Công ty an ninh Nga Kaspersky đã công bố nghiên cứu mới, thêm một mảnh ghép khác vào bức tranh của một nhóm hacker mà các nhà nghiên cứu cho rằng hoạt động của họ có vẻ kéo dài lâu hơn so với những gì mọi người trước đây đã nhận thức.
Nghiên cứu được công bố tuần trước từ công ty an ninh Malwarebytes đã làm sáng tỏ hơn về một nhóm hacker, Red Stinger, đã tiến hành các hoạt động gián điệp chống lại cả nạn nhân ủng hộ Ukraine ở trung Ukraine và nạn nhân ủng hộ Nga ở miền đông Ukraine. Những phát hiện này làm tò mò vì sự pha trộn về tư tưởng của các mục tiêu và thiếu liên kết với các nhóm hacker đã biết trước. Vài tuần trước khi Malwarebytes công bố báo cáo của mình, Kaspersky cũng đã công bố nghiên cứu về nhóm, mà họ gọi là Bad Magic, và cũng kết luận rằng mã độc hại được sử dụng trong các cuộc tấn công không có liên kết với bất kỳ công cụ hacking đã biết nào khác. Nghiên cứu mà Kaspersky công bố hôm nay cuối cùng đã liên kết nhóm với các hoạt động trước đó và cung cấp một số ngữ cảnh sơ bộ để hiểu về động cơ có thể của những kẻ tấn công.
Kết hợp nghiên cứu của Malwarebytes với những gì họ tìm thấy độc lập, các nhà nghiên cứu của Kaspersky đã xem xét dữ liệu telemetri lịch sử để tìm kiếm liên kết. Cuối cùng, họ phát hiện ra rằng một số cơ sở hạ tầng đám mây và mã độc hại mà nhóm sử dụng có sự tương đồng với các chiến dịch gián điệp ở Ukraine mà công ty an ninh ESET xác định vào năm 2016, cũng như các chiến dịch mà công ty CyberX phát hiện vào năm 2017.
“Malwarebytes đã tìm hiểu thêm về giai đoạn nhiễm trùng ban đầu, và sau đó họ tìm hiểu thêm về “bộ cài đặt” được sử dụng trong một số cuộc tấn công của nhóm từ năm 2020,” nói Georgy Kucherin, một nhà nghiên cứu mã độc hại của Kaspersky. “Sau khi công bố báo cáo của chúng tôi về mã độc hại, chúng tôi quyết định xem xét dữ liệu lịch sử về các chiến dịch tương tự có các mục tiêu tương tự và đã xảy ra trong quá khứ. Đó là cách chúng tôi phát hiện ra hai chiến dịch tương tự từ ESET và CyberX, và chúng tôi kết luận với độ tin cậy trung bình đến cao rằng các chiến dịch này liên kết với nhau và có khả năng lớn là do cùng một bên thực hiện.”
Hoạt động khác nhau qua thời gian có victimology tương tự, có nghĩa là nhóm tập trung vào cùng loại mục tiêu, bao gồm cả các quan chức làm việc cho các phe ủng hộ Nga trong Ukraine và các quan chức, chính trị gia và cơ quan chính phủ Ukraina. Kucherin cũng lưu ý rằng anh và đồng nghiệp của mình phát hiện ra sự tương đồng và nhiều lớp che phủ trong mã của các plugins được sử dụng bởi mã độc hại của nhóm. Một số mã thậm chí có vẻ được sao chép và dán từ một chiến dịch sang chiến dịch khác. Và các nhà nghiên cứu thấy việc sử dụng lưu trữ đám mây và định dạng tệp đặc trưng trên các tệp mà nhóm xuất khẩu đến máy chủ của họ là giống nhau.
Nghiên cứu của Malwarebytes được công bố tuần trước ghi chép về năm chiến dịch từ năm 2020 của nhóm hacker, bao gồm một chiến dịch nhắm vào một thành viên của quân đội Ukraine làm việc trên cơ sở hạ tầng quan trọng của Ukraine. Một chiến dịch khác nhắm vào các quan chức bầu cử ủng hộ Nga ở miền đông Ukraine, một cố vấn của Ủy ban Bầu cử Trung ương của Nga và một người làm việc trong lĩnh vực giao thông vận tải khu vực đó.
