Thủ phạm tấn công mạng Sony không phải là Triều Tiên

03/03/16, 09:22 Công nghệ

Cả thế giới đều nghĩ Triều Tiên là thủ phạm tấn công mạng hãng phim Sony Pictures hồi tháng 11/2014, nhưng mới đây thủ phạm thực sự đã lộ chân tướng.

Hãng Sony Pictures đã tổn thất nặng nề sau vụ tấn công mạng hồi tháng 11/2014.

Sáng 24/11/2014 ăn sâu vào ký ức của nhân viên Sony Pictures Entertainment. Vào ngày hôm đó, một nhóm tội phạm mạng bí ẩn đã tấn công vào máy chủ của công ty, tiết lộ một loạt dữ liệu bí mật và khiến uy tín của Sony bị xâm phạm nghiêm trọng. FBI nghi ngờ các hacker Triều Tiên thực hiện việc này, nhưng sự thực không phải vậy.

Kaspersky Lab đã hợp tác với Novetta và AlienVault tiến hành một cuộc điều tra chung có tên Operation Blockbuster nhắm vào nhóm Lazarus Group, nhóm hacker bị coi là thủ phạm tấn công Sony và các ngân hàng và đài truyền hình ở Seoul hồi năm 2013.

Sau khi Sony Pictures bị tấn công, các chuyên gia của Kaspersky đã phân tích mẫu phần mềm độc hại Destover được dùng trong cuộc tấn công. Các nghiên cứu cho thấy những dấu vết của hàng chục cuộc tấn công không gian mạng sử dụng những mẫu mã độc khác nhau với một số đặc điểm chung.

Trong cuộc điều tra, Kaspersky còn phát hiện ra phiên bản mã độc Destover mới được thiết kế riêng cho việc tấn công, đánh cắp dữ liệu của Sony. Các tin tặc đã tích cực tái sử dụng sản phẩm của mình: Chúng lấy một phần mã của mã độc này tích hợp vào một mã độc khác.

Bên cạnh đó, các nhà nghiên cứu còn phát hiện ra rằng trong tất cả các cuộc tấn công, tin tặc đều sử dụng một mật khẩu giống nhau. Tuy nhiên, mật khẩu được mã hóa rất kỹ càng.

Ngay cả phương thức mà tội phạm sử dụng để xóa dấu vết của chúng khỏi hệ thống bị nhiễm cũng giống nhau và có liên kết tới Lazarus.

Cuộc điều tra cho thấy, Lazarus Group đã tham gia vào các chiến dịch gián điệp quân sự và phá hoại hoạt động của các tổ chức tài chính, các đài truyền hình và nhiều hãng sản xuất. Hầu hết các nạn nhân đều ở Hàn Quốc, Ấn Độ, Trung Quốc, Brazil, Nga và Thổ Nhĩ Kỳ. Những tin tặc này đã tạo ra các phần mềm độc hại như Hangman (2014 – 2015) và Wild Positron (còn được gọi là Duuzer, 2015). Wild Positron đã trở thành một chủ đề thảo luận tại Hội Nghị Phân tích An Ninh 2016.

Kaspersky đã chia sẻ các kết quả điều tra với AlienVault, và cuối cùng các nhà nghiên cứu từ hai công ty này đã quyết định tiến hành điều tra chung. Họ phát hiện ra rằng rất nhiều công ty và chuyên gia an ninh khác cũng đang điều tra hoạt động của Lazarus Group. Kaspersky và AlienVault đã quyết định hỗ trợ Novetta, vì hãng này muốn công bố kết quả điều tra như một phần của chương trình “Operation Blockbuster”.

Tìm hiểu lịch trình hoạt động của tin tặc, các nhà nghiên cứu phát hiện ra các hacker sống tại khu vực có múi giờ GMT +8 hoặc GMT +9. Họ bắt đầu làm việc từ lúc nửa đêm (0h GMT) và nghỉ ăn trưa vào lúc 3h GMT. Họ rất nghiện công việc, mỗi ngày làm việc từ 15 tới 16 giờ. Lazarus có lẽ là nhóm hacker chăm chỉ nhất từ trước tới nay. Chính các chuyên gia của Kaspersky cũng phải thừa nhận rằng trong quá trình điều tra họ học được rất nhiều điều từ các hacker Lazarus.

