Nhóm tin tặc BlackEnergy là thủ phạm vụ NotPetya

Các nhà nghiên cứu ESET (Slovakia) và Kaspersky Lab (Nga)  mới đây công bố báo cáo tiết lộ nhóm gián điệp mạng BlackEnergy APT liên quan đến Nga có thể là thủ phạm đứng sau phát tán mã độc NotPetya (còn có tên PetrWrap, exPetr, GoldenEye, Diskcoder.C) và gây ra các cuộc tấn công toàn cầu ngày 27/06 chấn động toàn cầu vừa qua.

NotPetya đã tấn công hơn 65 quốc gia, nhưng phần lớn nạn nhân của nó tại Ukraine. Trong tổng số gần 20.000 máy bị nhiễm NotPetya, hơn 70% ở quốc gia này.

Cuối tuần trước, các nhà nghiên cứu bảo mật cũng phát hiện ra lý do Ukraine bị tấn công nhiều nhất là do vụ tấn công này được thực hiện bởi cùng nhóm đã gây ra nhiều cuộc tấn công vào mạng lưới điện, hệ thống đường sắt và tổ chức chính phủ Ukraine.

Nhóm này được đặt tên TeleBots, trước đây có tên BlackEnergy hay Sandworm Team. Một trong số các công cụ gắn liền với nhóm này là mã độc xóa sạch dữ liệu KillDisk. Nhưng trong cuộc tấn công gần đây, nó đã được “đóng gói” thêm các khả năng của mã độc tống tiền, và đòi hỏi một khoản tiền chuộc lên đến 222 Bitcoin.

Cụ thể, theo phân tích của các nhà nghiên cứu ESET và Kaspersky, mẫu NotPetya được sử dụng trong cuộc tấn công ngày 27/06 có một loạt các điểm tương đồng với các mã độc BlackEnergy và KillDisk.

Kaspersky Lab tiết lộ, danh sách các phần mở rộng tập tin bị NotPetya nhắm mục tiêu cho thấy những điểm tương đồng với danh sách trong một trong các mã độc mà nhóm BlackEnergy sử dụng vào năm 2015. Cụ thể, các danh sách này tương tự nhau ở thành phần và định dạng đủ để chỉ ra mối quan hệ tiềm năng giữa chúng.

Kaspersky cho biết: “Tất nhiên đây không phải là dấu hiệu của một liên kết chắc chắn, nhưng nó cho thấy sự giống nhau giữa các mã nguồn này”.

Mặt khác, hãng ESET lại tỏ ra tự tin hơn về mối liên hệ giữa TeleBots và NotPetya, và thậm chí cho thấy đây là cuộc tấn công lớn thứ 3 mà nhóm tin tặc này phát động trong năm nay để chống lại Ukraine, với 2 vụ trước xảy ra vào tháng 03 và tháng 05/2017.

Vecto lây nhiễm ban đầu trong vụ NotPetya là qua phần mềm kế toán MEDoc của Ukraine, giống như trong trường hợp vụ tấn công Xdata của nhóm vào tháng 05/2017. Đối với cuộc tấn công vào tháng 3/2017, nhóm này đã xâm nhập một công ty phần mềm khác ở Ukraine (không liên quan đến MEDoc) và đã tiếp cận được các mạng nội bộ của một số tổ chức tài chính nhờ sử dụng đường hầm VPN.

Các nhà nghiên cứu bảo mật cũng tin rằng máy chủ của M.E.Doc, nơi họ phát hiện thấy một backdoor PHP – medoc_online.php – trong một thư mục FTP, có thể đã được sử dụng như một con đường để lây nhiễm các phần mềm độc hại khác.

Hay nói cách khác, nhờ liên tục cập nhật mã độc mà nhóm đã “bí mật triển khai thành công các công cụ của chúng vào các mạng máy tính mục tiêu có giá trị cao”.

Khương Ngọc (dịch từ Security Week)