Vào năm 2016, ESET ghi chép về hoạt động mà họ gọi là “Chiến dịch Mồi Cần”: “Điểm chính làm cho Chiến dịch Mồi Cần nổi bật so với các cuộc tấn công khác là nó chủ yếu nhắm vào các phe ly khai chống chính phủ ở Cộng hòa Nhân dân Donetsk và Luhansk tự xưng. Mặc dù những kẻ tấn công dường như quan tâm hơn đến các lực lượng ly khai và chính phủ tự xưng ở khu vực chiến tranh miền đông Ukraine, nhưng cũng có một số lượng lớn các mục tiêu khác, bao gồm cả quan chức chính phủ Ukraina, chính trị gia và nhà báo.”
Trong khi đó, Malwarebytes phát hiện ra một chiến thuật đặc biệt xâm lược mà nhóm sử dụng trong một chiến dịch gần đây hơn là ghi âm trực tiếp từ micro của các thiết bị bị nhiễm bệnh của nạn nhân, ngoài việc thu thập dữ liệu khác như tài liệu và ảnh chụp màn hình. Năm 2017, CyberX đặt tên cho chiến dịch mà họ đang theo dõi là “Chiến dịch Rơi Rớt” vì chiến dịch gián điệp nhắm vào nhiều nạn nhân Ukraina “nghe lén các cuộc trò chuyện nhạy cảm bằng cách điều khiển từ xa micro máy tính để bí mật ‘đặt thiết bị nghe’ lên mục tiêu của mình.”
Trong công việc của mình tuần trước, Malwarebytes không thể đưa ra kết luận về những cá nhân đứng sau nhóm và liệu họ có liên quan đến lợi ích của Nga hay Ukraina không. Năm 2016, ESET tìm thấy bằng chứng chứng minh rằng mã độc hại của Chiến dịch Mồi Cần đã được sử dụng từ năm 2008 và đặt hoạt động này cho Ukraina.
“Nghiên cứu của chúng tôi về những chiến dịch tấn công này và mã độc hại [Mồi Cần] cho thấy mối đe dọa này là mã độc hại Ukraina công khai đầu tiên được biết đến được sử dụng trong các cuộc tấn công có mục tiêu,” ESET viết vào năm 2016.
Kaspersky trích dẫn kết luận này trong nghiên cứu mới của mình nhưng lưu ý rằng công ty không tham gia vào việc xác định quốc gia nguồn gốc và không điều tra hoặc xác minh các phát hiện của ESET.
Kucherin nói rằng nhóm này đã có thể duy trì sự ẩn nấp chủ yếu vì các cuộc tấn công của họ thường được hướng đến một số người rất nhỏ, tập trung vào tối đa vài chục người mỗi lần thay vì triển khai tấn công khai thác hàng loạt. Nhóm cũng viết lại các trang thiết bị mã độc hại của mình, làm cho chúng khó kết nối cho đến khi bạn có hình ảnh đầy đủ về nhiều chuỗi tấn công. Ông cũng thêm rằng Ukraine đã là một chiến trường số mạng cực kỳ căng thẳng trong nhiều năm nên các nhà nghiên cứu dường như đã bị xao lạc bởi các bên và hoạt động khác.
“Điều thú vị nhất, thậm chí có thể gây sốc, là nhóm đã hoạt động trong 15 năm. Đó là một khoảng thời gian lớn, và khá hiếm khi bạn có thể kết nối một chiến dịch với một chiến dịch khác đã diễn ra cách đây nhiều năm,” Kucherin nói. “Chúng ta sẽ thấy thêm hoạt động từ họ trong tương lai. Theo ý kiến của tôi, khả năng cao là họ sẽ không dừng lại. Họ rất kiên trì.”