1. Trang chủ
  2. Bảo mật

Phát hiện nhiều bằng chứng tin tặc NotPetya đứng sau tấn công BadRabbit

Các dấu hiệu kĩ thuật cho thấy một cuộc tấn công mạng vào Nga và các quốc gia khác trong tuần này đã được tiến hành bởi các tin tặc đứng đằng sau một cuộc tấn công tương tự nhưng lớn hơn vào Ukraine hồi tháng 6, các chuyên gia an ninh mạng đã phân tích hai chiến dịch này vào ngày 26/10.

Hãng bảo mật có trụ sở tại Nga Group-IB cho biết virus BadRabbit được sử dụng trong cuộc tấn công tuần này đã chia sẻ một mẩu mã quan trọng tương tự với mã độc NotPetya đã làm tê liệt nhiều doanh nghiệp ở Ukraine và trên toàn thế giới đầu năm nay, cho thấy nhóm này có thể chịu trách nhiệm.

Cuộc tấn công BadRabbit vào Nga, Ukraine và các nước khác ngày 25/10 vừa qua, đã đánh sập hãng thông tấn Interfax của Nga và đình trệ nhiều chuyến bay tại sân bay Odessa của Ukraine.

Nhiều nhà điều tra an ninh mạng đã liên hệ hai cuộc tấn công, trích dẫn những khả năng giống nhau trong lập trình mã độc và các phương thức tấn công, nhưng đã chưa có kết luận trực tiếp.

Dẫu vậy, các chuyên gia cảnh báo việc kết luận các cuộc tấn công mạng là rất khó khăn, khi các tin tặc thường sử dụng các kĩ thuật để che đậy các dấu vết của mình và đôi khi tung hỏa mù các nhà điều tra về nhân thực của chúng.

Các nhà nghiên cứu an ninh tại bộ phận Talos của Cisco cho biết BadRabbit có một số điểm tương tự cùng với NotPetya khi cả hai được dựa trên cùng một mã độc, nhưng những phần mã lớn đã được viết lại và phương thức phát tán virus mới ít phức tạp hơn.

Họ khẳng định BadRabbit đã sử dụng một công cụ tấn công được gọi là Eternal Romance, đã được cho là Cơ quan an ninh quốc gia Mỹ (NSA) triển khai trước khi bị đánh cắp và rò rỉ trực tuyến vào tháng 4/2017.

NotPetya cũng sử dụng Eternal Romance, cũng như công cụ của NSA khác được gọi là Eternal Blue. Nhưng Talos cho biết chúng đã được sử dụng theo một cách khác và không có bằng chứng Bad Rabbit có chứa Eternal Blue.

“Nhiều khả năng cùng nhóm tin tặc đã đứng sau cuộc tấn công ransomware BadRabbit hôm 25/10/2017 và sự lây lan virus NotPetya, tấn công vào các ngành năng lượng, viễn thông và tài chính ở Ukraine vào tháng 6/2017”, Group-IB cho biết trong một báo cáo kĩ thuật.

Matthieu Suiche, một tin tặc của Pháp và sáng lập hãng an ninh mạng có trụ sở tại các Tiểu vương quốc Ả rập thống nhất Comae Technologies cho biết là đồng tình với đánh giá của Group-IB là có “lí do nghiêm túc để xem xét” BadRabbit và NotPetya được hình thành bởi cùng một số người.

Phần lớn các nạn nhân của BadRabbit là ở Nga, với chỉ một vài nạn nhân ở các nước khác như Ukraine, Bulgaria, Thổ Nhĩ Kì và Nhật Bản.

Group-IB cho biết một số phần của virus BadRabbit từ có thời gian từ giữa năm 2014, tuy nhiên cho biết các tin tặc đã sử dụng các công cụ cũ từ các cuộc tấn công trước đây. “Điều này tương ứng với khung thời gian BlackEnergy, khi nhóm này bắt đầu các hoạt động đáng kể vào năm 2014.

Theo ICTPress.

iPhone 8 và 8 Plus chính hãng giảm giá sau một tuần bán ra

Bình luận

  • TTCN (0)