Microsoft "ra tay" trước nỗ lực tấn công của nhóm hacker Nga

Microsoft nêu rõ, họ đã quan sát thấy các cuộc tấn công nhắm vào các thực thể Ukraine từ Strontium, một tác nhân có liên hệ với cơ quan tình báo quân sự của Nga mà công ty đã theo dõi trong nhiều năm qua. 

Trong tuần này, Microsoft đã ngăn chặn thành công một số cuộc tấn công của Strontium vào các mục tiêu ở Ukraine. Vào ngày 6 tháng 4, Microsoft đã nhận được lệnh tòa án cho phép công ty kiểm soát bảy tên miền internet mà Strontium đang sử dụng để thực hiện các cuộc tấn công này.

Kể từ đó, công ty đã chuyển hướng các miền này đến một "hố sụt"- kiểu là một máy chủ được thiết kế để chuyển hướng lưu lượng miền độc hại do Microsoft kiểm soát, cho phép công ty giảm thiểu việc sử dụng hiện tại của Strontium đối với các tên miền này và bật thông báo cho nạn nhân.

Thực tế, nhóm Strontium đã sử dụng cơ sở hạ tầng này để nhắm mục tiêu các tổ chức ở Ukraine bao gồm các tổ chức truyền thông. Nó cũng nhắm vào các tổ chức chính phủ và các tổ chức tư vấn ở Hoa Kỳ và Liên minh châu Âu có liên quan đến chính sách đối ngoại.

Microsoft tin rằng, nhóm Strontium đang cố gắng thiết lập quyền truy cập lâu dài vào hệ thống của các mục tiêu, cung cấp hỗ trợ chiến thuật cho cuộc xâm lược vật lý và lấy thông tin nhạy cảm. Microsoft đã thông báo cho chính phủ Ukraine và các tổ chức liên quan về hoạt động tấn công và hành động mà công ty đã thực hiện.

Sự can thiệp gián điệp này là một phần của khoản đầu tư dài hạn đang diễn ra của công ty, bắt đầu vào năm 2016, nhằm thực hiện hành động pháp lý và kỹ thuật để chiếm lấy cơ sở hạ tầng đang được sử dụng bởi nhóm Strontium. Microsoft đã thiết lập một quy trình pháp lý cho phép họ có được các quyết định nhanh chóng của tòa án cho công việc này. Trước sự việc mới này, Microsoft đã thực hiện quá trình can thiệp thu giữ tên miền tới 15 lần để giành quyền kiểm soát hơn 100 miền được kiểm soát bởi nhóm Strontium.

Theo Tom Burt, phó chủ tịch phụ trách an ninh và sự tin cậy của tập đoàn Microsoft, gần như tất cả các thành viên quốc gia-nhà nước của Nga hiện đang tham gia vào một cuộc tấn công toàn diện vào cơ sở hạ tầng và chính phủ quan trọng của Ukraine. Không rõ điều gì mà các cuộc tấn công này tìm cách đạt được, nhưng nhiều biến thể phần mềm độc hại phá hoại đã được phát hiện kể từ khi cuộc chiến sự bắt đầu.

Các cuộc tấn công Strontium chỉ là một phần nhỏ của hoạt động mà Microsoft đã thấy ở Ukraine. Trong cuộc xâm lược của Nga, các nhóm của Microsoft đã bắt đầu làm việc suốt ngày đêm để giúp các tổ chức ở Ukraine, bao gồm cả các cơ quan chính phủ, bảo vệ trước cuộc tấn công của chiến tranh mạng đã leo thang kể từ khi cuộc xâm lược bắt đầu và tiếp tục không ngừng. Microsoft tiếp tục hợp tác chặt chẽ với chính phủ và các tổ chức thuộc mọi cấp bậc ở Ukraine để giúp họ chống lại điều này.

Strontium là biệt danh của Microsoft dành cho một nhóm mà những người khác thường gọi là Fancy Bear hoặc APT28 - một nhóm hack có liên hệ với cơ quan tình báo quân sự của Nga. Đại sứ quán Nga tại Washington đã không đưa ra bình luận ngay lập tức nào từ công bố mới này. Trong khi đó, Ukraine đã bị ảnh hưởng bởi các nỗ lực tấn công kể từ khi các lực lượng Nga xâm lược nước này bắt đầu từ ngày 24/2.

Cuộc tấn công này là cuộc tấn công mới nhất trong một loạt các cuộc tấn công liên quan đến cuộc xâm lược Ukraine. Quốc gia này đã bị ảnh hưởng bởi nhiều cuộc tấn công bằng phần mềm độc hại, liên quan đến loạt phần mềm xóa dữ liệu độc hại làm sạch dữ liệu từ một hệ thống được nhắm mục tiêu cũng như các cuộc tấn công botnet chiếm đoạt các thiết bị khác nhau để xâm nhập hệ thống máy tính. Các nhà nghiên cứu của Microsoft tin rằng, chiến dịch gần đây đã tìm cách truy cập lâu dài vào các tổ chức mục tiêu để giúp đỡ nỗ lực chiến tranh chống lại Ukraine và đánh cắp dữ liệu nhạy cảm.  Trong những tuần tới, công ty hy vọng sẽ cung cấp một cái nhìn toàn diện hơn về phạm vi của cuộc chiến tranh mạng ở Ukraine.

Microsoft cho biết họ đã thông báo cho chính phủ Ukraine về sự gián đoạn. Bộ Ngoại giao Ukraine đã chưa có phản hồi ngay lập tức nào, và các quan chức Ukraine cũng vậy. Trong khi đó, Cơ quan An ninh mạng của Liên minh châu Âu (ENISA) cho biết họ đang theo dõi tình hình này chặt chẽ.

Nhóm tin tặc do Nga hậu thuẫn đã hoạt động ít nhất từ năm 2009, nhắm mục tiêu chủ yếu vào các phương tiện truyền thông, quân đội, các tổ chức an ninh và chính phủ trên toàn thế giới, bao gồm vụ tấn công quốc hội liên bang Đức năm 2015 và vụ tấn công chống lại Ủy ban quốc gia đảng Dân chủ năm 2016. Vào tháng 11 năm 2020, Microsoft đã phát hiện các cuộc tấn công nhắm vào nghiên cứu COVID-19 và Strontium là một trong những nhóm có liên quan đến các cuộc tấn công đó.