Các chiến dịch tấn công mạng kéo dài của nhóm Turla, một tổ chức tình báo mạng đã hoạt động hơn hai thập kỷ, gần đây đã thu hút sự chú ý sau khi các nhà điều tra công bố chi tiết về các vụ xâm nhập ảnh hưởng đến các tổ chức tại Pháp. Nhóm này nổi tiếng với việc âm thầm đánh cắp thông tin nhạy cảm từ các mục tiêu thuộc chính phủ, ngoại giao, quốc phòng, tư pháp và công nghệ. Bài viết này phân tích chi tiết các phương thức hoạt động và mối đe dọa mà Turla mang lại.
Phương Thức Tấn Công Đa Dạng Của Turla
Thay vì chỉ dựa vào một phương thức duy nhất, các nhà điều hành của Turla đã sử dụng nhiều kỹ thuật để xâm nhập vào hệ thống mục tiêu. Bao gồm các chiến dịch phishing qua email, tấn công vào các trang web bị nhiễm mã độc, khai thác các hệ thống có lỗ hổng đang kết nối với internet, và sử dụng thiết bị mạng đã bị chiếm quyền kiểm soát để thiết lập điểm truy cập ban đầu.
Các chiến dịch này có thể bắt đầu chỉ với một tệp tin tưởng chừng vô hại hoặc một máy chủ được bảo vệ yếu kém, sau đó mở rộng quyền truy cập sâu hơn vào mạng lưới của tổ chức.
Một trong những phương thức đáng chú ý là việc khai thác lỗ hổng liên quan đến Microsoft SharePoint. Các nhà điều tra đã phát hiện các hoạt động liên kết với Turla nhắm vào các thực thể tại Pháp, bao gồm cả các hệ thống lưu trữ thông tin liên lạc nhạy cảm và dữ liệu người dùng.
Vụ việc năm 2019 liên quan đến việc nhóm Turla chiếm quyền kiểm soát một máy chủ thuộc về một tổ chức tư pháp của Pháp. Máy chủ này chứa một dịch vụ đào tạo liên tục cho nhân viên, biến nó thành một điểm xâm nhập lý tưởng vào một môi trường có kết nối với hàng ngàn người dùng.
Các nhà điều tra đã xác định rằng chiến dịch này có thể đã cho phép kẻ tấn công truy cập vào thông tin liên quan đến hàng ngàn tài khoản người dùng, nhấn mạnh cách một nền tảng cộng tác bị lộ có thể tạo ra một vấn đề bảo mật và riêng tư trên diện rộng.
Các hoạt động của Turla đã ảnh hưởng đến các bộ, tổ chức ngoại giao, cơ quan quốc phòng, đơn vị thuộc lĩnh vực tư pháp và các công ty công nghệ tại Pháp từ những năm 2010.
Phạm Vi Ảnh Hưởng Rộng Lớn
Turla nhắm mục tiêu vào nhiều môi trường hệ điều hành khác nhau, bao gồm Windows, Linux và macOS. Bên cạnh đó, các nền tảng email, trình duyệt web, ứng dụng doanh nghiệp và máy chủ web cũng nằm trong danh sách tấn công, tạo điều kiện cho nhóm có một con đường rộng rãi để xâm nhập vào các tổ chức phụ thuộc vào các công cụ doanh nghiệp phổ biến.
Báo cáo cũng mô tả các nạn nhân trung gian, những hệ thống của họ đã bị chiếm quyền và tái sử dụng làm các kênh chuyển tiếp ẩn cho các cuộc tấn công sau này. Phương pháp này làm cho việc phát hiện một vụ xâm nhập trở nên khó khăn hơn, vì một tổ chức bị xâm nhập có thể không phải là mục tiêu cuối cùng của kẻ tấn công.
Một máy chủ, trang web hoặc thiết bị có thể được biến thành một điểm phóng tạm thời, giúp các nhà điều hành ẩn danh tính thực sự của họ trong khi theo đuổi thông tin từ các nạn nhân khác. Kỹ thuật này giúp chúng dễ dàng hòa mình vào lưu lượng mạng hợp pháp.
Công Cụ Và Kỹ Thuật Nâng Cao
Turla liên kết với một bộ sưu tập các họ phần mềm độc hại tùy chỉnh, bao gồm Uroburos (còn gọi là Snake) và Kazuar. Các nhà nghiên cứu lưu ý rằng Kazuar đã tiếp tục phát triển và vẫn được sử dụng vào năm 2026. Đồng thời, các nhà điều hành Turla cũng sử dụng các công cụ công khai như Mimikatz và Metasploit khi chúng hỗ trợ hoạt động xâm nhập hòa lẫn vào các hoạt động quản trị thông thường.
Nhóm này cũng thể hiện khả năng kết hợp nhiều điểm yếu bảo mật trong một chuỗi tấn công duy nhất. Ngoài việc khai thác các lỗ hổng phần mềm, các nhà điều hành còn sử dụng kỹ thuật spearphishing và tấn công watering-hole để dụ dỗ nạn nhân tải xuống các tệp tin được trình bày như phần mềm hợp pháp. Điều này làm tăng rủi ro cho người dùng tin tưởng vào các trang web hoặc tài liệu có giao diện quen thuộc.
Cơ sở hạ tầng đằng sau các hoạt động này được thiết kế để che giấu danh tính của những kẻ điều hành. Các nhà điều tra cho biết Turla đã sử dụng các máy chủ bị xâm phạm hoặc thuê, các trang web chạy hệ thống quản lý nội dung (CMS), truyền thông vệ tinh và mạng lưới các máy tính đã bị nhiễm độc trước đó để quản lý lệnh và thu hồi thông tin bị đánh cắp.
Tầm Quan Trọng Của Việc Cập Nhật Bản Vá Lỗi
Các phát hiện từ Pháp cũng nhấn mạnh lý do tại sao một vụ xâm phạm không nên chỉ được xem là một lỗi kỹ thuật đơn lẻ. Khi kẻ tấn công chiếm quyền truy cập vào một dịch vụ được chia sẻ bởi hàng ngàn người, phạm vi ảnh hưởng tiềm ẩn có thể lan rộng vượt ra ngoài máy chủ ban đầu, tác động đến truyền thông, danh tính, hồ sơ nội bộ và các cơ hội nhắm mục tiêu trong tương lai.
Đối với các chuyên gia bảo mật, trường hợp này củng cố tầm quan trọng của việc áp dụng các bản cập nhật bảo mật nhanh chóng, đặc biệt là đối với các máy chủ SharePoint tiếp xúc với internet và các dịch vụ công cộng khác.
Các tổ chức nên thường xuyên xem xét hoạt động tài khoản, điều tra các hành vi bất thường của máy chủ, hạn chế quyền truy cập quản trị, và đánh giá xem liệu các hệ thống bị xâm phạm có thể đã bị sử dụng làm kênh chuyển tiếp trong một hoạt động lớn hơn hay không. Điều này giúp ngăn chặn các sự cố nghiêm trọng và tổn thất tài chính bằng cách tăng cường phòng thủ chủ động.
Một nguồn tham khảo hữu ích về các phương thức tấn công và các mối đe dọa liên quan có thể tìm thấy tại CISA.










