Microsoft mới đây đã đưa ra một thông báo ngắn cảnh báo về một làn sóng tấn công mạnh mẽ được thực hiện bởi các hacker người Nga, nhắm mục tiêu vào hàng chục tổ chức thể thao và cơ quan phòng chống doping trên toàn thế giới.
Bên cạnh việc gấp rút thực hiện công tác chuẩn bị cho kỳ Thế vận hội Mùa hè 2020 sắp tới sẽ diễn ra tại Tokyo, Nhật Bản còn cần sẵn sàng tinh thần để chống chọi với các cuộc tấn công mạng tinh vi, đặc biệt đến từ các nhóm hacker được nhà nước bảo trợ.
Các cuộc tấn công này bắt nguồn từ một nhóm hacker có nguồn gốc từ Nga thường được biết đến với nhiều tên gọi khác nhau như Fancy Bear, APT28, Sofacy, X-agent, Sednit, Sandworm và Pawn Storm. Các cuộc tấn công được cho là có liên quan tới Thế vận hội Mùa hè 2020 sắp diễn ra ở Tokyo.
Fancy Bear được cho là có liên kết với Chính phủ Nga
Nhóm hacker Fancy Bear được cho là có liên kết với cơ quan tình báo quân đội GRU của Nga và đã hoạt động ít nhất là từ năm 2007.
Trong ba thập kỷ qua, nhóm này được ghi nhận là đã thực hiện nhiều phi vụ tấn công mang tính chất chính trị cấp cao, như xâm nhập hệ thống thông tin để điều chỉnh kết quả trong các cuộc bầu cử Tổng thống Mỹ, sử dụng ransomware NotPetya để tấn công các quốc gia, gây mất điện ở thủ đô Kiev của Ukraine hay vi phạm dữ liệu của Lầu Năm Góc.
Động thái mới nhất được ghi nhận bởi nhóm hacker này là vụ tấn công nhằm vào Cơ quan phòng chống doping thế giới (WADA) kể từ ngày 16 tháng 9 sau khi cơ quan này phát hiện các dấu hiệu bất thường trong cơ sở dữ liệu từ phòng thí nghiệm chống doping quốc gia của Nga cảnh báo rằng các vận động viên Nga có thể phải đối mặt với lệnh cấm thi đấu tại Thế vận hội mùa hè Tokyo 2020.
Trung tâm tình báo các mối đe dọa của Microsoft cho biết chỉ một số ít cuộc tấn công trong số này là thành công. Phía công ty cũng đã thông báo cho các tổ chức bị ảnh hưởng và làm việc với một số đơn vị để đảm bảo hệ thống và các tài khoản được giữ an toàn.
16 tổ chức thể thao và chống doping trên toàn thế giới bị tấn công
Microsoft xác nhận nhóm hacker Fancy Bear đã nhắm mục tiêu vào ít nhất 16 tổ chức thể thao và chống doping quốc gia và quốc tế trên khắp ba châu lục. Tuy nhiên Microsoft không tiết lộ danh tính cụ thể của các đơn vị này.
Các kỹ thuật xâm nhập được Fancy Bear sử dụng trong chiến dịch mới nhất liên quan đến “lừa đảo, password spray, khai thác các thiết bị kết nối internet và sử dụng cả các malware nguồn mở và tùy chỉnh”.
Mặc dù những kỹ thuật này vốn rất nổi tiếng và không hề mới, nhưng rõ ràng Fancy Bear đã sử dụng rất hiệu quả trong các cuộc tấn công mạng trước đây nhằm chống lại Chính phủ, quân đội, các tổ chức think tank, công ty luật, tổ chức nhân quyền, công ty tài chính và trường đại học trên toàn thế giới.
Ví dụ, khi nạn nhân mở các tài liệu độc hại được đính kèm trong email, quá trình khai thác sẽ tự động thực thi một số tập lệnh PowerShell trong nền và cài đặt malware trên máy tính của nạn nhân, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị từ xa.
Fancy Bear cũng đã từng tấn công trong các mùa Thế vận hội trước đó
Đây không phải là lần đầu tiên nhóm hacker Fancy Bear nhắm mục tiêu vào các tổ chức chống doping.
Thực tế là Fancy Bear đã từng rò rỉ dữ liệu bí mật về các vận động viên từ Cơ quan chống doping thế giới (WADA) để trả thù cơ quan này vào năm 2016 khi họ có hành động tương tự với các vận động viên của Nga trong Thế vận hội mùa hè Rio 2016.
Nhóm hacker này cũng bị cáo buộc đã tiến hành các cuộc tấn công tương tự do Nhà nước bảo trợ trong Thế vận hội mùa đông Pyeongchang 2018 được tổ chức tại Hàn Quốc thông qua việc sử dụng malware “Kẻ hủy diệt Olympic” (Olympic Destroyer) để phá vỡ mạng lưới chính thức của Thế vận hội mùa đông.
Mặc dù malware không làm gián đoạn nguồn cấp dữ liệu trực tiếp trong lễ khai mạc, nhưng nó đã thành công trong việc làm ngưng hoạt động của trang web chính thức cho Thế vận hội mùa đông trong suốt 12 giờ, làm sập Wi-Fi trong sân vận động Olympic Pyeongchang, chặn nguồn phát TV và internet tại khu vực dành cho báo chí, đồng thời khiến cho người tham dự không thể in vé tham dự sự kiện và nhận các thông tin về địa điểm.
Kích hoạt xác thực hai yếu tố (2FA) để bảo vệ tài khoản và thiết bị
Để bảo vệ bản thân và tổ chức của mình tránh khỏi các mối đe dọa đến từ Fancy Bear và các chiến dịch tấn công mạng tương tự, Microsoft đã khuyến nghị người dùng triển khai lớp bảo mật xác thực hai yếu tố (2FA) trên tất cả các tài khoản email cá nhân và doanh nghiệp, đồng thời kích hoạt cảnh báo bảo mật về các liên kết và tệp từ các trang web đáng ngờ .
Bên cạnh đó, các tổ chức cũng được khuyến khích để nâng cao nhận thức cho nhân viên nhằm chủ động phát hiện ra các cuộc tấn công lừa đảo giúp ngăn chặn khả năng dữ liệu cá nhân và tổ chức bị vi phạm.
THN