Cách Triều Tiên hack dữ liệu các công ty và chính phủ
Chính phủ Hoa Kỳ đã tiết lộ chi tiết mới về 2 loại virus mà Triều Tiên đang sử dụng để tấn công các công ty và chính phủ.
Bộ An ninh Nội địa (DHS) Hoa Kỳ và FBI đã đưa ra cảnh báo chung về 2 loại phần mềm ẩn, hay phần mềm độc hại, mà tin tặc Triều Tiên bị cáo buộc sử dụng chống lại các công ty trong các ngành hàng không, tài chính, viễn thông và phương tiện truyền thông.
Một trong số đó được gọi là FALLCHILL có thể được sử dụng từ năm 2016 và cho phép tin tặc theo dõi, kiểm soát từ xa máy tính bị nhiễm phần mềm độc. Thông thường nó lây lan qua các tệp bị nhiễm phần mềm độc hại khác hoặc khi người dùng vô tình tải xuống bằng cách truy cập các trang web đã bị nhiễm.
Theo DHS và FBI, nó còn sử dụng nhiều lớp proxy malware để ngụy trang nguồn gốc và cũng khiến cho tin tặc khó theo dõi.
Loại phần mềm độc hại khác là Volgmer, lây nhiễm sang máy tính thông qua một kỹ thuật tấn công giả tạo (spear phishing). Người dùng nhận được một email có vẻ như chính thống với một liên kết mà sau đó lây lan virus. Chính phủ Mỹ cho biết, các hacker Triều Tiên đã sử dụng Volgmer từ ít nhất năm 2013.
Tuy nhiên, Bình Nhưỡng nhiều lần phủ nhận việc tham gia tấn công mạng quốc tế.
FBI và DHS cho biết, cả 2 loại phần mềm độc hại đều có liên quan đến HIDDEN COBRA, thuật ngữ mà chính phủ Hoa Kỳ dùng để chỉ “hoạt động không gian mạng thâm hiểm của chính quyền Triều Tiên”.
Các cơ quan an ninh cho biết vào tháng 6 năm nay rằng, HIDDEN COBRA – bao gồm các nhóm như Lazarus và Guardians of Peace có liên quan với các cuộc tấn công trước đó – đã hoạt động từ năm 2009.
DHS và FBI cũng đã xác định được hàng chục địa chỉ IP ở một số nước. Thông qua đó, họ tin rằng các cuộc tấn công của Volgmer đang được định tuyến. Ấn Độ chiếm tỷ lệ lớn nhất trong địa chỉ IP, với khoảng 25%, tiếp theo là Iran và Pakistan.
Subramanian Udaiyappan, chuyên gia về an ninh mạng ở Ấn Độ nói: “Điều này làm nổi bật vai trò của các quốc gia trong việc bảo vệ cơ sở hạ tầng của họ, không chỉ vì lợi ích của họ mà còn để đảm bảo rằng họ không trở thành con cờ trong trò chơi chiến tranh của ai đó”.
“Những kẻ tấn công vẫn kiên trì với cơ sở hạ tầng đã khai thác được của họ và có xu hướng tái sử dụng chúng. Điều này có nghĩa là Ấn Độ có thể trở thành kẻ gây rối không mong muốn với nhiều vụ tấn công như vậy nếu nước này không hành động ngay lập tức”, ông nói thêm.
Triều Tiên có liên quan đến một số các vụ tấn công bằng Internet cao cấp trong những năm gần đây, bao gồm một vụ ăn cắp 101 triệu USD từ Ngân hàng Trung ương Bangladesh năm 2016, làm gián đoạn hệ thống của Hàn Quốc nhiều lần và vụ hack phòng thu phim Sony Pictures năm 2014.
Gần đây hơn, chính quyền này đã bị buộc tội là đứng đằng sau vụ tấn công tống tiền WannaCry hồi tháng 5 năm nay, làm tê liệt hàng trăm nghìn máy tính trên toàn thế giới. Một nhà lập pháp tại Hàn Quốc cũng tuyên bố 2 tuần trước rằng, tin tặc Triều Tiên đã đánh cắp bản thiết kế những tàu chiến và tàu ngầm của Hàn Quốc.
Bạch Vân, theo Epoch Times