Nguyễn Xuân Phúc » Thế giới » Gián điệp mạng Iran tấn công cơ sở lưới điện Mỹ

(Thế giới) - Ngày 02/08, hãng bảo mật Dragos (Mỹ) báo cáo cảnh báo nhóm gián điệp mạng RASPITE (Leafminer) đang nhắm mục tiêu vào các tổ chức ở Mỹ, Châu Âu, Trung Đông và Đông Á. 

Nhóm RASPITE hoạt động ít nhất từ năm 2017, các chuyên gia phát hiện chiến dịch của chúng nhắm đến chỉnh phủ và các tổ chức khác nhau ở Trung Đông.

“Dragos phát hiện thấy một hoạt động mới nhắm vào hệ thống vận hành truy cập của cơ sở lưới điện. Chúng tôi gọi nhóm này là RASPITE”, báo cáo viết.

Gián điệp mạng Iran tấn công cơ sở lưới điện Mỹ.

Gián điệp mạng Iran tấn công cơ sở lưới điện Mỹ.

“Bản phân tích về chiến thuật, kỹ thuật và quy trình (TTP) tấn công của RASPITE cho thấy nhóm này hoạt động từ khoảng đầu đến giữa năm 2017. Mục tiêu của nhóm gồm có các cơ sở ở Mỹ, Trung Đông, Châu Âu và Đông Á. Chiến dịch nhắm vào tổ chức lưới điện hiện chỉ giới hạn ở Mỹ”.

Tuần rồi, các chuyên gia tại Symantec (Mỹ) đã công bố báo cáo hoạt động của nhóm Leafminer, sử dụng cả 2 loại mã độc tùy chỉnh tự tạo và công cụ có sẵn trên mạng để triển khai các chiến dịch gián điệp.

Theo Symantec, quy mô những chiến dịch của nhóm này có thể còn lớn hơn, chuyên gia Symantec cũng công khai một danh sách, được viết bằng tiếng Ả Rập, với tên của 809 hệ thống mục tiêu mà tin tặc đã dò quét.

Danh sách phân nhóm các tổ chức theo mối quan tâm về địa lý và ngành công nghiệp, bao gồm mục tiêu ở Các Tiểu vương quốc Ả Rập Thống nhất, Quatar, Bahrain, Ai Cập và Afghanistan.

Và bây giờ, Dragos xác nhận rằng chính RASPITE là thủ phạm đằng sau cuộc tấn tấn công nhắm vào nhiều hệ thống kiểm soát công nghiệp ở nhiều bang (của Mỹ).

Theo các chuyên gia, tin tặc đã truy cập vào hệ thống điều hành của cơ sở lưới điện ở Mỹ.

Tin tặc đã triển khai tấn công watering hole, lợi dụng các trang web cung cấp nội dung đáng chú ý về mục tiêu tiềm năng mà nhóm xâm nhập được.

Các chiến dịch của RASPITE trông giống với những chiến dịch của nhiều nhóm khác như DYMALLOY và ALLANITE, tin tặc lây nhiễm từ đường dẫn website đến một nguồn để tạo ra kết nối giao thức SMB với ý định thu thập thông tin đăng nhập Windows.

Tiếp theo, chúng triển khai các dòng lệnh cài đặt mã độc giúp kết nối đến máy chủ C&C, cho phép tin tặc điều khiển máy lây nhiễm.

“Tính đến hiện tại, hoạt động của RASPITE chủ yếu tập trung vào hệ thống truy cập ban đầu của cơ sở lưới điện. Mặc dù tập trung vào cơ sở điều hành ICS, RASPITE vẫn chưa cho thấy khả năng có thể gây ra lên hệ thống ICS. Điều này có nghĩa là nhóm này nhắm vào cơ sở điện, nhưng hiện vẫn chưa thấy dấu hiệu phá hoại của một cuộc tấn công ICS như sự mất điện trên diện rộng đã xảy ra ở Ukraine”, báo cáo cho biết.

(Hồng Anh lược dịch từ Security Affairs)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenxuanphuc.org
Thích và chia sẻ bài này trên: