Đây là cách OlympicDestroyer làm hoang mang cộng đồng an ninh mạng

Chia sẻ
Kaspersky Lab vừa công bố kết quả nghiên cứu các cuộc tấn công từ phần mềm độc hại OlympicDestroyer, cho thấy lá cờ giả vô cùng tinh vi bên trong mã độc.
Đây là cách OlympicDestroyer làm hoang mang cộng đồng an ninh mạng ảnh 1

OlympicDestroyer đã gây tiếng vang trong kỳ Thế vận hội Mùa đông. Thế vận hội Pyeongchang đã gặp phải một cuộc tấn công mạng làm các hệ thống CNTT tê liệt trước lễ khai mạc chính thức, tắt các màn hình hiển thị, tắt Wi-Fi và đánh sập website Olympics khiến người dùng không thể in vé. Nhóm nghiên cứu và Phân tích toàn cầu Kaspersky Lab cũng phát hiện rất nhiều hệ thống resort trượt tuyết ở Hàn Quốc cũng bị phần mềm độc hại này tấn công khiến cổng và thang máy resort không hoạt động được. Mặc dù ảnh hưởng của cuộc tấn công này rất nhỏ nhưng khả năng phá hủy là rất lớn nhưng may mắn là điều này không xảy ra.

Tuy nhiên, điều mà giới an ninh mạng quan tâm thật sự không phải khả năng hay tổn thất do cuộc tấn công Destroyer gây ra mà là nguồn gốc của nó. Có lẽ không phần mềm độc hại tinh vi nào lại có quá nhiều giả thuyết đưa ra như OlympicDestroyer. Trong những ngày tìm ra nó, nhóm nghiên cứu từ khắp nơi trên thế giới đã cố gắng quy kết nó thuộc về Nga, Trung Quốc và Triều Tiên, dựa trên những đặc tính trước đây của các nhóm gián điệp mạng tại các quốc gia này hoặc làm việc cho chính phủ các nước này. Các nhà nghiên cứu tại Kaspersky Lab tìm thấy những chứng cứ cho rằng phần mềm độc hại liên quan đến Lazarus - cái tên đặc biệt được chính phủ Triều Tiên hỗ trợ.

Kết luận này dựa trên những dấu vết đặc biệt do tin tặc để lại. Sự kết hợp của nhiều yếu tố lưu trữ trên file như “dấu vân tay” được sử dụng trong quá trình phát triển mã code dùng để nhận biết chủ nhân và kế hoạch của chúng. Trong giả thuyết được Kaspersky Lab phân tích, dấu vân tay này khớp 100% với các bộ phận trong phần mềm độc hại Lazarus đã được biết đến và không hề trùng lặp với bất kì tập tin độc hại nào khác đã được Kaspersky Lab phát hiện tính đến thời điểm hiện tại. Kết hợp với nhiều điểm tương đồng trong cách thức, thủ pháp và quá trình hướng các nhà nghiên cứu đến kết luận rằng OlympicDestroyer là một hoạt động khác của Lazarus. Tuy nhiên, động cơ và những điểm bất đồng với Lazarus được tìm ra trong quá trình nghiên cứu của Kaspersky Lab tại cơ sở vật chất đã bị tổn hại ở Hàn Quốc khiến các nhà nghiên cứu xem xét lại những trường hợp hi hữu.

Sau khi quan sát cẩn thận bằng chứng và xác minh thủ công mỗi tính năng, các nhà nghiên cứu đã phát hiện ra rằng tập hợp các tính năng không khớp với mã - nó đã được giả mạo để khớp hoàn toàn với dấu vân tay mà Lazarus sử dụng. Kết quả là, các dấu hiệu "dấu vân tay" là một lá cờ giả - False Flag rất tinh vi, cố ý đặt bên trong phần mềm độc hại nhằm tạo cho những người truy tìm nguồn gốc của nó nghĩ rằng họ đã tìm thấy bằng chứng "khẩu sung bốc khói", khiến họ đi sai đường khi đi tìm giả thuyết chính xác hơn.  

Sự quy kết đối với OlympicDestroyer vẫn là một câu hỏi mở - chỉ đơn giản bởi vì nó là một ví dụ duy nhất về việc thực hiện cờ giả - False Flag một cách tinh vi. Tuy nhiên, các nhà nghiên cứu của Kaspersky Lab phát hiện ra rằng những kẻ tấn công đã sử dụng dịch vụ bảo vệ sự riêng tư của NordVPN và một nhà cung cấp hosting có tên MonoVM, cả hai đều chấp nhận Bitcoins. Những nhà cung cấp này và một số TTP khác đã được khám phá trước đây được sử dụng bởi Sofacy – mối đe dọa đến từ Nga.

Sang Smith

Tin liên quan

Chia sẻ

Bạn đọc bình luận

Vui lòng nhập tiếng Việt có dấu
Nhập mã bảo mật (*)    Refresh

Cùng chuyên mục