Các nhà điều tra cũng phát hiện ra một chi tiết khá thú vị. Sau khi lùng sục đống phần mềm mẫu, phần mềm biên soạn của Lazarus, Novetta phát hiện ra rằng gần 2/3 số tập tin thực thi của nhóm tội phạm này bao gồm các yếu tố thường dành cho cộng đồng người nói tiếng Hàn Quốc.

Cuộc điều tra vẫn còn đang được tiến hành. Tuy nhiên, bước đầu Operation Blockbuster đã giúp các bên liên quan tìm hiểu rất nhiều về nhóm tin tặc nguy hiểm này. Kaspersky sẽ không thể đạt được kết quả nghiên cứu này bởi hạn chế về công nghệ, giải pháp an ninh theo khu vực địa lý. Sự hợp tác giữa Kaspersky Lab, Novetta và AlienVault là một ví dụ tuyệt vời về cách chia sẻ thông tin giúp xác định tội phạm và giúp Internet trở thành một địa điểm an toàn hơn.

Theo GenK

Ad will display in 09 seconds

Từ bỏ điều này sẽ đắc Phúc báo

Ad will display in 09 seconds

Phát hiện chấn động Thế giới trong lòng đất

Ad will display in 09 seconds

Vì sao kẻ đồ tể lại được về đất Phật ?

Ad will display in 09 seconds

12 quả báo của tội tà dâm, ai xem cũng sợ

Ad will display in 09 seconds

Người ngoài hành tinh cổ đại: Hợp kim bí ẩn của nền văn minh Atlantis

Ad will display in 09 seconds

Tôi vào Viện dưỡng lão, mang theo một chiếc ấm tử sa

Ad will display in 09 seconds

Chớ nghĩ nhân gian nhiều mỹ hảo, ma quỷ đang thao túng con người!

Ad will display in 09 seconds

Vì sao nhiều người luôn cảm thấy cuộc đời đau khổ

Ad will display in 09 seconds

289 thành tựu của Donald Trump sau gần 2 năm làm Tổng thống

Ad will display in 09 seconds

Truyền thuyết hoa Ưu Đàm Bà La

  • Từ bỏ điều này sẽ đắc Phúc báo

    Từ bỏ điều này sẽ đắc Phúc báo

  • Phát hiện chấn động Thế giới trong lòng đất

    Phát hiện chấn động Thế giới trong lòng đất

  • Vì sao kẻ đồ tể lại được về đất Phật ?

    Vì sao kẻ đồ tể lại được về đất Phật ?

  • 12 quả báo của tội tà dâm, ai xem cũng sợ

    12 quả báo của tội tà dâm, ai xem cũng sợ

  • Người ngoài hành tinh cổ đại: Hợp kim bí ẩn của nền văn minh Atlantis

    Người ngoài hành tinh cổ đại: Hợp kim bí ẩn của nền văn minh Atlantis

  • Tôi vào Viện dưỡng lão, mang theo một chiếc ấm tử sa

    Tôi vào Viện dưỡng lão, mang theo một chiếc ấm tử sa

  • Chớ nghĩ nhân gian nhiều mỹ hảo, ma quỷ đang thao túng con người!

    Chớ nghĩ nhân gian nhiều mỹ hảo, ma quỷ đang thao túng con người!

  • Vì sao nhiều người luôn cảm thấy cuộc đời đau khổ

    Vì sao nhiều người luôn cảm thấy cuộc đời đau khổ

  • 289 thành tựu của Donald Trump sau gần 2 năm làm Tổng thống

    289 thành tựu của Donald Trump sau gần 2 năm làm Tổng thống

  • Truyền thuyết hoa Ưu Đàm Bà La

    Truyền thuyết hoa Ưu Đàm Bà La

x