Tin tặc Nga Seashell Blizzard xâm phạm mục tiêu cơ sở hạ tầng quan trọng, Microsoft cảnh báo

Một nhóm tin tặc nguy hiểm có liên hệ với Nga được gọi là Seashell Blizzard đã tăng cường các cuộc tấn công vào cơ sở hạ tầng quan trọng trên toàn thế giới, làm dấy lên mối lo ngại về hoạt động gián điệp mạng và phá hoại lâu dài. Theo cảnh báo gần đây từ Microsoft, nhóm này không chỉ xâm nhập vào các hệ thống có giá trị cao mà còn nhúng sâu vào để duy trì quyền kiểm soát lâu dài đối với các mạng bị xâm phạm.

Seashell Blizzard là một diễn viên đe dọa khét tiếng của Nga

Seashell Blizzard, còn được gọi là APT44, BlackEnergy Lite, Sandworm, Telebots và Voodoo Bear, là mối đe dọa mạng đáng kể kể từ ít nhất năm 2009. Nhóm này được cho là hoạt động theo cơ quan tình báo quân sự của Nga, GRU (cụ thể là Đơn vị 74455). Seashell Blizzard khét tiếng với các cuộc tấn công phá hoại, bao gồm cả phần mềm tống tiền NotPetya khét tiếng đã làm tê liệt các doanh nghiệp toàn cầu vào năm 2017 và phần mềm độc hại KillDisk nhắm vào các hệ thống quan trọng của Ukraine vào năm 2015.

Trong nhiều năm qua, Seashell Blizzard đã nhắm mục tiêu vào các lĩnh vực cơ sở hạ tầng quan trọng như:

• Năng lượng
• Cung cấp nước
• Các tổ chức chính phủ
• Mạng lưới quân sự
• Viễn thông
• Vận tải
• Chế tạo

Những cuộc tấn công này không phải là ngẫu nhiên – chúng liên quan chặt chẽ đến các mục tiêu quân sự của Nga, đặc biệt là ở Ukraine, nơi chiến tranh mạng là một thành phần quan trọng trong chiến lược xung đột rộng lớn hơn của Nga.

Một nhóm nhỏ mới tập trung vào quyền truy cập liên tục

Báo cáo mới nhất của Microsoft nêu bật sự xuất hiện của một nhóm nhỏ trong Seashell Blizzard đã hoạt động bí mật trong ít nhất bốn năm. Nhóm nhỏ này dành riêng cho một nhiệm vụ quan trọng: giành quyền truy cập ban đầu vào các hệ thống dễ bị tấn công và thiết lập sự tồn tại lâu dài. Điều này cho phép tin tặc duy trì quyền kiểm soát các hệ thống bị xâm phạm trong nhiều tháng hoặc thậm chí nhiều năm, sẵn sàng tung ra các cuộc tấn công phá hoại bất cứ lúc nào.

Được gọi là chiến dịch BadPilot , nỗ lực này đã diễn ra từ năm 2021, tập trung vào việc xâm nhập các mục tiêu có giá trị cao để tạo điều kiện cho các cuộc tấn công mạng rộng hơn. Các phương pháp của nhóm phụ này được mô tả là bí mật và có tính cơ hội cao, dựa vào các lỗ hổng trong phần mềm được sử dụng rộng rãi và các hệ thống hướng đến internet.

Khai thác các lỗ hổng đã biết

Những kẻ tấn công đang khai thác các lỗ hổng bảo mật nổi tiếng trong các hệ thống phổ biến, bao gồm:

• Màn hình ConnectWise (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Microsoft Exchange (CVE-2021-34473)
• Bộ cộng tác Zimbra (CVE-2022-41352)
• Máy chủ trò chuyện OpenFire (CVE-2023-32315)
• Máy chủ xây dựng TeamCity (CVE-2023-42793)
• Microsoft Outlook (CVE-2023-23397)
• Máy chủ JBOSS (CVE không xác định)

Tin tặc sử dụng phương pháp tiếp cận "phun và cầu nguyện" hung hăng, quét internet để tìm các hệ thống dễ bị tấn công và tấn công chúng hàng loạt. Khi đã vào bên trong, chúng tự nhúng mình bằng các công cụ như web shell và phần mềm Giám sát và Quản lý Từ xa (RMM), đảm bảo kiểm soát lâu dài đối với các hệ thống bị xâm phạm.

