Quảng cáo bán xe cũ giả mạo mà các hacker bị nghi ngờ hoạt động cho cơ quan tình báo ngoại quốc của Nga dựng nên nhằm xâm nhập máy tính của hàng loạt các nhà ngoại giao tại các đại sứ quán các nước tại Ukraine. Ảnh: Unit 42/Thông qua REUTERS
Theo một báo cáo do một công ty an ninh mạng đưa ra vào thứ Ba vừa rồi, các hacker được nghi ngờ hoạt động cho cơ quan tình báo ngoại quốc của Nga đã nhắm mục tiêu tấn công hàng loạt các nhà ngoại giao tại các đại sứ quán các nước tại Ukraine. Những hacker này lừa gạt để xâm nhập máy tính của các nhà ngoại giao thông qua một bài quảng cáo bán xe hơi cũ.
Các nhà phân tích tại bộ phận nghiên cứu Unit 42 của công ty Palo Alto Network trong báo cáo trên đã cho biết hoạt động tình báo quy mô lớn này hướng vào mục tiêu các nhà ngoại giao làm việc tại ít nhất 22 trong tổng số 80 đại sứ quán các nước tại thủ đô Kyiv của Ukraine.
Báo cáo này được đăng tải đầu tiên bởi Reuters, cho biết: “Chiến dịch này có khởi điểm từ một sự kiện bình thường và có thật”.
“Trong giữa tháng 4 năm 2023, một nhà ngoại giao thuộc Bộ Ngoại giao Ba Lan đã gửi qua email một tờ rơi có nội dung thật tới các đại sứ quán nhằm quảng cáo bán lại một chiếc BMW series 5 tại Kyiv”.
Nhà ngoại giao Ba Lan này từ chối nhận diện vì lí do an ninh, xác nhận đã gửi tờ quảng cáo này.
Theo Unit 42 cho biết, nhóm hacker mang tên APT29 hay “Cozy Bear” đã chặn được email này và sao chép tờ quảng cáo, nhúng mã độc vào trong đó, trước khi gửi lại cho hàng loạt các nhà ngoại giao khác làm việc tại Kyiv.
Báo cáo trên sử dụng một số tên viết tắt thường được dùng khi mô tả các nhóm gián điệp mạng được chính phủ các nước hậu thuẫn, cho biết: “So với các hoạt động tấn công có chủ đích (APT - Advanced Persistent Threat) vốn thường mang tính bí mật và có quy mô nhỏ, quy mô của cuộc tấn công này là đáng kinh ngạc”.
Trong năm 2021, các cơ quan tình báo Mỹ và Anh đã nhận diện APT29 là một phần của dịch vụ tình báo ngoại quốc Nga SVR. SVR đã không phản hồi trước các yêu cầu của Reuters về bình luận xung quanh chiến dịch tấn công mạng này.
Vào tháng 4, các cơ quan an ninh mạng và phản gián đã cảnh báo nhóm này cũng đã thực hiện “một chiến dịch tình báo rộng rãi” đối với các quốc gia thuộc NATO, liên minh châu Âu, và châu Phi.
Các nhà nghiên cứu của Unit 42 đã có thể liên kết tờ quảng cáo giả mạo này với SVR vì các hacker đã sử dụng lại một số công cụ và kỹ thuật từng được sử dụng bởi cơ quan tình báo này.
Báo cáo của Unit 42 viết: "Các sứ mệnh ngoại giao sẽ luôn là mục tiêu giá trị cao cho các hoạt động tình báo. Sau mười sáu tháng kể từ khi cuộc xâm lược Ukraine nổ ra, các thông tin tình báo xung quanh Ukraine và các nỗ lực ngoại giao từ các nước đồng minh chắc chắn sẽ là mục tiêu ưu tiên cao cho chính phủ Nga”.
Chiêu bài lừa gạt bằng xe BMW cũ
Nhà ngoại giao Ba Lan cho biết ông đã gửi tờ quảng cáo ban đầu tới nhiều đại sứ quán tại Kyiv, và một người đã liên hệ với ông vì mức giá “rất thu hút”.
Ông cho biết trước Reuters: “Khi kiểm tra lại, tôi nhận ra rằng mức giá mà họ nêu lên thấp hơn một chút so với mức giá mà tôi liệt kê”.
Các hacker của SVR đã chỉnh sửa giá chiếc BMW của nhà ngoại giao này xuống mức thấp hơn - mức 7.500 Euro - trong tờ quảng cáo giả mạo nhằm thu hút nhiều người hơn và khiến họ tải phần mềm độc, giúp nhóm này xâm nhập các thiết bị của họ.
Phần mềm này theo Unit 42 cho biết được giả mạo làm một bộ ảnh chiếc BMW cũ. Các máy tính sẽ bị nhiễm mã độc ngay khi mở các hình ảnh này.
21 trong số 22 đại sứ quán bị tấn công bởi nhóm hacker đã không đưa ra bình luận khi được Reuters liên hệ. Hiện chưa rõ có những đại sứ quán nào đã bị nhiễm mã độc.
Một phát ngôn viên của Bộ Ngoại giao Mỹ cho biết cơ quan này “đã biết về hoạt động này, và dựa trên phân tích của Tổng cục An ninh Mạng và An ninh Công nghệ đã xác định hoạt động này không gây ảnh hưởng gì tới các hệ thống và tài khoản của bộ”.
Chiếc xe hơi trên, theo như nhà ngoại giao Ba Lan cho biết, vẫn đang được chào bán.
“Chắc tôi sẽ thử bán nó lại tại Ba Lan. Sau trường hợp này, tôi không muốn gặp phải vấn đề gì nữa”.
Nguyễn Quang Minh (theo Reuters)
