Ngày 16/7, Trung tâm An ninh mạng Quốc gia Anh (NCSC) cáo buộc nhóm hacker APT29, còn gọi là Cozy Bear, tấn công vào các tổ chức nghiên cứu và phát triển vaccine của Anh, Mỹ và Canada nhằm đánh cắp thông tin vaccine Covid-19. NCSC cho biết "chắc chắn tới 95%" Cozy Bear là một phần của tình báo Nga.
Phát ngôn viên Điện Kremlin Dmitry Peskov sau đó tuyên bố Nga "không biết và không liên quan" tới nhóm tin tặc thực hiện các vụ tấn công nhằm vào Anh, đồng thời Nga cũng phải đối mặt với những cuộc tấn công mạng nhằm vào cơ sở dữ liệu máy tính. "Các cơ quan của chúng tôi phải liên tục ngăn chặn những cuộc tấn công như vậy, đó và vấn đề chung", Peskov nói.
Cozy Bear là một trong những nhóm tin tặc khét tiếng nhất thế giới, từng thực hiện nhiều vụ tập kích nhằm vào cơ sở hạ tầng mạng của nhiều cơ quan chính phủ trong 10 năm qua. Nhóm bị cáo buộc đứng sau vụ tấn công hệ thống mạng và email của Lầu Năm Góc năm 2015, cũng như máy chủ Ủy ban Quốc gia đảng Dân chủ (DNC) của Mỹ sau đó một năm.
"APT29 xâm nhập thành công nhiều hệ thống máy tính toàn cầu suốt hơn một thập kỷ. Covid-19 mang đến mục tiêu mới cho họ nhắm tới", Tony Cole, Giám đốc kỹ thuật của công ty Attivo Networks (Mỹ), cho biết.
Vụ tấn công nhằm vào nghiên cứu vaccine của Đại học Oxford và Cao đẳng Hoàng gia Anh có nhiều dấu hiệu điển hình của Cozy Bear. Một trong số đó là kiểu khai thác "spear phishing", nhằm vào một người hoặc tổ chức bằng cách thu thập, dùng thông tin có thể nhận dạng được, như tên của họ hàng hoặc bạn thân. Bên cạnh đó là malware có khả năng âm thầm thu dữ liệu từ những hệ thống bị nhiễm.
Ai đứng sau Cozy Bear?
Các cơ quan an ninh Hà Lan năm 2014 phát hiện một số đặc điểm riêng của nhóm hacker này. Họ đột nhập hệ thống camera an ninh ở một tòa nhà gần Quảng trường Đỏ để điều tra nỗ lực tấn công tin tặc từ Nga và lần đầu ghi nhận hoạt động của Cozy Bear.
Đây được coi là mỏ vàng tình báo khi máy quay an ninh cho thấy những gì xuất hiện trên màn hình của nhóm tin tặc Nga, thậm chí giúp phía Hà Lan nhận diện từng thành viên trong nhóm. Phát hiện này càng được củng cố thêm bởi nghiên cứu về malware do Cozy Bear sử dụng, trong đó cho thấy một công cụ mang tên Hammertoss chỉ hoạt động vào giờ hành chính ở Moskva và Saint Petersburg.
Các nhà nghiên cứu cũng nhận thấy các vụ tấn công thường ngừng lại trong những ngày lễ của Nga, cho thấy nhóm hacker được nghỉ và để phần mềm độc hại nằm im.
Cozy Bear đột nhập thành công vào một tổ chức nghiên cứu của Mỹ năm 2014. Nhóm phát tán video có vẻ vô hại mang tiêu đề "Office Monkeys LOL Video.zip" với những con khỉ mặc áo và đeo cà vạt. Một mã độc âm thầm phát tán vào mạng nội bộ khi nhân viên chia sẻ video, cho phép nhóm hacker tiếp cận nhiều thông tin mật.
Trong vụ tấn công máy chủ DNC năm 2016, thành viên Cozy Bear hoạt động suốt hơn một năm trong mạng riêng của Mỹ mà không biết một nhóm khác của Nga là Fancy Bear cũng hiện diện tại đó.
Năm 2017, Cozy Bear và Fancy Bear cũng nhiều lần tìm cách đánh cắp thông tin mật từ các bộ ngành chính phủ Hà Lan. Họ đặc biệt chú ý đến cuộc tổng tuyển cử năm đó, buộc chính phủ nước này phải kiểm phiếu thủ công để tránh nguy cơ nước ngoài can thiệp bầu cử.
Cozy Bear dùng kỹ thuật gì?
Nhóm tin tặc có hàng loạt chiến thuật tấn công mạng để khai thác điểm yếu, chủ yếu xoay quanh việc tung ra hàng nghìn email để cài bẫy những người dùng không rành công nghệ. Spear phishing là phương thức đơn giản mà hiệu quả để lừa người dùng chia sẻ dữ liệu như số thẻ tín dụng, thông tin hộ chiếu và nhiều thứ khác.
NCSC cho biết APT29 nhằm vào những "lỗ hổng công khai có sẵn" trong giai đoạn đầu của đợt tấn công, cụ thể là phần mềm và phần cứng được hàng triệu người sử dụng khi phải ở nhà để đáp ứng biện pháp cách biệt cộng đồng.
"Nhóm khai thác những điểm yếu biết trước trong tường lửa và router, lợi dụng chúng để xâm nhập mạng nội bộ. Nhắm mục tiêu diện rộng cho phép nhóm tin tặc tiếp cận nhiều hệ thống trên toàn thế giới", giáo sư Alan Woodward, chuyên gia khoa học máy tính ở Đại học Surrey của Anh, cho hay.
Khi đột nhập thành công, Cozy Bear có thể tấn công mục tiêu cụ thể hơn bằng hàng loạt mã độc phức tạp. Một trong số này là SoreFang, chuyên bám vào mã HTTP để thu thập thông tin từ nạn nhân.
Một phần mềm khác mang tên WellMess hoặc WellMail cũng được sử dụng từ năm 2018, cho phép tin tặc tùy ý tải file từ các hệ thống nhiễm độc. Nó được dùng làm cổng chuyển dữ liệu đánh cắp từ mạng nội bộ của mục tiêu để nơi lưu trữ của Cozy Bear, cũng như tải thêm lệnh mới đến phần mềm độc hại trong máy tính để chuyển mục tiêu.
Liệu hacker đã lấy được thông tin vaccine?
NCSC từ chối xác nhận nhóm tin tặc có lấy được thông tin nghiên cứu vaccine Covid-19 hay không. Tuy nhiên, Cozy Bear từng nhiều lần đột nhập thành công vào máy tính các tổ chức nghiên cứu và cơ quan chính phủ trong quá khứ.
Các tổ chức nghiên cứu nhiều tháng qua được cảnh báo nguy cơ bị tấn công trong đại dịch. NCSC thông báo nguy cơ tin tặc nước ngoài nhắm vào các dự án vaccine nhằm đánh cắp thông tin sống còn với nỗ lực đối phó Covid-19. Các nhân viên y tế và nhà nghiên cứu được khuyến khích thay mật khẩu máy tính để tránh nguy cơ tin tặc đột nhập
"Hacker có khả năng đã lấy được mọi thông tin rồi", giáo sư Woodward cho hay.
Điệp Anh (theo Telegraph)