Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab vừa công bố kết quả nghiên cứu các cuộc tấn công từ phần mềm độc hại Olympic Destroyer. Kết quả, họ đã tìm ra chứng cứ xác thực về lá cờ giả vô cùng tinh vi bên trong mã độc này để đánh lừa các nhà bảo mật khi truy tìm nguồn gốc thật sự của nó.
Olympic Destroyer đã tấn công Thế vận hội Mùa đông 2018. (Ảnh minh họa: Internet)
Olympic Destroyer đã gây tiếng vang trong kỳ Thế vận hội Mùa đông 2018 (Pyeongchang). Thế vận hội Pyeongchang đã gặp phải một cuộc tấn công mạng làm các hệ thống CNTT tê liệt trước lễ khai mạc chính thức, tắt các màn hình hiển thị, tắt Wi-Fi và đánh sập website Olympics khiến người dùng không thể in vé. Kaspersky Lab cũng phát hiện rất nhiều hệ thống resort trượt tuyết ở Hàn Quốc bị phần mềm độc hại này tấn công khiến cổng và thang máy resort không hoạt động được.
Tuy nhiên, điều mà giới an ninh mạng quan tâm thật sự không phải khả năng hay tổn thất do cuộc tấn công Destroyer gây ra mà là nguồn gốc của nó. Có lẽ không phần mềm độc hại tinh vi nào lại có quá nhiều giả thuyết phải đưa ra như với OlympicDestroyer. Trong những ngày lùng tìm nó, nhóm nghiên cứu từ khắp nơi trên thế giới đã cố gắng quy kết nó thuộc về Nga, Trung Quốc hay Triều Tiên, dựa trên những đặc tính trước đây của các nhóm gián điệp mạng tại các quốc gia này hoặc làm việc cho chính phủ các nước này.
Các nhà nghiên cứu tại Kaspersky Lab cũng cố gắng tìm hiểu nhóm hacker đứng sau phần mềm độc hại này. Trong quá trình nghiên cứu, họ tìm thấy những chứng cứ cho rằng phần mềm độc hại nói trên có liên quan đến Lazarus - cái tên đặc biệt được chính phủ Triều Tiên hỗ trợ.
Những kẻ tấn công đã sử dụng dịch vụ bảo vệ sự riêng tư của NordVPN và một nhà cung cấp hosting có tên MonoVM, cả hai đều chấp nhận thanh toán bằng bitcoins. Những nhà cung cấp này từng được sử dụng bởi Sofacy - một mối đe dọa nói tiếng Nga.
Tin tặc đứng trong bóng tối với nhiều chiêu trò nhằm che giấu thân phận. (Ảnh minh họa: Internet)
Kết luận này dựa trên những dấu vết đặc biệt do tin tặc để lại. Sự kết hợp của nhiều yếu tố lưu trữ trên file, như “dấu vân tay” được sử dụng trong quá trình phát triển mã nguồn dùng để nhận biết chủ nhân và kế hoạch của chúng. Trong giả thuyết được Kaspersky Lab phân tích, dấu vân tay này khớp 100% với các bộ phận trong phần mềm độc hại Lazarus đã được biết đến trước đó. Hãng bảo mật của Nga cũng lưu ý rằng, họ đưa ra kết luận trên sau khi xem xét nhiều yếu tố tinh vi do bọn tội phạm mạng chủ ý để lại nhằm đánh lạc hướng giới bảo mật.
“Nó chỉ như việc đánh cắp DNA của ai đó và để nó lại hiện trường phạm tội. Chúng tôi phát hiện và chứng minh được rằng DNA được tìm thấy tại hiện trường là được để lại có mục đích. Tất cả những điều này cho thấy nhóm tin tặc đã nỗ lực như thế nào để lẩn trốn càng lâu càng tốt. Chúng tôi luôn cho rằng giả thuyết trong không gian mạng là rất khó vì rất nhiều thứ có thể làm giả, và OlympicDestroyer là minh họa chính xác nhất”, Vitaly Kamluk, Giám đốc nhóm Nghiên cứu châu Á - Thái Bình Dương của Kaspersky Lab nói về lá cờ giả của tội phạm mạng.
“Một điểm cần lưu ý trong câu chuyện này đối với chúng tôi là việc đặt giả thuyết phải được thực hiện một cách nghiêm túc. Đưa ra giả thuyết sai lầm có thể dẫn đến hậu quả nghiêm trọng và các mối đe dọa có thể bắt đầu cố gắng thao túng ý kiến của cộng đồng an ninh để ảnh hưởng đến chính trị”, ông nói thêm.
Website chính thức của Olympic Mùa đông 2018 diễn ra ở Pyeongchang, Hàn Quốc đã bị tin tặc tấn công dẫn đến ngừng hoạt...
Vui lòng nhập nội dung bình luận.