Chiến Lược Sử Dụng Các Công Ty Tư Nhân và Hacktivist trong Hoạt Động Tấn Công Mạng của Nga
Bài viết này tóm tắt các thông tin kỹ thuật quan trọng liên quan đến chiến lược sử dụng các công ty tư nhân và hacktivist của Nga nhằm tăng cường năng lực tấn công mạng. Nội dung tập trung vào các khía cạnh chiến thuật, cơ sở hạ tầng, các chỉ số liên quan đến mối đe dọa (IOCs), cũng như các khuyến nghị và biện pháp giảm thiểu rủi ro.
Tổng Quan
Nga đang tận dụng các công ty tư nhân và hacktivist để gia tăng khả năng tấn công mạng. Chiến lược này bao gồm việc huy động các cá nhân hoạt động độc lập (lone wolves) và các nhóm tội phạm mạng (eCrime groups). Một số nhóm trong số này có thể có quan điểm tư tưởng tương đồng với lợi ích của Nga, trong khi những nhóm khác hợp tác vì mục đích bảo vệ hoặc lợi ích tài chính. Các thông tin rò rỉ đã chỉ ra mối liên hệ tiềm tàng giữa các nhóm này với FSB (Cơ quan An ninh Liên bang Nga), đặc biệt liên quan đến các malware như Conti, TrickBot và BlackBasta.
TTPs (Tactics, Techniques, and Procedures)
Dưới đây là một số chiến thuật và kỹ thuật chính được sử dụng trong các hoạt động này, theo khung tham chiếu MITRE ATT&CK nếu có:
- Externalized Capabilities: Các dịch vụ từ khu vực tư nhân hỗ trợ các hoạt động mạng và ảnh hưởng của Nga. Những dịch vụ này bao gồm thu thập và phân tích dữ liệu, xác định lỗ hổng (vulnerability identification), và đào tạo. Ngoài ra, các dịch vụ này còn giúp xác định những cá nhân có kỹ năng chuyên biệt để các cơ quan tình báo Nga tuyển mộ.
- Information Operations: Các thực thể tư nhân đóng vai trò quan trọng trong việc thiết kế, quản lý và triển khai các chiến dịch ảnh hưởng trên nhiều nền tảng số.
Cơ Sở Hạ Tầng
Dịch Vụ từ Khu vực Tư nhân: Các công ty tư nhân cung cấp các khả năng quan trọng, giúp tăng cường hiệu quả, khả năng mở rộng và phạm vi của các hoạt động mạng của Nga. Họ cung cấp các công cụ và nền tảng phần mềm phục vụ cho việc thu thập, phân tích dữ liệu, xác định lỗ hổng và đào tạo.
IOCs (Indicators of Compromise)
Các chỉ số liên quan đến mối đe dọa được đề cập bao gồm:
- Malware Families: Conti, TrickBot và BlackBasta được cho là có mối liên hệ tiềm tàng với FSB.
- Tools và Software Platforms: Các công cụ tùy chỉnh như BRUTED malware của BlackBasta và Betruger backdoor của RansomHub thường được sử dụng trong các cuộc tấn công. Các công cụ này thường kết hợp với kỹ thuật living-off-the-land (LotL) để giảm thiểu nguy cơ bị phát hiện.
Phân Tích Kỹ Thuật
Phương Pháp Tấn Công: Các tác nhân đe dọa (threat actors) duy trì quyền truy cập trong các môi trường bị xâm nhập trong thời gian dài hơn trước khi bị phát hiện (tăng thời gian lưu trú của kẻ tấn công – attacker dwell time). Chúng cũng sử dụng các dịch vụ đám mây hợp pháp để hỗ trợ việc trích xuất dữ liệu (data exfiltration), hòa lẫn vào lưu lượng mạng thông thường nhằm qua mặt các biện pháp kiểm soát an ninh.
Khuyến Nghị
Để đối phó với các mối đe dọa này, một số khuyến nghị được đưa ra như sau:
- Chia Sẻ Thông Tin Tình Báo Đe Dọa (Threat Intelligence Sharing): Microsoft và CrowdStrike đang hợp tác xây dựng hệ thống phân loại tác nhân đe dọa (threat actor taxonomy) nhằm tối ưu hóa quá trình chia sẻ thông tin tình báo, giảm thiểu thời gian trì hoãn trong việc xác định nguồn gốc đe dọa và nâng cao tốc độ phản ứng với các cuộc tấn công mạng.
- Tổ Chức Sự Kiện An Ninh Mạng: Các sự kiện như Capture The Flag (CTF) hoặc hội nghị kỹ thuật có thể được sử dụng để xác định các cá nhân có kỹ năng đặc biệt, từ đó tạo cơ hội tuyển mộ cho các cơ quan tình báo Nga. Các tổ chức cần cảnh giác với các hoạt động này.
Biện Pháp Khắc Phục (Mitigation)
Kiểm Soát An Ninh Nâng Cao: Việc triển khai các biện pháp kiểm soát an ninh mạnh mẽ, bao gồm giám sát các hoạt động sử dụng dịch vụ đám mây bất thường, có thể giúp phát hiện và ngăn chặn việc trích xuất dữ liệu. Ngoài ra, việc cập nhật phần mềm và công cụ thường xuyên cũng có thể giảm hiệu quả của các malware tùy chỉnh như BRUTED và Betruger.
Kết Luận
Chiến lược sử dụng các công ty tư nhân và hacktivist của Nga cho thấy sự gia tăng đáng kể về năng lực tấn công mạng thông qua việc tận dụng các nguồn lực bên ngoài. Các tổ chức cần tăng cường biện pháp phòng thủ, tập trung vào việc giám sát, chia sẻ thông tin tình báo đe dọa và cập nhật các biện pháp an ninh để giảm thiểu rủi ro từ các mối đe dọa này.
