Một nhóm hacker Nga có bí danh APT29 hay Cozy Bear, bị hãng bảo mật Volexity tố đã thực hiện các cuộc tấn công phishing vào nhiều tổ chức của Mỹ sau khi ông Donald Trump lên làm Tổng thống.

Không lâu sau khi ứng cử viên Đảng Cộng hòa Donald Trump chính thức thắng cử Tổng thống Mỹ, một nhóm hacker được cho là của Nga đã tiến hành hàng loạt vụ tấn công mạng nhằm vào các cơ quan, tổ chức Mỹ. Các cơ quan bị tấn công bao gồm trường đại học, Viện chính sách, tổ chức phi chính phủ, và thậm chí là bên trong chính phủ Mỹ.

Để thực hiện hành vi của mình, hacker đã gửi một loạt email lừa đảo, tìm cách lừa nạn nhân mở các file đính kèm vốn là những cái "bẫy" chứa malware. Chúng cũng lừa nạn nhân click vào các link độc hại, theo phát hiện của hãng bảo mật Volexity. Theo những quan sát của hãng này, có tới 5 vụ tấn công được hacker thực hiện sau khi Donald Trump đắc cử. Một số nạn nhân mà hacker nhắm vào là nhân viên của các tổ chức như Đài châu u tự do (Radio Free Europe), Đài Tự do (Radio Liberty), Hội đồng Atlantic, RAND Corporation, Bộ Ngoại giao…

Một trong số các email lừa đảo bao gồm bức email giả danh là được chuyển tiếp từ Clinton Foundation, với người gửi là giáo sư tại trường Havard. Email này dùng địa chỉ thật của vị giáo sư, và theo người sáng lập Volexity là Steven Adair, nhiều khả năng email của giáo sư này đã bị hacker chiếm quyền điều khiển. Hacker sau đó đã dùng email chiếm đoạt được để phát tán thư giả mạo. Một trong số các nạn nhân chia sẻ rằng, sau khi thấy bức thư, cô gần như đã tin tưởng nó là thật.

Yep, got one this morning with a message allegedly from Harvard explaining "Why American Elections are Flawed" https://t.co/W7UbWMv09x

— Maeve Whelan-Wuest (@maeveww) November 9, 2016

Một nạn nhân từng làm việc tại một tổ chức phi chính phủ, nói rằng cô đã click vào file ZIP và mở nó, tuy nhiên, phần mềm diệt virus trên máy không hề cảnh báo rằng đó là malware. Rất may sau khi nghĩ lại "Ngay trước khi mở file, tôi bắt đầu nghĩ về ngôn ngữ cẩu thả trong email. Đó không phải cách nói chuyện của một vị giáo sư. Đó là chưa kể việc vì sao Clinton Foundation lại gửi thông tin về cuộc bầu cử. Mọi thứ không hợp lý" - nạn nhân (yêu cầu được giấu tên) chia sẻ.

Hacker Nga tan cong My sau khi Donald Trump dac cu Tong thong - Anh 1

Ảnh chụp màn hình một trong những email lừa đảo được Volexity chia sẻ.

Cô nói thêm: "Nếu ngôn ngữ bớt cẩu thả hơn và giống với cách nói chuyện của một vị giáo sư hơn, tôi có thể đã bị mắc bẫy".

Adair, người điều tra các vụ tấn công và phân tích malware, nói rằng các hacker đến từ một nhóm có bí danh APT29 hay Cozy Bear, một trong 2 nhóm hacker Nga đã tấn công vào Ủy ban Quốc gia Dân chủ DNC trước bầu cử. Hacker rõ ràng đã lợi dụng thời điểm sau bầu cử, khi sự quân tâm của xã hội đến vị tổng thống mới, lên cao, để tiến hành tấn công. Tuy nhiên, chúng đã có sự chuẩn bị kỹ càng từ trước. Dù không phải là dạng phức tạp, tấn công phishing cũng đủ để có thể lừa vài người click hay mở file đính kèm (Adair không chắc liệu đã có nạn nhân nào dính bẫy của hacker hay chưa).

Các tổ chức bị hacker nhắm đến sử dụng nhiều loại chương trình diệt virus khác nhau. "Email của hacker, dù không phải 100%, nhưng hầu hết đều có thể lọt qua bộ lọc của chương trình diệt virus. Chúng không bị phát hiện, không bị gắn cờ cảnh báo" - Adair chia sẻ.

Cũng theo phân tích của chuyên gia này, malware được ẩn trong một file ảnh bằng kỹ thuật steganography (kỹ thuật ẩn dấu một file nào đó bên trong một file khác trông bề ngoài rất vô hại). Nó được thiết kế để cấy backdoor vào máy tính nạn nhân. Malware cũng được lập trình để khiến các nhà nghiên cứu bảo mật gặp khó trong việc lần ra nguồn gốc hacker hay giảm thiểu thiệt hại cho nạn nhân.

"Ngay cả khi bạn là người nghiên cứu bảo mật và biết malware là nguy hiểm, thì mọi việc cũng không đơn giản và giải pháp có thể đưa ra trong thời gian ngắn. Mọi thứ cần phải có thời gian để phân tích. Điều này giúp cho hacker có thời gian để thực hiện các hành động mà chúng muốn, đặc biệt là trước khi malware được phát hiện ra" - Adair giải thích.

MT (Theo Motherboard)