Giải mã vụ tấn công mạng nhà máy điện của Israel
Tấn công vào nhà máy điện Dorad của Israel
Vào ngày 8/10/2023, một vụ tấn công mạng lớn vào nhà máy điện Dorad của Israel đã được nhóm tin tặc Cyber Av3ngers công bố trên các diễn đàn ngầm. Nhóm này đã chia sẻ những bức ảnh về vụ tấn công có hình ảnh quốc kỳ Palestine cùng với các thông điệp chính trị ủng hộ lực lượng Hamas. Tuyên bố này được công bố song song với một thông báo khác về việc nhắm mục tiêu vào trang web Dorad bằng một cuộc tấn công từ chối dịch vụ (DoS) để tăng thêm độ tin cậy cho vụ tấn công.
Các nhà nghiên cứu của Kaspersky đã phân tích dữ liệu do Cyber Av3ngers công bố và nhận thấy nó được lấy từ những thông tin rò rỉ cũ hơn của một nhóm tin tặc hacktivist khác tên là Moses Staff.
Moses Staff bị cáo buộc là một nhóm tin tặc đến từ Iran, lần đầu tiên được xác định trên các diễn đàn ngầm vào tháng 9/2021. Hoạt động chính của họ là gây thiệt hại cho các công ty Israel bằng cách đánh cắp thông tin và công bố dữ liệu nhạy cảm.
Ngoài ra, nhóm này cũng nhắm mục tiêu vào các tổ chức từ các quốc gia khác như Ý, Ấn Độ, Đức, Chile, Thổ Nhĩ Kỳ, UAE và Mỹ. Điều quan trọng cần đề cập là không tìm thấy bằng chứng nào liên kết nhóm Cyber Av3ngers và các tin tặc của Moses Staff.
Giới thiệu về Cyber Av3ngers
Có một nhóm tin tặc với tên tương tự được gọi là Cyber Avengers và đã hoạt động ít nhất từ năm 2020. Tuy nhiên, có rất ít bằng chứng kết nối Cyber Avengers với Cyber Aveng3rs hoặc Cyber Av3ngers.
Với cuộc xung đột địa chính trị hiện tại, họ bắt đầu thu hút sự chú ý của công chúng về các hoạt động của mình hơn. Các nhóm tin tặc này chủ yếu nhắm vào các tổ chức của Israel, chủ yếu là những cơ quan vận hành các cơ sở hạ tầng quan trọng của đất nước này. Kể từ năm 2020, Cyber Avengers đã nhận trách nhiệm về vụ cắt điện trên diện rộng và tấn công mạng hệ thống đường sắt của Israel.
Ngày 15/9/2023, một kênh mới đã được tạo trên Telegram với tên @CyberAveng3rs. Kênh này bắt đầu bằng các thông báo liên kết chủ sở hữu của nó với các hoạt động trước đây do Cyber Avengers thực hiện, sau đó thêm thông tin về mục tiêu của họ vào cơ sở hạ tầng quan trọng của Israel, bao gồm cả hệ thống điện và nước.
Bài đăng mới nhất trên kênh này là về một hướng dẫn bảo mật đã được Chính phủ Israel công bố về vấn đề an ninh cơ sở hạ tầng. Nhóm Cyber Avengers đã gửi hướng dẫn qua danh sách các mục tiêu như một sự chế nhạo điều này.
Các tệp tin của Cyber Av3ngers
Các tệp rò rỉ ban đầu của Moses Staff từ năm 2022 không còn có sẵn từ các liên kết ban đầu. Tuy nhiên, các tệp tin vẫn có thể được tìm thấy trên các diễn đàn ngầm khác.
Kho lưu trữ được Moses Staff công bố lần đầu tiên vào tháng 6/2022, nó bao gồm dữ liệu bị rò rỉ từ nhiều công ty ở Israel. Các tệp liên quan đến vụ tấn công nhà máy điện Dorad (bao gồm 11 tệp), có mốc thời gian từ tháng 8/2020 và đến ngày 14/6/2022. Dữ liệu trong kho lưu trữ ở dạng tài liệu PDF cùng với ảnh PNG và JPEG. Một đoạn video cũng được những kẻ tấn công đăng tải song song với vụ rò rỉ dữ liệu.
So sánh các bức ảnh được đăng bởi Cyber Av3ngers và các bức ảnh gốc từ kho lưu trữ của Moses Staff, các nhà nghiên cứu của Kaspersky đưa ra phỏng đoán như sau:
- Cyber Av3ngers đã chụp ảnh từ các tài liệu và video PDF bị rò rỉ của Moses Staff.
- Cyber Av3ngers đã cắt ảnh và thêm ảnh logo trước khi công bố.
Nhìn chung, dữ liệu bị rò rỉ dường như là kết quả của các hoạt động tấn công mạng của Moses Staff, các tệp tin dường như đã bị đánh cắp thông qua việc sử dụng phần mềm độc hại từ các máy tính thuộc các tổ chức mục tiêu và hành vi này đã được thực hiện bởi tin tặc bằng cách sử dụng các công cụ tùy chỉnh như PyDCrypt, DCSrv và StrifeWater.
PyDCrypt là một chương trình viết bằng Python và xây dựng bằng PyInstaller, được sử dụng để lây nhiễm các máy tính khác trên mạng và đảm bảo rằng payload chính DCSrv được thực thi đúng cách.
DCSrv là một tiến trình độc hại giả mạo tiến trình svchost.exe hợp pháp. DCSrv ngăn chặn mọi quyền truy cập vào máy tính và mã hóa tất cả các ổ đĩa của nó bằng công cụ mã hóa mã nguồn mở hợp pháp DiskCryptor.
Trong khi đó, StrifeWater là một Trojan truy cập từ xa (RAT) lén lút được sử dụng trong giai đoạn đầu của cuộc tấn công để che giấu hành vi. Ngoài ra, nó còn có khả năng thực thi lệnh từ xa và chụp ảnh màn hình.
Vì Moses Staff không cố gắng thu lợi tài chính và mục tiêu trọng tâm của nhóm tin tặc này là gây thiệt hại cho đối phương nên thường không có cách nào để trả tiền chuộc và giải mã dữ liệu.
Kết luận
Dựa trên thông tin được cung cấp và phân tích thông tin đó, vụ tấn công mạng của Cyber Av3ngers được thực hiện từ một lần vi phạm bảo mật trước đó và không phải là kết quả của bất kỳ hoạt động truy cập trái phép mới nào vào dữ liệu.
Tuy nhiên, các tác nhân đe dọa như Moses Staff với mục tiêu đến người dùng cá nhân và các tổ chức chính phủ, đặc biệt là trong các môi trường cơ sở hạ tầng quan trọng, vẫn đang hoạt động.
Điều quan trọng là phải phân tích kỹ lưỡng những sự cố như vậy để hiểu rõ bản chất của dữ liệu bị xâm phạm, cách lấy được dữ liệu đó và liệu có lỗ hổng bảo mật nào bị khai thác hay không. Ngoài ra, nó nhấn mạnh tầm quan trọng của việc duy trì các biện pháp an ninh mạng mạnh mẽ để bảo vệ khỏi các mối đe dọa mới và tái diễn đối với hệ thống công nghệ thông tin và công nghệ vận hành (OT).
Hồng Đạt