Nga bị cáo buộc chiếm đoạt hạ tầng của các nhóm tin tặc khác để tấn công quân đội Ukraine
Các nhà nghiên cứu an ninh mạng của Microsoft cho biết nhóm tin tặc Nga có tên Secret Blizzard đã chiếm đoạt hạ tầng của các nhóm tội phạm mạng khác để tấn công các thiết bị điện tử mà quân nhân Ukraine đang sử dụng ở tiền tuyến.
Microsoft cho biết, trong ít nhất hai lần trong năm nay, nhóm tin tặc Nga được theo dõi dưới nhiều tên gọi khác nhau, bao gồm Turla, Waterbug, Snake và Venomous Bear, đã sử dụng máy chủ và phần mềm độc hại của các nhóm tin tặc khác trong các cuộc tấn công nhắm vào lực lượng quân đội tiền tuyến của Ukraine. Trong một trường hợp, Secret Blizzard đã tận dụng cơ sở hạ tầng của một nhóm tội phạm mạng được theo dõi là Storm-1919. Trong trường hợp khác, Secret Blizzard đã chiếm đoạt tài nguyên của Storm-1837, một nhóm tin tặc có trụ sở tại Nga với lịch sử nhắm mục tiêu vào các nhà điều hành máy bay không người lái của Ukraine.
Thông thường, Secret Blizzard sử dụng phương thức spear phishing để xâm nhập ban đầu, sau đó di chuyển ngang thông qua việc xâm nhập máy chủ và thiết bị biên. Microsoft cho biết hành động xoay trục này của nhóm tin tặc là bất thường nhưng không phải là duy nhất. Các nhà điều tra của công ty vẫn chưa biết Secret Blizzard đã có quyền truy cập vào cơ sở hạ tầng này bằng cách nào.
Microsoft nhận định rằng việc Secret Blizzard theo đuổi các điểm tựa do các nhóm tin tặc khác cung cấp hoặc đánh cắp cho thấy nhóm tin tặc này ưu tiên việc truy cập vào các thiết bị quân sự ở Ukraine. Việc sử dụng cơ sở hạ tầng và công cụ của các nhóm khác giúp Secret Blizzard che giấu hoạt động của mình và gây khó khăn hơn cho việc quy kết.
Từ tháng 3 đến tháng 4 năm nay, Secret Blizzard đã sử dụng Amadey, một bot mà Storm-1919 thường sử dụng trong các cuộc tấn công triển khai ứng dụng tiền điện tử XMRIG trên các máy chủ được nhắm mục tiêu trong các chiến dịch đào tiền điện tử. Microsoft đánh giá rằng Secret Blizzard đã sử dụng phần mềm độc hại Amadey như một dịch vụ (MaaS) hoặc truy cập vào bảng điều khiển chỉ huy và kiểm soát (C2) của Amadey một cách lén lút để tải xuống trình thả PowerShell trên các thiết bị mục tiêu. Mục tiêu cuối cùng là cài đặt Tavdig, một backdoor mà Secret Blizzard sử dụng để tiến hành trinh sát trên các mục tiêu quan tâm.
Đầu năm nay, Microsoft cũng quan sát thấy Secret Blizzard sử dụng các công cụ thuộc về Storm-1887 để nhắm mục tiêu vào quân nhân Ukraine. Trong một trường hợp, một thiết bị liên quan đến quân sự ở Ukraine đã bị xâm nhập bởi backdoor Storm-1837 được cấu hình để sử dụng API Telegram. Microsoft đánh giá rằng backdoor Storm-1837 có thể đã được Secret Blizzard sử dụng để triển khai trình tải Tavdig.
Việc Secret Blizzard chiếm đoạt công cụ và hạ tầng của các nhóm tin tặc khác cho thấy sự tinh vi và quyết tâm của nhóm này trong việc thu thập thông tin tình báo. Tuy nhiên, Microsoft cũng lưu ý rằng phương pháp này ít hiệu quả hơn đối với các mạng được bảo mật tốt, nơi các biện pháp phòng thủ điểm cuối và mạng mạnh mẽ cho phép phát hiện các hoạt động của nhiều nhóm tin tặc để khắc phục.