- Nhóm tin tặc Guccifer 2.0 là điệp viên Nga?
- Hé lộ câu chuyện về nhóm tin tặc khét tiếng
- Lật mặt nhóm tin tặc nguy hiểm APT30
Nhóm Turla, được biết đến rộng rãi trên thế giới đã sử dụng hai công cụ hack của Iran là Nautilus và Neuron, để nhắm vào các tổ chức quân sự, chính phủ, học thuật và khoa học tại ít nhất 35 quốc gia khác nhau, theo bản tham mưu chung của Cơ quan An ninh Quốc gia Mỹ (NSA) và Trung tâm An ninh mạng Quốc gia của Anh (NCSC). Cho đến nay, nạn nhân chủ yếu tập trung ở Trung Đông, các quan chức cho biết.
 |
Mặc dù các nhà chức trách trước đây đã gắn cờ việc sử dụng các công cụ của Turla, nhưng lời khuyên mới nhất này cung cấp các chi tiết mới về nguồn gốc và mức độ thiệt hại của chúng. Tiết lộ này vẽ ra một bức tranh về các tin tặc Nga dùng công việc của các đối thủ Iran để thúc đẩy chương trình nghị sự của riêng họ.
Các nhà chức trách cho biết các công cụ Nautilus và Neuron có rất nhiều khả năng có nguồn gốc từ Iran, nhưng Turla đã mua cả hai công cụ vào đầu năm 2018.
Ban đầu, nhóm đã sử dụng phần mềm độc hại kết hợp với một trong những bộ công cụ của riêng mình, được gọi là Snake, nhưng cuối cùng đã bắt đầu nhắm mục tiêu vào nạn nhân với các công cụ trực tiếp.
Theo bản phát hành, Turla đã làm việc để có thêm quyền truy cập vào các mục tiêu bằng cách truy quét các mạng của họ để tìm các cửa hậu đã bị tin tặc Iran chèn vào.
 |
Trong một số trường hợp, các nhà chức trách phát hiện các tin tặc có liên quan đến Turla đã cố gắng truy cập mạng bằng cách sử dụng các bộ cấy đã được khai thác trước đó và sau đó bị phá hủy bởi các nhóm đe dọa dai dẳng của Iran.
Việc theo dõi dòng thời gian của các sự cố và hành vi của Turla trong việc tích cực quét các cửa hậu của Iran cho thấy rằng trong khi các công cụ Neuron và Nautilus có nguồn gốc từ Iran, Turla đã sử dụng các công cụ này và truy cập độc lập để tiếp tục các yêu cầu tình báo của riêng mình, các quan chức nói trong bản tham mưu.
"Mặc dù Turla có một cái nhìn sâu sắc đáng kể về cửa sau của Iran, nhưng họ không có kiến thức đầy đủ về nơi chúng đã được triển khai", bản tham mưu viết.
Những người đứng sau Neuron hoặc Nautilus gần như chắc chắn không biết hoặc đồng lõa với việc sử dụng bộ cấy ghép của Turla. Nhà chức trách phát hiện ra rằng Turla cũng đã đột nhập vào cơ sở hạ tầng chỉ huy và kiểm soát của một nhóm APT ở Iran, được gọi là OilRig hoặc Crambus, và sử dụng nền tảng này làm bệ phóng cho các cuộc tấn công của chính họ. Turla cũng đã đánh cắp các kho dữ liệu, bao gồm các bản ghi và danh sách thư mục chính và các tệp tin từ một tổ chức hack của Iran.
Quyền truy cập này cung cấp cho Turla cái nhìn sâu sắc chưa từng thấy về các chiến thuật, kỹ thuật và quy trình của APT Iran, bao gồm danh sách các nạn nhân tích cực và thông tin đăng nhập để truy cập cơ sở hạ tầng của họ, cùng với mã cần thiết để xây dựng các phiên bản công cụ như Neuron để sử dụng hoàn toàn độc lập với Cơ quan Chỉ huy và Kiểm soát hạ tầng Iran, NSA và NCSC cho biết.
