Với báo cáo do Symantec công bố ngày hôm nay, chúng ta đã biết rằng nguyên nhân chính dẫn đến tình trạng mất điện trên khắp Thổ Nhĩ Kỳ, đặc biệt là trong đợt mất điện quy mô lớn vừa qua ở khu vực Istanbul và Thrace, là do nhóm hacker có tên Dragonfly.
Công ty an ninh mạng Symantec của Mỹ đã cảnh báo rằng tính đến hôm nay, mạng hacker quốc gia đã xâm nhập được vào hệ thống của một số công ty năng lượng của Mỹ và châu Âu, và tính đến hôm nay, họ đang ở trong tình thế nguy hiểm có thể phá hoại cơ sở hạ tầng quan trọng bất cứ lúc nào. .
Nhóm đứng sau các cuộc tấn công này là một nhóm hacker nổi tiếng với thái độ thù địch với cộng đồng an ninh mạng, trước đây hoạt động dưới cái tên Dragonfly, nhưng còn được gọi là Energetic Bear, Crouching Yeti và Iron Liberty.
Dragonfly là một nhóm hoạt động từ năm 2010 nhưng đã biến mất vào năm 2014 khi Symantec công bố báo cáo về hoạt động của nhóm cho đến thời điểm đó.
Dragonfly cải tiến chiến thuật, cải tiến kho phần mềm độc hại
Theo báo cáo mới về hoạt động của nhóm được công bố hôm nay, Dragonfly đã nỗ lực hiện đại hóa hoàn toàn phương thức hoạt động của mình, chứ không phải dừng hoạt động.
Các nhà nghiên cứu của Symantec tuyên bố rằng bằng cách xem xét dữ liệu thu được trong quá khứ, nhóm này đã phát hiện ra các kỹ thuật tấn công mới có từ tháng 12 năm 2015.
Nhóm hacker đã loại bỏ phần mềm độc hại thường được viết và nhiều phần mềm độc hại khác như PowerShell, PsExec và Bitsadmin Windows Nó đã áp dụng phương pháp ‘canh tác’ mới dựa trên việc sử dụng các công cụ quản lý hệ điều hành có sẵn trên trạm.
Nhóm này cũng đã chuyển sang sử dụng phần mềm độc hại truyền thống, phát hành phần mềm nguồn mở có tên ‘Phsery’, một loại bộ công cụ đánh cắp thông tin xác thực có sẵn trên GitHub.
Hacker chuyển sang giai đoạn thứ hai
Các chuyên gia cũng quan sát sự thay đổi mục tiêu. Trong khi các cuộc tấn công đầu tiên của chúng, được phát hiện cho đến năm 2014, tập trung vào việc tìm hiểu cách thức hoạt động của các cơ sở năng lượng, thì các cuộc tấn công gần đây lại tập trung vào việc giành quyền truy cập vào các hệ thống vận hành. Đến mức nhóm hiện có thể phá hoại hoặc kiểm soát các hệ thống này bất cứ khi nào họ muốn.
Chuồn chuồn với rất nhiều cuộc tấn công được phát hiện 2.0 Cuộc tấn công cuối cùng, được ghi dưới cái tên, hoạt động tích cực hơn nhiều so với cuộc tấn công đầu tiên.
Chuồn chuồn theo Symantec 2.0 các cuộc tấn công đã được thực hiện ở Mỹ, Thụy Điển và Thổ Nhĩ Kỳ. Báo cáo của Symantec cho biết “Mỹ và Thổ Nhĩ Kỳ cũng nằm trong số các quốc gia bị nhắm tới trong các cuộc tấn công trước đây của nhóm, nhưng các cuộc tấn công vào các tổ chức ở Thổ Nhĩ Kỳ dường như đã gia tăng đáng kể trong chiến dịch gần đây nhất”.
DHS và FBI đã cảnh báo các công ty năng lượng về các cuộc tấn công vào tháng Bảy. Trong cuộc tấn công này, Dragonfly đã khéo léo khai thác một số loại lỗ hổng Word để đánh cắp thông tin tài khoản được lưu trữ trên mạng nội bộ thông qua các yêu cầu SMB giả mạo ẩn trong tệp mẫu Word.
Nguồn: https://www.bleepingcomputer.com/news/security/sabotage-warning-issued-on-hackers-hiding-deep-inside-energy-sector/
