Phần mềm xóa dữ liệu từ những hacker tàn nhẫn nhất Nga trút mưa hủy diệt lên Ukraine

Một trong những nhóm hack tàn nhẫn và tiên tiến nhất thế giới, nhóm Sandworm do nhà nước Nga kiểm soát, đã phát động một loạt cuộc tấn công mạng hủy diệt trong cuộc chiến đang diễn ra của nước này chống lại Ukraine láng giềng, các nhà nghiên cứu báo cáo hôm thứ Năm.

Tháng 4, nhóm này nhắm vào một trường đại học Ukraine bằng hai phần mềm wiper – một dạng malware nhằm phá hủy vĩnh viễn dữ liệu nhạy cảm và thường cả hạ tầng lưu trữ nó. Một wiper, được theo dõi dưới tên Sting, nhắm vào các hạm đội máy tính Windows bằng cách lập lịch nhiệm vụ có tên DavaniGulyashaSdeshka, một cụm từ xuất phát từ tiếng lóng Nga dịch đại khái là “ăn chút goulash đi”, các nhà nghiên cứu từ ESET cho biết. Wiper còn lại được theo dõi dưới tên Zerlot.

Một mục tiêu không phổ biến lắm

Sau đó, vào tháng 6 và tháng 9, Sandworm thả nhiều biến thể wiper khác nhau lên hàng loạt mục tiêu hạ tầng quan trọng của Ukraine, bao gồm các tổ chức hoạt động trong lĩnh vực chính phủ, năng lượng và logistics. Những mục tiêu này từ lâu đã nằm trong tầm ngắm của hacker Nga. Tuy nhiên, có một mục tiêu thứ tư, ít phổ biến hơn – các tổ chức trong ngành ngũ cốc của Ukraine.

“Mặc dù cả bốn lĩnh vực đều từng được ghi nhận là mục tiêu của các cuộc tấn công wiper ở một thời điểm nào đó kể từ năm 2022, nhưng ngành ngũ cốc nổi bật như một mục tiêu không thường xuyên lắm,” ESET cho biết. “Xét rằng xuất khẩu ngũ cốc vẫn là một trong những nguồn thu chính của Ukraine, việc nhắm mục tiêu như vậy có lẽ phản ánh nỗ lực làm suy yếu nền kinh tế chiến tranh của nước này.”

Wiper đã là công cụ yêu thích của hacker Nga từ ít nhất năm 2012, với sự lan truyền của worm NotPetya. Phần mềm độc hại tự nhân bản này ban đầu nhắm vào Ukraine, nhưng cuối cùng gây hỗn loạn quốc tế khi lan rộng toàn cầu chỉ trong vài giờ. Worm này gây thiệt hại tài chính hàng chục tỷ đô la sau khi làm tê liệt hàng nghìn tổ chức, nhiều nơi trong nhiều ngày hoặc tuần.

Năm 2016 và 2017, Sandworm đã làm tê liệt một phần lưới điện Ukraine bằng malware hủy diệt có một số đặc điểm tương tự wiper. Các vụ mất điện khiến nhiều người Ukraine không có sưởi ấm giữa mùa đông giá lạnh.

Gần đây hơn, các nhà nghiên cứu đã liên kết Kremlin với hơn chục wiper khác trong các cuộc tấn công nhắm vào Ukraine. Một vụ năm 2022 làm tê liệt 10.000 modem vệ tinh ở Ukraine. Một vụ khác năm 2022 tấn công một đài truyền hình ở Kyiv. Các cuộc tấn công wiper gần đây khác bởi hacker nhà nước Nga bao gồm một vụ được theo dõi là WhisperGate nhắm vào mạng chính phủ và lĩnh vực IT Ukraine, cũng như một vụ khác nhắm vào hàng trăm tổ chức tương tự của Ukraine.

Không phải tất cả các cuộc tấn công đều được quy cho Sandworm, một nhóm đã hoạt động gần hai thập kỷ và là một phần của GRU, đơn vị tình báo quân sự Nga. Trong một số trường hợp, wiper được lan truyền bởi các nhóm làm việc cho các nhánh khác của chính phủ Nga. ESET cho biết họ đã quan sát các cuộc tấn công tương tự bởi những nhóm này một lần nữa trong năm nay.

Như đã báo cáo trước đó, một nhóm mà ESET xác định là RomCom đã khai thác lỗ hổng zero-day trong tiện ích nén file WinRAR trong các cuộc tấn công cài đặt malware lên mục tiêu Ukraine. Các cuộc tấn công wiper riêng biệt bởi Gamaredon cũng hoạt động trong 11 tháng qua.

Trong một số trường hợp, các nhóm làm việc cùng nhau. Ví dụ, trong một số cuộc tấn công wiper của Sandworm, một nhóm được theo dõi là UAC-0099 đã cung cấp quyền truy cập ban đầu sau khi thành công khởi xướng các cuộc tấn công spear phishing vào mục tiêu. ESET cho biết sự hợp tác này là không phổ biến, xét đến sự cạnh tranh khốc liệt giữa các nhóm Nga khác nhau.

Các quan sát gần đây của ESET cho thấy rằng wiper, từ lâu là một trong những công cụ tấn công mạng ưa thích của Kremlin, sẽ tiếp tục như vậy trong tương lai gần.

“Những cuộc tấn công hủy diệt của Sandworm là lời nhắc nhở rằng wiper vẫn là công cụ thường xuyên của các tác nhân đe dọa liên kết với Nga ở Ukraine,” ESET cho biết. “Mặc dù có một số báo cáo gợi ý sự chuyển hướng rõ ràng sang hoạt động gián điệp bởi các nhóm như vậy vào cuối năm 2024, chúng tôi đã thấy Sandworm thực hiện các cuộc tấn công wiper chống lại các thực thể Ukraine một cách đều đặn kể từ đầu năm 2025.”