Kỹ thuật báo động được sử dụng để duy trì kiểm soát

Khi hệ thống bị xâm phạm, nhóm này sẽ triển khai nhiều kỹ thuật duy trì:

• Triển khai Web Shell: Cung cấp quyền truy cập cửa sau để điều khiển từ xa.
• Công cụ RMM: Cho phép truy cập kín đáo và triển khai phần mềm độc hại tiếp theo.

Trong một số trường hợp, việc truy cập liên tục này diễn ra trước các cuộc tấn công phá hoại, cho thấy tin tặc duy trì khả năng thực hiện cả hai mục đích - gián điệp và phá hoại - tùy thuộc vào nhu cầu quân sự và địa chính trị của Nga.

Mở rộng toàn cầu: Hoa Kỳ và Vương quốc Anh hiện đang trong tầm ngắm

Trong khi Ukraine là trọng tâm chính của các hoạt động mạng của Seashell Blizzard, báo cáo của Microsoft tiết lộ rằng nhóm này đã mở rộng phạm vi hoạt động vào năm 2023, nhắm vào các tổ chức tại Hoa Kỳ và Vương quốc Anh. Sự mở rộng này báo hiệu một sự thay đổi nguy hiểm, cho thấy sách lược chiến tranh mạng của Nga đang mở rộng phạm vi để bao gồm các quốc gia phương Tây.

Một mối đe dọa dai dẳng và ngày càng gia tăng

Microsoft cảnh báo rằng nhóm này không hề chậm lại. Trên thực tế, nhóm này có khả năng sẽ tiếp tục phát triển và triển khai các kỹ thuật sáng tạo để xâm nhập vào các mạng lưới trên toàn cầu. Với cuộc chiến đang diễn ra của Nga tại Ukraine và căng thẳng địa chính trị gia tăng, các cuộc tấn công mạng vào cơ sở hạ tầng quan trọng có thể leo thang thành hậu quả tàn khốc trong thế giới thực.

Bảo vệ tổ chức của bạn khỏi bão tuyết Seashell

Các tổ chức trong các lĩnh vực quan trọng phải hành động ngay lập tức để chống lại mối đe dọa dai dẳng này:

• Vá các lỗ hổng đã biết: Đảm bảo các hệ thống chạy ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire và các phần mềm mục tiêu khác được cập nhật đầy đủ.
• Tăng cường bảo mật mạng: Triển khai xác thực đa yếu tố (MFA), hạn chế quyền truy cập vào các hệ thống nhạy cảm và theo dõi hoạt động bất thường.
• Giám sát tính liên tục: Thực hiện kiểm tra bảo mật thường xuyên để phát hiện các web shell, công cụ RMM hoặc sửa đổi trang đăng nhập và cấu hình DNS trái phép.
• Sẵn sàng ứng phó sự cố: Chuẩn bị cho các cuộc tấn công phá hoại tiềm ẩn bằng cách xây dựng kế hoạch ứng phó toàn diện và đảm bảo các bản sao lưu được an toàn và kiểm tra thường xuyên.

Cảnh báo cuối cùng

Seashell Blizzard và nhóm truy cập ban đầu của nó đại diện cho mối nguy hiểm rõ ràng và hiện hữu đối với cơ sở hạ tầng quan trọng trên toàn cầu. Việc theo đuổi không ngừng nghỉ quyền truy cập liên tục của chúng có thể đóng vai trò là tiền thân của hoạt động phá hoại mạng quy mô lớn, có khả năng phá vỡ mạng lưới năng lượng, nguồn cung cấp nước, hệ thống giao thông và hoạt động của chính phủ. Những phát hiện mới nhất của Microsoft là lời nhắc nhở rõ ràng: Cuộc tấn công mạng lớn tiếp theo có thể đã ẩn núp bên trong các hệ thống quan trọng, chờ đợi tín hiệu để tấn công.