Vụ mã độc tống tiền: Phát hiện dấu vết hacker Triều Tiên

Đỗ Quyên |

Hai hãng bảo mật hàng đầu thế giới vừa tìm thấy những bằng chứng cho thấy mối liên hệ giữa mã độc tống tiền WannaCry với nhóm hacker Triều Tiên được biết tới với cái tên Lazarus Group.

Hai hãng bảo mật Kaspersky và Symantec hôm 16-5 cho biết các chi tiết kỹ thuật của một phiên bản ban đầu của mã WannaCry có những điểm tương đồng với mã code sử dụng trong một vụ tấn công mạng năm 2015 được quy kết là do hacker Triều Tiên đứng sau.

Và đó cũng chính là nhóm tin tặc bị tố gây ra vụ tấn công mạng nhằm vào Sony Pictures năm 2014 và vụ "bốc hơi" 81 triệu USD tại một nhà băng ở Bangladesh năm 2016.

Lazarus Group còn được biết tới là một nhóm chuyên sử dụng Bitcoin, cũng như nhắm vào loại tiền ảo này trong nhiều chiến dịch tấn công mạng.

Một trong những chứng cứ đầu tiên do chuyên gia bảo mật Neel Mehta của tập đoàn Google đưa ra. Tiếp đó, các nhà nghiên cứu khác, trong đó có Matthieu Suiche từ công ty công nghệ Comae Technologies của EUA cũng đưa ra những phát hiện tương tự.

Tuy nhiên, cùng chung một loại mã code không phải bao giờ cũng có nghĩa là cùng chung một nhóm tin tặc. Bởi có thể những kẻ đứng sau vụ tấn công mạng quy mô toàn cầu lần này đã cố tình sử dụng lại loại code tương tự với Lazarus để "đánh lạc hướng" giới điều tra.

Thế nhưng, điều đáng chú ý là việc tái sử dụng mã code tình nghi nói trên đã không tái hiện trong các phiên bản sau của WannaCry, một chi tiết đang được các chuyên gia của Kaspersky đặc biệt quan tâm.

Các nhà nghiên cứu thuộc hãng bảo mật Kaspersky có trụ sở tại Nga nhấn mạnh đây là một manh mối quan trọng. Tuy nhiên, giới nghiên cứu của hãng này cho rằng cần có thêm các nghiên cứu về những phiên bản cũ hơn của mã độc Wannacry. "Chúng tôi tin rằng điều này có thể chứa thông tin chủ chốt để giải quyết một số vấn đề bí ẩn liên quan tới vụ tấn công"- Kaspersky viết trên một blog.

Đã tập trung nghiên cứu nhóm Lazarus trong suốt nhiều năm qua, Kaspersky cho biết Larazus điều hành một xưởng sản xuất mã độc chuyên tạo ra những loại mã độc mới thông qua nhiều phương tiện phát tán độc lập.

Cũng theo nhận định của Kaspersky, mức độ tinh vi của vụ tấn công mạng lần này ở mức không thường thấy ở giới tội phạm mạng. Thủ phạm chắc chắn phải là một tổ chức cực kỳ gian xảo và có khả năng kiểm soát hoạt động toàn diện. Thế nên, Lazarus không chỉ là một nhân tố đe dọa hàng đầu.

Hiện mã độc tống tiền WannaCry đã tấn công hơn 200.000 máy tính trên 150 quốc gia, làm tê liệt hoạt động của bệnh viện, doanh nghiệp và cơ quan chính phủ.

Đường dây nóng: 0943 113 999

Soha
Báo lỗi cho Soha

*Vui lòng nhập đủ thông tin email hoặc số điện thoại