Mã độc OlympicDestroyer gây hoang mang cộng đồng an ninh mạng
Mới đây, Kaspersky Lab vừa công bố báo cáo nghiên cứu về các cuộc tấn công từ phần mềm độc hại OlympicDestroyer có thể cung cấp chứng chỉ xác thực một cách hết sức tinh vi để đánh lừa khả năng truy tìm nguồn gốc thực sự của mã độc này.
Được biết đến như một phần mềm độc hại nổi tiếng suốt thời kỳ Thế vận hội mùa đông, OlympicDestroyer đã tấn công vào hệ thống CNTT của thế vận hội Pyeongchang, khiến toàn bộ hệ thống tê liệt trước lễ khai mạc chính thức, tắt các màn hình hiển thị, tắt Wi-Fi và đánh sập Website Olympics khiến hàng loạt người dùng không thể in vé tham dự.
Kaspersky Lab cũng từng phát hiện rất nhiều hệ thống của resort trượt tuyết tại Hàn Quốc cũng đã bị phần mềm độc hại này tấn công, làm cho cổng và thang máy resort không thể hoạt động được. Dù ảnh hưởng của cuộc tấn công tương đối nhỏ nhưng khả năng phá huỷ là rất lớn, rất may là điều này đã không xảy ra.
Điều đáng quan tâm thực sự ở đây không phải nằm ở khả năng hay tổn thất do cuộc tấn công Destroyer gây ra mà chính là nguồn gốc của nó. Có lẽ chưa từng có phần mềm độc hại tinh vì nào lại mang nhiều giả thuyết đưa ra như OlympicDestroyer này. Trong những ngày tìm ra mã độc, nhóm nghiên cứu đã cố gắng quy kết nó đến từ Nga, Trung Quốc và Triều Tiên, dựa trên những đặc tính trước đây mà các nhóm gián điệp mạng tại các quốc gia này thực hiện.
Các chuyên gia nghiên cứu tại Kaspersky Lab cũng cố gắng tìm hiểu xem nhóm hacker đứng đằng sau phần mềm độc hại này là ai. Trong quá trình nghiên cứu, họ tìm ra những chứng cứ cho thấy rằng phần mềm độc hại này có liên quan đến Lazarus, một cái tên hết sức đặc biệt được chính phủ Triều Tiên hỗ trợ.
Họ kết luận dựa trên những dấu vết đặc biệt mà tin tặc đã để lại. Sự kết hợp nhiều yếu tố lưu trữ trên tập tin như dấu vân tay đã được sử dụng trong quá trình phát triển mã code dùng nhận biết chủ nhân và kế hoạch của chúng. Trong giả thuyết được hãng phân tích thì dấu vân tay này khớp hoàn toàn với các thành phần trong phần mềm độc hại Lazarus đã được biết đến trước đó và không hề trùng lặp với bất kỳ tập tin độc hại nào khác đã được Kaspersky Lab phát hiện tính đến thời điểm hiện tại. Khi kết hợp nhiều điểm tương đồng trong cách thức, thủ pháp và quá trình hướng các nhà nghiên cứu đến một kết luận cho thấy OlympicDestroyer là một hoạt động khác của Lazarus. Thế nhưng động cơ và những điểm bất đồng với Lazarus được tìm ra trong quá trình nghiên cứu của hãng đã khiến các nhà nghiên cứu phải suy nghĩ lại những trường hợp hi hữu này.
Khi đã quan sát một cách cẩn thận các bằng chứng và xác minh thủ công mỗi tính năng của mã độc, các nhà nghiên cứu đã phát hiện ra rằng tập hợp các tính năng này không khớp với mã – nó đã được giả mạo một cách tinh vi để khớp hoàn toàn với dấu vân tay mà nhóm Lazarus đã sử dụng trước đó.
Kết quả cho thấy các dấu hiệu vân tay trước đó chỉ là một lá cờ giả thật sự tinh vi và cố ý đặt bên trong phần mềm nhằm tạo cho những người truy tìm nguồn gốc của chúng phải hoang mang và nhầm lẫn trước khi tìm ra các giả thuyết chính xác hơn.
Theo Giám đốc nhóm nghiên cứu Châu Á của Kaspersky Lab, ông Vitaly Kamluk cho biết những chứng cứ mà hãng tìm ra chưa từng được dùng trong các giả thuyết trước đây. Thế nhưng tin tặc đã sử dụng nó vì dự đoán được rằng mã độc sẽ bị phát hiện. Hacker cho rằng chúng rất khó chứng minh được nguồn gốc, điều này có thể ví như là cố tình tạo bằng chứng giả mạo để vu oan cho ai đó tại hiện trường phạm tội vậy. Kaspersky Lab đã phát hiện và chứng minh rằng DNA được tìm thấy là có mục đích giả mạo. Những điều này cho thấy nhóm hacker đã hết sức nỗ lực để lẩn trốn càn lâu càng tốt.
Kaspersky Lab luôn cho rằng giả thuyết trong không gian mạng là rất khó vì rất nhiều thứ có thể làm giả, và OlympicDestroyerlà minh họa chính xác nhất.
Ông cho biết thêm rằng một điểm cần lưu ý trong câu chuyện này chính là việc đặt giả thuyết phải được thực hiện một cách nghiêm túc. Thấy được không gian mạng được xã hội hóa như thế nào trong thời gian gần đây, đưa giả thuyết sai lầm có thể dẫn đến hậu quả nghiêm trọng và các mối đe dọa có thể bắt đầu cố gắng thao túng ý kiến của cộng đồng an ninh để ảnh hưởng đến chính trị.
Sự quy kết đối với OlympicDestroyer vẫn là một câu hỏi mở - chỉ đơn giản bởi vì nó là một ví dụ duy nhất về việc thực hiện cờ sai một cách tinh vi. Tuy nhiên, các nhà nghiên cứu của Kaspersky Lab phát hiện ra rằng những kẻ tấn công đã sử dụng dịch vụ bảo vệ sự riêng tư của NordVPN và một nhà cung cấp hosting có tên MonoVM, cả hai đều chấp nhận Bitcoins. Những nhà cungcấp này và một số TTP khác đã được khám phá trước đây được sử dụng bởi Sofacy – mối đe dọa nói tiếng Nga.
Hiện tất cả các sản phẩm phần mềm diệt virus của Kaspersky Lab đã có thể phát hiện và ngăn chặn thành công mã độc nguy hiểm này.
Minh Hương
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...