SentinelOne đã phát hiện ra một phần mềm độc hại HermeticWiper, đang nhắm mục tiêu vào các tổ chức Ukraine, tự lây lan và xóa sạch các máy Windows.
3. Chiêu mộ các nhóm tấn công APT (Advanced Persistance Threat)
Đây không phải là lần đầu tiên chúng ta thấy mối quan hệ giữa các nhóm APT nhất định đối với chính phủ Nga và lợi ích của Nga. SandWorm có thể là nhóm mối đe dọa lớn nhất công khai tham gia vào chiến dịch này. SandWorm, hay còn gọi là Đơn vị 74455, là một trong những nhóm do nhà nước Nga tài trợ, phụ trách các chiến dịch gián điệp và hack lớn chống lại Ukraine trong nhiều năm. Chiến dịch nổi tiếng nhất chống lại Ukraine là NotPetya, trong khi họ cũng chịu trách nhiệm về cuộc tấn công mạng lưới điện Ukraine, cuộc bầu cử tổng thống Pháp, Thế vận hội mùa đông 2018 và nhắm vào một số nhân sự VIP ở Mỹ. Nhóm đã hoạt động ít nhất 8 năm.
NHỮNG NỖ LỰC CỦA UKRAINE TRONG CUỘC CHIẾN KHÔNG GIAN MẠNG
1. Chiến tranh du kích trên không gian mạng
Ukraine thực hiện chiến tranh du kích trên không gian mạng bằng các cuộc tấn công DDoS nhắm vào Nga bằng hình thức sau:
Nhiều tổ chức Ukraine đã mở các kênh Telegram với mục đích tuyển dụng những người từ khắp nơi trên thế giới sẵn sàng chiến đấu cho Ukraine và tham gia vào các nỗ lực chiến tranh mạng của nước này. Bản chất của các nhóm này là khuyến khích các thành viên của họ thực hiện các cuộc tấn công DDoS vào các mục tiêu của Nga.
Xây dựng các trang web để bắt đầu và theo dõi các cuộc tấn công DDoS đang được triển khai chống lại các viện của Nga tại bất kỳ thời điểm nào.
2. Sử dụng kỹ thuật Phishing (Lừa đảo)
Những người ủng hộ Ukraine đang nỗ lực nhiều hơn vào các chiến dịch sử dụng các kỹ thuật Phishing nhắm mục tiêu vào tài sản của Nga và các nhóm ủng hộ Nga trên Telegram và các kênh truyền thông khác để đánh cắp thông tin, lan truyền mã độc gây thiệt hại cho hạ tầng thông tin, và các tài sản của Nga.
3. Che dấu danh tính
Ukraine cung cấp các công cụ che dấu danh tính cho những tình nguyện viên mong muốn tham gia cuộc chiến bằng cách cấp giấy phép VPN miễn phí cho những người tham gia cuộc chiến chống lại Nga.
SỰ CAN THIỆP CỦA CÁC NHÓM TIN TẶC NỔI TIẾNG
Cuộc xung đột đã tạo ra "tính hợp pháp" cho các nhóm đe dọa và nhiều phần tử tin tặc công khai trên phương tiện truyền thông xã hội về đóng góp của họ trong cuộc chiến. Các nhóm đe dọa và nhiều phần tử tin tặc này có thể là những nhóm do nhà nước tài trợ, các nhóm độc lập công khai ủng hộ Nga hay Ukraine, hoặc các nhóm “phi chính trị” tham gia với mục đích thương mại kiếm lợi từ cuộc chiến. Dưới đây là các nhóm tin tặc nổi tiếng:
ANONYMOUS | Nhóm này đã tuyên bố họ sẽ hoàn toàn ủng hộ Ukraine và làm bất cứ điều gì trong khả năng của họ để gây tổn hại đến cơ sở hạ tầng của Nga và đã công bố thông tin nhạy cảm bị rò rỉ về các nhân viên chính phủ. |
NB65 | Không xa sau khi Anonymous tham gia cuộc chiến chống Ukraine, NB65 đã công bố một thông báo khẳng định họ đang hỗ trợ Ukraine và tuyên bố một chiến dịch thành công chống lại Viện An toàn Hạt nhân, đồng thời công bố các tài liệu nhạy cảm. |
BELARUSIAN CYBER PARTISANS | Nổi tiếng với chiến dịch ransomware tấn công vào hệ thống đường sắt Belarus, buộc hệ thống đường sắt Belarus phải vận hành bằng cách thủ công, điều này làm chậm đáng kể việc vận chuyển quân Nga và vật tư cho người Nga. |
GHOSTSEC | GhostSec là một nhóm hack khá mới đứng về phía Ukraine, họ đã nỗ lực hết sức để tấn công và hạ gục các mục tiêu chiến thuật của Nga như máy chủ ngân hàng, kênh truyền hình và hơn thế nữa. |
BLACKHAWK | BlackHawk là một nhóm DDoS của Gruzia đã khởi xướng các cuộc tấn công DDoS nhằm vào các mục tiêu của Nga. họ đã mở một trang web chuyên dụng để theo dõi tất cả các cuộc tấn công DDoS của họ trong một thời điểm nhất định. |
THE RED BANDITS | Red Bandits, một nhóm hack thân Nga, đã mở tài khoản Twitter của mình vào đầu cuộc chiến này và làm rò rỉ tất cả các thông tin nhạy cảm mà chúng có được để chống lại Ukraine. Bản thân nhóm dường như đã hoạt động từ đầu năm 2021. |
AGAINSTTHEWEST | Một nhóm ransomware tống tiền, phụ trách các chiến dịch rò rỉ dữ liệu ở Mỹ và Trung Quốc, cũng đứng về phía Ukraine và đã thực hiện một số chiến dịch ransomware quan trọng chống lại Nga và công bố tất cả thông tin liên quan trong nhóm Telegram nội bộ của họ. |
CONTI GROUP | Nhóm Conti là một trong những nhóm ransomware tài năng nhất tại thời điểm hiện tại và họ có số lượng chiến dịch thành công cao nhất vào năm 2021. |
LOCKBIT2.0 | Lockbit2.0 là một nhóm đe dọa, hoạt động kinh doanh phi chính trị. |
Cuộc xung đột đã tạo ra cái gọi là "tính hợp pháp" cho các nhóm đe dọa và nhiều phần tử tin tặc bước ra từ bóng tối và công khai trên phương tiện truyền thông xã hội về đóng góp của họ thay vì Nga hoặc Ukraine. Nhờ những nỗ lực theo dõi chặt chẽ, chúng ta đã thấy được các loại hình tấn công mà những tin tặc thường sử dụng để thâm nhập vào mạng lưới: tấn công DDoS, Fishing, Malware, Ẩn danh…Các đối tượng tham gia cuộc chiến cũng vô cùng đa dạng: Từ các nhóm tin tặc được chính phủ bảo trợ, tới nhóm hacker chuyên nghiệp núp trong bóng tối, những cá nhân tình nguyện tham ra cuộc chiến trên khắp thế giới…Nạn nhân có thể là bất cứ ai từ dân thường, tài phiệt, doanh nghiệp, các tổ chức tài chính, các tổ chức chính phủ…
Cuộc xung đột phức tạp này mang lại cho chúng ta cơ hội, với tư cách là các nhà nghiên cứu, hiểu rõ hơn tâm trí và kỹ thuật của những kẻ đe dọa khét tiếng và các nhóm mối đe dọa. Hậu quả của cuộc xung đột này có thể thay đổi cán cân lực lượng và các mối quan hệ trong bối cảnh mối đe dọa như chúng ta hiện đang biết trên toàn thế giới.