Đã tìm ra ''lá cờ giả'' gây hoang mang cộng đồng mạng

15:0117/03/2018

(ĐTTD) Nhóm nghiên cứu và Phân tích toàn cầu Kaspersky Lab cho biết đã tìm ra phần mềm độc hại OlympicDestroyer là chủ mưu của các cuộc tấn gây tiếng vang trong kỳ Thế vận hội Mùa đông vừa qua.

Cuộc tấn công vào hệ thống CNTT của Thế vận hội Pyeongchang đã khiến các hệ thống CNTT bị tê liệt trước lễ khai mạc chính thức. Toàn bộ các màn hình hiển thị bị tắt, tắt Wi-Fi và đánh sập website Olympics khiến người dùng không thể in vé. Tuy nhiên, điều mà giới an ninh mạng quan tâm thật sự không phải khả năng hay tổn thất do cuộc tấn công Destroyer, mà là nguồn gốc của nó.

Các nhà nghiên cứu tại Kaspersky Lab cũng cố gắng tìm hiểu nhóm hacker đứng sau phần mềm độc hại này. Họ cũng tìm thấy những chứng cứ cho rằng phần mềm độc hại liên quan đến Lazarus – cái tên đặc biệt được chính phủ Triều Tiên hỗ trợ. Kết luận này được đưa ra dựa trên những dấu vết đặc biệt do tin tặc để lại. Sự kết hợp của nhiều yếu tố lưu trữ trên file như “dấu vân tay” được sử dụng trong quá trình phát triển mã code dùng để nhận biết chủ nhân và kế hoạch của chúng.

Trong giả thuyết được Kaspersky Lab phân tích, dấu vân tay này khớp 100% với các bộ phận trong phần mềm độc hại Lazarus đã được biết đến và không hề trùng lặp với bất kì tập tin độc hại nào khác đã được Kaspersky Lab phát hiện tính đến thời điểm hiện tại. Kết hợp với nhiều điểm tương đồng trong cách thức, thủ pháp và quá trình hướng các nhà nghiên cứu đến kết luận rằng OlympicDestroyer là một hoạt động khác của Lazarus. Tuy nhiên, động cơ và những điểm bất đồng với Lazarus được tìm ra trong quá trình nghiên cứu của Kaspersky Lab tại cơ sở vật chất đã bị tổn hại ở Hàn Quốc khiến các nhà nghiên cứu xem xét lại những trường hợp hi hữu.

Kết quả là, các dấu hiệu "dấu vân tay" là một lá cờ giả rất tinh vi, cố ý đặt bên trong phần mềm độc hại nhằm tạo cho những người truy tìm nguồn gốc của nó nghĩ rằng họ đã tìm thấy bằng chứng "khẩu sung bốc khói", khiến họ đi sai đường khi đi tìm giả thuyết chính xác hơn.

 “Với những gì chúng tôi được biết, chứng cứ chúng tôi tìm ra chưa từng được dùng trong các giả thuyết trước đây. Tuy nhiên tin tặc đã sử dụng nó vì dự đoán được rằng chúng sẽ bị phát hiện. Chúng cho rằng giả thuyết này rất khó chứng minh. Nó chỉ như việc đánh cắp DNA của ai đó và để nó lại hiện trường phạm tội. Chúng tôi phát hiện và chứng minh được rằng DNA được tìm thấy tại hiện trường là được để lại có mục đích. Tất cả những điều này cho thấy nhóm tin tặc đã nỗ lực như thế nào để lẩn trốn càng lâu càng tốt. Chúng tôi luôn cho rằng giả thuyết trong không gian mạng là rất khó vì rất nhiều thứ có thể làm giả, và OlympicDestroyer là minh họa chính xác nhất”. Vitaly Kamluk, Giám đốc nhóm Nghiên cứu châu Á – Thái Bình Dương, Kaspersky Lab, chia sẻ thêm: “Một điểm cần lưu ý trong câu chuyện này đối với chúng tôi là việc đặt giả thuyết phải được thực hiện một cách nghiêm túc. Thấy được không gian mạng được xã hội hóa như thế nào trong thời gian gần đây, đưa giả thuyết sai lầm có thể dẫn đến hậu quả nghiêm trọng và các mối đe dọa có thể bắt đầu cố gắng thao túng ý kiến của cộng đồng an ninh để ảnh hưởng đến chính trị.

Sự quy kết đối với OlympicDestroyer vẫn là một câu hỏi mở - chỉ đơn giản bởi vì nó là một ví dụ duy nhất về việc thực hiện cờ sai một cách tinh vi. Tuy nhiên, các nhà nghiên cứu của Kaspersky Lab phát hiện ra rằng những kẻ tấn công đã sử dụng dịch vụ bảo vệ sự riêng tư của NordVPN và một nhà cung cấp hosting có tên MonoVM, cả hai đều chấp nhận Bitcoins. Những nhà cung cấp này và một số TTP khác đã được khám phá trước đây được sử dụng bởi Sofacy – mối đe dọa nói tiếng Nga.

Các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công OlympicDestroyercótại Securelist.com.

ĐTTD





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • WiHo Tet
  • DTTD