Đơn vị nghiên cứu và thông tin về mối đe dọa của Google Cloud, Mandiant, hôm nay đã chính thức quy kết các chiến dịch chiến tranh và gián điệp mạng được thực hiện bởi một tác nhân người Nga được biết đến rộng rãi với cái tên Sandworm, ghim các cuộc tấn công của nó vào một nhóm mối đe dọa dai dẳng (APT) mới, độc lập mà từ đó trở đi nó sẽ thực hiện được theo dõi dưới dạng APT44.
Với các cuộc xâm nhập bắt đầu từ việc Nga sáp nhập Crimea bất hợp pháp vào năm 2014, APT44 đã hoạt động được hơn một thập kỷ và đã tham gia vào nhiều cuộc tấn công mạng cấp nhà nước cấp cao của Nga, bao gồm cả các cuộc tấn công hack và rò rỉ vào cuộc bầu cử Hoa Kỳ năm 2016, cuộc bầu cử Hoa Kỳ năm 2016. Sự cố NotPetya và các cuộc tấn công vào Thế vận hội mùa đông Olympic 2018 ở Hàn Quốc.
Kể từ cuối năm 2021, hoạt động của nó chủ yếu tập trung vào Ukraine, nơi nó giúp đặt nền móng cho cuộc tấn công vào Kyiv vào tháng 2 năm 2022 của Moscow với một chiến dịch tấn công mạng triển khai phần mềm độc hại xóa sạch. Kể từ đó, đơn vị này đã tiến hành nhiều cuộc tấn công nhằm vào các mục tiêu ở Ukraine.
APT44 được điều hành bởi Đơn vị 74455 tại Trung tâm Công nghệ Đặc biệt Chính (GTsST) tại Tổng cục Chính của Bộ Tổng tham mưu các Lực lượng Vũ trang Liên bang Nga (GU), hay còn gọi là Tổng cục Tình báo Chính (GRU), do Joseph thành lập. Stalin trong thời kỳ Xô Viết, mặc dù không nên nhầm lẫn với KGB.
Dan Black, người quản lý mạng cho biết: “APT44 là tác nhân đe dọa trắng trợn nhất, giữa một trong những chiến dịch hoạt động mạng dữ dội nhất mà chúng tôi từng thấy, nhằm hỗ trợ toàn diện cho cuộc chiến tranh xâm lược lãnh thổ của Nga”. phân tích gián điệp tại Mandiant và là một trong những tác giả chính của báo cáo mới của Mandiant về APT44. “Ngày nay, không có tác nhân đe dọa nào khác đáng được chúng ta chú ý hơn và mối đe dọa APT44 đặt ra đang phát triển nhanh chóng.
Ông nói: “Trong suốt cuộc chiến, chúng tôi đã thấy quan điểm của APT44 chuyển từ gián đoạn sang hoạt động gián điệp nhằm mang lại lợi thế trên chiến trường cho các lực lượng thông thường của Nga”. “Điều này không có nghĩa là việc phá hoại là không cần bàn cãi, nhưng APT44 dường như đã tính toán kỹ hơn nhiều về các mục tiêu mà nó theo đuổi cũng như những khả năng mà nó lựa chọn sử dụng. Đây là một đối thủ có khả năng thích ứng cao và sáng tạo, rõ ràng đang tiếp thu các bài học về cách hoạt động mạng có thể hỗ trợ tốt nhất cho một cuộc chiến lâu dài và đang điều chỉnh các phương pháp của mình cho phù hợp.”
Mandiant cho biết các hoạt động của APT44 nhằm hỗ trợ các mục tiêu của Moscow đã được chứng minh là “có khả năng thích ứng về mặt chiến thuật và hoạt động”, đồng thời hoạt động này được tích hợp rất tốt với các hoạt động của quân đội Nga. Nó nói thêm rằng không có chính phủ Nga nào khác (APT) đóng vai trò trung tâm hơn trong việc định hình cuộc chiến tranh thông thường ở Ukraine.
Tại sao bây giờ?
Các chuyên gia an ninh mạng có xu hướng nhất trí rằng việc ghi công là một quá trình phức tạp đòi hỏi phải nghiên cứu và đánh giá bằng chứng một cách kỹ càng. Điều này đúng ngay cả khi hoạt động của một nhóm cụ thể được biết đến rộng rãi trong cộng đồng bảo mật và được ghi lại rộng rãi trong các bài đăng trên blog, tài liệu nghiên cứu và trên các phương tiện truyền thông.
