Trong những năm gần đây, nhiều nhóm hacker của Nga nổi lên như những chủ thể tinh vi nhất trong không gian mạng. Các nhóm này liên tục nghiên cứu các kỹ thuật mới, cũng như sản xuất ra các bộ công cụ ưu việt nhằm phục vụ cho các hoạt động gián điệp mạng.
Ba thập kỷ trôi qua, rất nhiều sự cố xâm nhập dữ liệu gây chấn động được cho là có liên quan tới các nhóm hacker có nguồn gốc từ Nga, chẳng hạn như các cuộc bầu cử Tổng thống Mỹ, tấn công các quốc gia sử dụng ransomware NotPetya, gây mất điện cục bộ ở Thủ đô Kieve của Ukraina hay sự cố vi phạm dữ liệu của Lầu Năm Góc. Các nhóm bị cáo buộc bao gồm Fancy Bear (Sofacy), Turla, Cozy Bear, Sandworm Team và Berserk Bear.
Bên cạnh việc liên tục nâng tầm khả năng trong các cuộc chiến tranh mạng, hệ sinh thái các nhóm APT (Advanced Persistent Threat – Tấn công dai dẳng và có chủ đích vào một thực thể) của Nga cũng đã phát triển thành một cấu trúc rất phức tạp, khiến cho việc phát hiện các đối tượng và vai trò cụ thể là vô cùng khó khăn.
Bản đồ APT của Nga
Giờ đây để minh họa cho một bức tranh rộng lớn và giúp mọi người hiểu rõ hơn về các nhóm hacker của Nga cũng như hoạt động của họ, các nhà nghiên cứu từ Intezer và Check Point Research đã cùng nhau phát hành một bản đồ tương tác dưới dạng web (web-based) cung cấp tổng quan đầy đủ về hệ sinh thái này.
Được đặt tên là “Bản đồ APT của Nga” (Russian APT Map), bất kỳ ai cũng có thể sử dụng bản đồ này để tìm hiểu thông tin về các kết nối giữa các mẫu (sample), các họ (family) malware APT khác nhau và các tác nhân đe dọa (threat actor). Chỉ cần nhấp vào các nút trên bản đồ, bất cứ ai quan tâm cũng có thể thấy được các thông tin này.
Các nhà nghiên cứu cho biết bản đồ về cơ bản cung cấp tất cả những thông tin cần thiết cho bất kỳ ai muốn tìm hiểu về các kết nối và phân bổ của các mẫu, mô-đun, họ malware và các tác nhân cùng tạo nên hệ sinh thái này.
Bằng cách nhấp vào các nút trong biểu đồ, bảng điều khiển bên (side panel) sẽ tiết lộ các thông tin về họ malware mà nút đó thuộc về, cũng như các liên kết đến báo cáo phân tích trên nền tảng của Intezer và các liên kết bên ngoài chuyển hướng đến các bài báo và ấn phẩm liên quan.
Bản đồ chứa gần 22.000 kết nối
Về cơ bản thì bản đồ APT của Nga là kết quả của nghiên cứu toàn diện sau khi các nhà nghiên cứu đã thu thập, phân loại và phân tích hơn 2.000 mẫu malware được cho là được sử dụng bởi các nhóm hacker của Nga, sau đó lập ra bản đồ chứa gần 22.000 kết nối dựa trên 3,85 triệu đoạn mã mà chúng chia sẻ.
Mỗi tác nhân hoặc tổ chức dưới cái ô APT của Nga đều có các nhóm phát triển malware riêng biệt hoạt động trong nhiều năm, có thể tồn tại song song trên các khung (framework) và bộ công cụ malware tương tự nhau.
Các nhóm hacker sử dụng mã riêng
Bản đồ APT của Nga cũng tiết lộ rằng mặc dù hầu hết các nhóm hacker đang sử dụng lại mã của chính mình trong các công cụ và khung khác nhau, nhưng chưa thấy trường hợp có nhóm nào dùng mã của các nhóm khác.
Các nhà nghiên cứu cho biết bằng cách tránh các tổ chức khác nhau sử dụng lại cùng một công cụ trên một loạt các mục tiêu, họ đã khắc phục được rủi ro khi một hoạt động bị xâm phạm sẽ làm lộ ra các hoạt động khác.
Một giả thuyết khác được đưa ra đối với việc các tổ chức khác nhau không chia sẻ mã cho nhau là vì có liên quan tới các vấn đề chính trị nội bộ.
Để khiến cho bản đồ trở nên hiệu quả và cập nhật hơn trong tương lai, các nhà nghiên cứu cũng đã mở nguồn (open-sourced) bản đồ và dữ liệu đằng sau nó. Bên cạnh đó, các nhà nghiên cứu cũng đã phát hành một công cụ quét dựa trên quy tắc Yara, được đặt tên là “Máy dò APT của Nga” (Russian APT Detector). Bất kỳ ai cũng có thể sử dụng để quét một tệp, một thư mục cụ thể hoặc toàn bộ hệ thống để tìm ra các hành vi xâm nhập và lây nhiễm của tin tặc Nga.
Thêm bình luận