Mã độc WannaCry do tin tặc Triều Tiên phát tán?

10:27, Thứ Ba, 16/05/2017 (GMT+7)

(XHTT) - Trong vài ngày vừa qua, mã độc WannaCry đã làm “chao đảo” trên toàn thế giới, các nhà nghiên cứu về an ninh mạng và các nạn nhân đều tự hỏi nhóm tội phạm nào gây tê liệt nhiều hệ thống quan trọng nhưng lợi nhuận đem lại tương đối nhỏ?

Một số nhà nghiên cứu đã đưa ra những gợi ý đầu tiên nhắm vào kẻ tình nghi quen thuộc – Triều Tiên.

Hôm qua (15/5), nhà nghiên cứu Google - Neel Mehta đã phát hành một tweet bí ẩn chỉ chứa một bộ ký tự. Họ đã đề cập đến hai phần mã trong một cặp mẫu phần mềm độc hại, cùng với thẻ hashtag #WandaCryptAttribution. Các nhà nghiên cứu ngay lập tức lần theo những đườnfđược sử dụng bởi một nhóm được gọi là Lazarus, một tổ chức hacker được cho là hoạt động dưới sự kiểm soát của chính phủ Triều Tiên.

Matt Suiche, một nhà nghiên cứu an ninh tại Dubai và là người sáng lập công ty bảo mật Comae Technologies nói: “Không nghi ngờ gì, chức năng này được chia sẻ qua hai chương trình đó. WannaCry và chương trình này được cho là do Lazarus chia sẻ. Nhóm này cũng có thể đứng sau WannaCry”.

Theo Suiche, đoạn lệnh đó đại diện cho một thuật toán mã hóa. Nhưng chức năng của mã này gần như không thú vị như Lazarus. Nhóm này đã từng nổi lên trong các vụ tấn công mạng khét tiếng nhắm vào các Tập đoàn lớn, bao gồm tấn công đầy vụ tai tiếng nhắm vào Sony Pictures cuối năm 2014, được cơ quan tình báo Mỹ xác định là do sự điều khiển của chính phủ Triều Tiên. Gần đây hơn, các nhà nghiên cứu tin rằng, Lazarus đã làm tổn hại đến hệ thống ngân hàng SWIFT, lấy đi hàng chục triệu đô la từ các ngân hàng của Bangladesh và Việt Nam. Công ty an ninh Symantec đầu tiên xác định Contopee là một trong những công cụ được sử dụng trong những vụ xâm nhập đó.

Các nhà nghiên cứu tại công ty bảo mật Kaspersky hồi tháng trước đã trình bày những bằng chứng mới kết nối các cuộc tấn công này lại với nhau, chỉ ra Bắc Triều Tiên là thủ phạm. Hôm qua (15/5), Kaspersky tiếp tục đi theo tweet của Mehta với một bài đăng trên blog phân tích sự tương đồng trong hai mẫu mã này. Tuy nhiên, họ lưu ý rằng, mã chia sẻ trong phần mềm độc hại của Lazarus và phiên bản đầu của WannaCry, không thể kết luận là do Bắc Triều Tiên.

"Bây giờ, cần nhiều nghiên cứu hơn nữa vào các phiên bản cũ của Wannacry. Chúng tôi tin rằng điều này có thể là chìa khóa để giải quyết một số những bí ẩn xung quanh cuộc tấn công này”, Kaspersky viết.

Trong một bài viết đăng trên blog, Kaspersky xác nhận rằng, việc lặp lại đoạn mã này có thể là "cờ giả" nhằm gây hiểu nhầm cho các nhà điều tra và tấn công Bắc Triều Tiên. Xét cho cùng, nguyên nhân phát tán WannaCry bắt nguồn từ Cơ quan anh ninh Mỹ (NSA). Trước đây, NSA đã phát triển một công cụ cho phép khai thác lỗ hổng trong hệ thống Microsoft. Vào giữa năm ngoái, nhóm hacker Shadow Brokers đã đột nhập máy chủ NSA và đánh cắp hàng trăm công cụ hack của cơ quan này.

Kaspersky gọi đó là kịch bản cờ giả "có thể" nhưng "không thể xảy ra". Tuy nhiên, các hacker đã không sao chép mã nguồn của NSA mà thay vào đó, nó đã gỡ bỏ nó khỏi công cụ hack công khai Metasploit. Trái lại, mã Lazarus trông giống như một sự tái sử dụng mã duy nhất bởi một nhóm đơn lẻ không tiện lợi. “Trường hợp này lại khác. Chúng cho thấy, một phiên bản WannaCry ban đầu đã được xây dựng với mã nguồn tùy chỉnh/ độc quyền được sử dụng trong “gia đình” Lazarus backdoors và không nơi nào khác”.

Hiện chưa có bất kỳ mối liên quan nào tới Bắc Triều Tiên được xác nhận. Nhưng WannaCry sẽ phù hợp với cuốn sách của Hermit Kingdom về hoạt động của hacker. Trong thập kỷ qua, các cuộc tấn công mạng đã chuyển từ tấn công DDoS sang tấn công phức tạp gây thiệt hại như vụ Sony cách đây vài năm. Gần đây, Kaspersky và các công ty khác đã lập luận rằng, Triều Tiên đã nhanh chóng mở rộng kỹ thuật của mình để trộm cắp hình sự, như các cuộc tấn công SWIFT.

Nếu tác giả của WannaCry không phải là Lazarus, nó sẽ cho thấy một mức độ đánh lừa cao tay của nhóm tội phạm mạng nhưng không may mắn trong việc kiếm tiền từ các nạn nhân. WannaCry bao gồm một công cụ "kill switch" không thể giải thích được trong mã của nó, hạn chế sự lây lan của nó và thậm chí thực hiện các chức năng ransomware mà không xác định chính xác người trả tiền chuộc.

Hiện tại vẫn còn rất nhiều câu hỏi chưa được trả lời. Nhưng Suiche nhìn thấy mối liên kết Contopee như là một đầu mối chính để biết được nguồn gốc của WannaCry.

 

.
.
.
.

.
.
.