Cozy Bear: Hacker Nga trong 'tầm ngắm' của tình báo phương Tây
Cozy Bear, nhóm tin tặc nhiều lần bị tình báo phương Tây nghi ngờ có liên quan tới tình báo Nga và đứng sau nhiều vụ tấn công vào các cơ quan chính phủ trên thế giới.
Nhóm hacker Cozy Bear (APT29) được cho là đứng sau các cuộc tấn công và đánh cắp nghiên cứu vaccine Covid-19 trên thế giới. (Nguồn: rferl.org)
Ngày 17/7, Reuters đưa tin các nước phương Tây gồm Anh, Mỹ và Canada đồng loạt cáo buộc các tin tặc (hacker) đã và đang tổ chức các đợt tấn công mạng để lấy cắp những dữ liệu liên quan đến việc phát triển vaccine Covid-19 từ các tổ chức y tế và học thuật trên thế giới. Chính phủ ba quốc gia này cũng cáo buộc điện Kremlin đang mở ra một mặt trận gián điệp mới với phương Tây.
Những cáo buộc này được Trung tâm An ninh mạng Quốc gia Anh (NCSC) đưa ra. NCSC cũng chỉ ra rõ rằng, nhóm hacker thực hiện các cuộc tấn công này là APT29, còn được biết đến dưới cái tên Cozy Bear, nhiều lần bị nghi ngờ nằm dưới trướng của các cơ quan tình báo Nga. Thậm chí, NCSC khẳng định “chắc chắn tới 95%” Cozy Bear là một phần của tình báo Nga.
Cozy Bear là ai?
Các nhà nghiên cứu mạng cho biết rất có thể Cozy Bear có liên kết mật thiết với Tổng cục Tình báo Nước ngoài (SVR), cũng như có thể phối hợp với Tổng cục An ninh Liên bang Nga, cơ quan an ninh hàng đầu quốc gia.
Theo Radio Free Europe, Cozy Bear có thể đã xuất hiện từ năm 2008 và mục tiêu chính của nhóm hacker này là các công ty, trường đại học, viện nghiên cứu và chính phủ trên khắp thế giới. Nhóm này được biết đến với việc sử dụng các kỹ thuật tinh vi để xâm nhập các mạng máy tính, nhằm thu thập thông tin tình báo cho các nhà hoạch định chính sách của điện Kremlin.
Năm 2014, tờ de Volskrant cho biết các nhân viên tình báo Hà Lan đã xâm nhập thành công vào một nhóm hacker đang làm việc tại một tòa nhà văn phòng không cách xa điện Kremlin là bao. Họ đột nhập hệ thống camera an ninh của tòa nhà đó để điều tra nỗ lực tấn công tin tặc từ Nga và lần đầu ghi nhận hoạt động của Cozy Bear và thậm chí là nhận diện được các thành viên của tổ chức này.
Phát hiện này càng được củng cố thêm bởi nghiên cứu về malware do Cozy Bear sử dụng, trong đó cho thấy một công cụ mang tên Hammertoss chỉ hoạt động vào giờ hành chính ở Moscow và Saint Petersburg. Các nhà nghiên cứu cũng nhận thấy các vụ tấn công thường ngừng lại trong những ngày lễ của Nga, cho thấy nhóm hacker cũng được nghỉ lễ và các phần mềm độc hại cũng ngừng hoạt động.
Phương pháp tinh vi
Vụ tấn công nhằm vào nghiên cứu vaccine Covid-19 có nhiều dấu hiệu điển hình của Cozy Bear. Một trong số đó là kiểu khai thác “spear phishing”, nhằm vào một người hoặc tổ chức bằng cách thu thập, dùng thông tin có thể nhận dạng được, như tên của họ hàng hoặc bạn thân. Bên cạnh đó là malware có khả năng âm thầm thu dữ liệu từ những hệ thống bị nhiễm.
GS. Alan Woodward, chuyên gia khoa học máy tính ở Đại học Surrey (Anh) cho biết: “Nhóm hacker khai thác những điểm yếu biết trước trong tường lửa và router, lợi dụng chúng để xâm nhập mạng nội bộ.” Ngoài ra, Cozy Bear cũng nhắm mục tiêu diện rộng, tung ra hàng loạt các email dạng “spear phishing” để tiếp cận nhiều hệ thống trên toàn thế giới. Khi đột nhập thành công, Cozy Bear có thể tấn công mục tiêu cụ thể hơn bằng hàng loạt mã độc phức tạp.
Tuy nhiên, Cozy Bear thường không công khai hoặc rò rỉ những thông tin mà họ đánh cắp được, khác biệt hẳn với Fancy Bear - cơ quan tình báo quân sự còn được biết đến với cái tên GRU. Năm 2016, APT29 bị Mỹ cáo buộc can thiệp vào cuộc bầu cử tổng thống. Năm 2017, Cozy Bear và một nhóm hacker khác với cái tên Fancy Bear cũng nhiều lần tìm cách đánh cắp thông tin mật từ các bộ ngành chính phủ Hà Lan. Họ đặc biệt chú ý đến cuộc tổng tuyển cử năm đó, buộc chính phủ nước này phải kiểm phiếu thủ công để tránh nguy cơ nước ngoài can thiệp bầu cử.
NSNC cho biết các vụ tấn công mạng do Cozy Bear gây ra lần đầu tiên được phát hiện vào tháng Hai, nhưng không có bằng chứng nào cho thấy bất cứ dữ liệu nào bị đánh cắp. Các chính phủ phương Tây cũng không tiết lộ cụ thể đã có những thông tin quan trọng nào về nghiên cứu vaccine Covid-19 bị đánh cắp hay nơi nào bị tấn công. Nhưng theo các quan chức tình báo Mỹ, người Nga đã nhắm đến việc đánh cắp nghiên cứu để phát triển vaccine của họ nhanh hơn, chứ không phải để phá hoại nghiên cứu của các quốc gia khác.
Các tổ chức nghiên cứu nhiều tháng qua được cảnh báo nguy cơ bị tấn công trong đại dịch. NCSC thông báo nguy cơ tin tặc nước ngoài nhắm vào các dự án vaccine nhằm đánh cắp thông tin sống còn với nỗ lực đối phó Covid-19. Các nhân viên y tế và nhà nghiên cứu được khuyến khích thay mật khẩu máy tính để tránh nguy cơ tin tặc đột nhập.
Anh, Mỹ và Canada hiện đang nghiên cứu vaccine ngừa Covid-19 và có những thành tựu đáng kể nhưng chưa hoàn tất quá trình thử nghiệm. Cách đây vài ngày, Nga thông báo trở thành quốc gia đầu tiên hoàn tất thử nghiệm vaccine Covid-19 trên người.
Ngay sau cáo buộc của Anh, Điện Kremlin đã lên tiếng nhấn mạnh phía Nga “không có thông tin về đối tượng có thể đã tấn công các công ty dược và trung tâm nghiên cứu tại Anh”. “Nga không liên quan tới những nỗ lực đó”, đồng thời Nga cũng phải đối mặt với những cuộc tấn công mạng nhằm vào cơ sở dữ liệu máy tính, người phát ngôn Điện Kremlin, Dmitri Peskov cho biết.