Nếu thậm chí còn có một chút nghi ngờ đối với bằng chứng sẵn có, thì việc quy kết chắc chắn bất kỳ chiến dịch mạng nào cho một cá nhân hoặc nhóm đã biết là cực kỳ vô ích, thậm chí là không khôn ngoan, ngay cả khi có mục đích tốt. Làm như vậy có thể gây ra vấn đề cho những người bảo vệ, những người có thể nhầm lẫn khi đuổi theo sai thứ và gây ra những hậu quả không lường trước được khác. Nó thậm chí có thể khiến những kẻ đe dọa khó chịu, những người nổi tiếng là tự ám ảnh và mỏng manh, và khiến họ tấn công theo những cách không lường trước được.
Như vậy, cho đến nay vẫn chưa thể đưa ra những tuyên bố tự tin về bản chất chính xác của Sandworm vì một số lý do – trong số đó nói về sự chồng chéo hoạt động giữa APT44 và các nhóm khác như APT28 (còn gọi là Fancy Bear) – thực sự là như vậy “ ngồi bên kia hành lang” dưới sự bảo trợ của Đơn vị 26165 của GTsST (theo Mandiant, hai hoạt động này có thể đã hợp tác cùng nhau trong một số chiến dịch nổi tiếng).
Nhưng bằng cách đặt cho nó một tên gọi chính thức và tự tin, Mandiant cho biết những người bảo vệ trên toàn cầu sẽ dễ dàng xác định và theo dõi hoạt động của nó hơn, chia sẻ thông tin tình báo một cách thích hợp hơn với hy vọng cản trở các mục tiêu của nhóm.
Tại sao họ cần phải làm như vậy? Bởi vì, Mandiant cho biết, mối đe dọa do APT44 gây ra không chỉ giới hạn ở Ukraine. Các hoạt động của APT44 đã được quan sát trên khắp thế giới và do nhóm này có lịch sử can thiệp vào các quá trình dân chủ, nên mối đe dọa tiềm tàng của nó sẽ tăng cao vào năm 2024 do số lượng cuộc bầu cử diễn ra có khả năng trở thành mục tiêu cho sự can thiệp của Nga.
Thật vậy, Mandiant mô tả APT44 là mối đe dọa dai dẳng và có mức độ nghiêm trọng cao đối với cả chính phủ và nhà điều hành cơ sở hạ tầng quan trọng của quốc gia ở những quốc gia mà Nga nhận thấy họ có lợi ích quốc gia, bao gồm cả Vương quốc Anh. APT44, với khả năng tiên tiến, khả năng chấp nhận rủi ro cao và nhiệm vụ hỗ trợ các mục tiêu chính sách đối ngoại của Điện Kremlin, khiến các tổ chức như vậy có nguy cơ rơi vào nanh vuốt của nó mà không cần thông báo trước.
Thêm vào đó, Mandiant cho biết APT44 thể hiện nguy cơ phổ biến đáng kể đối với các chiến thuật, kỹ thuật và quy trình tấn công mạng mới, hạ thấp rào cản gia nhập đối với cả những kẻ đe dọa được nhà nước hậu thuẫn và có động cơ tài chính để phát triển các chiến dịch của riêng họ.
Nhìn về phía trước, các nhà nghiên cứu cho biết APT44 “gần như chắc chắn” sẽ tiếp tục là một trong những mối đe dọa mạng lớn nhất và cao nhất trên toàn cầu trong tương lai gần. Lịch sử của nó liên quan đến một số cuộc tấn công mạng được biết đến rộng rãi nhất trong thập kỷ qua cho thấy “không có giới hạn nào đối với các động lực dân tộc chủ nghĩa” thúc đẩy hoạt động của nó.
Và chỉ vì nó bị ràng buộc ở Ukraine không có nghĩa là nó sẽ không chuyển hướng sang Anh và Mỹ nếu người trả lương của nó cảm thấy làm như vậy là hợp lý. Cuộc đối đầu sắp tới giữa Rishi Sunak với Keir Starmer với Joe Biden và Donald Trump có thể sẽ thu hút sự chú ý của nó.
Black cho biết: “Mối đe dọa từ APT44 không dừng lại ở biên giới Ukraine. “Bất chấp chiến tranh đang diễn ra, chúng tôi vẫn tiếp tục thấy các hoạt động của APT44 trên toàn cầu. Chúng tôi đã chứng kiến nhóm thử nghiệm sử dụng ransomware nhằm vào các mạng lưới vận tải và hậu cần ở Châu Âu.
Ông nói: “Và với một số cuộc bầu cử quan trọng sắp diễn ra, một số cuộc bầu cử trong số đó sẽ định hình quỹ đạo viện trợ quân sự của phương Tây cho Ukraine trong tương lai, lịch sử cố gắng can thiệp vào các tiến trình dân chủ của APT44 có nghĩa là sự cảnh giác đối với nhóm này là vô cùng quan trọng”.