Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Nhóm tin tặc Triều Tiên tiếp tục nhắm vào các sàn giao dịch tiền ảo của Hàn Quốc

(Không gian mạng) - Ngày 16/01, hãng bảo mật Recorded Future (Mỹ) công bố báo cáo phát hiện một chiến dịch mạng của nhóm tin tặc Lazarus (Triều Tiên) tiếp tục nhắm mục tiêu vào các lợi ích của Hàn Quốc, đặc biệt chú trọng đến các sàn giao dịch tiền ảo. 

Nhóm tin tặc Triều Tiên tiếp tục nhắm vào các sàn giao dịch tiền ảo của Hàn Quốc

Nhóm tin tặc Triều Tiên tiếp tục nhắm vào các sàn giao dịch tiền ảo của Hàn Quốc

Future Recorded cho biết chiến dịch được phát hiện vào cuối năm 2017, nhưng dường như vẫn chưa hoạt động. Theo Security Week, có khả năng vì lí do hiện tại hai nước đang diễn ra những cuộc thảo luận về việc Triều Tiên có khả năng tham gia vào Thế vận hội Mùa đông (tổ chức tại Pyeongchang, Hàn Quốc vào tháng 2/2018) hoặc đơn giản là do sự phát triển của chiến dịch chưa được bắt đầu.

Hãng đã phát hiện ra một chiến dịch lừa đảo trực tuyến sử dụng công cụ khai thác lỗ hổng Ghostscript (CVE-2017-8291) được kích hoạt từ các tài liệu định dạng HWP (phần mềm xử lý văn bản phổ biến ở Hàn Quốc).

Hiện tại, các cuộc thảo luận song phương giữa Triều Tiên và Hàn Quốc dường như rất hiệu quả. Được biết, Triều Tiên sẽ gửi một đoàn 140 thành viên tới Thế vận hội, và hai bên vẫn đang thảo luận về việc hợp nhất đội khúc côn cầu nữ. Tuy nhiên, trao đổi với Security Week, nhà nghiên cứu Priscilla Moriuchi của Recorded Future cho biết rằng chiến dịch này đã được chuẩn bị và có thể dễ dàng bị châm ngòi.

Vào đầu tháng 01/2017, hãng bảo mật McAfee (Mỹ) báo cáo mô tả một cuộc tấn công khác của một nhóm tin tặc – gần như chắc chắn là của Triều Tiên – chống lại những người đào thoát khỏi Triều Tiên, nhưng nhóm này dường như không liên quan đến bất kỳ nhóm tin tặc đã biết nào.

Future Recorded lưu ý một số kỹ thuật được sử dụng trong chiến dịch này khá bất thường đối với Lazarus. Các kỹ thuật như sử dụng PowerShell, HTA, JavaScript và Python, không bao giờ xuất hiện trong hoạt động của Lazarus suốt 08 năm qua. Tuy nhiên, chiến dịch mới này “thể hiện rất rõ ràng các TTP (chiến thuật, kỹ thuật, quy trình) của Lazarus nhắm mục tiêu vào các sàn giao dịch tiền ảo và các tổ chức xã hội ở Hàn Quốc”.

Cụ thể, các mục tiêu của Lazarus trong chiến dịch mới này bao gồm người dùng và sàn giao dịch tiền ảo Coinlink, các sàn giao dịch khác, và một nhóm có tên “Bạn bè của Bộ Ngoại giao (Friends of MOFA)”.

Việc nhắm mục tiêu tiền ảo là động cơ điển hình của Lazarus. Các nhà nghiên cứu từ lâu đã phát hiện ra sự thay đổi trong hoạt động tấn công của Triều Tiên, nhắm vào các tổ chức tài chính nhằm đánh cắp tiền và tạo ra nguồn tài chính cho chế độ Kim”. Lazarus được cho là đứng sau cuộc tấn công năm 2016 nhắm vào mạng lưới ngân hàng toàn cầu SWIFT, trong đó có vụ đánh cắp 81 triệu USD từ ngân hàng trung ương Bangladesh vào tháng 2/2016.

Vào tháng 12/2017, một sàn giao dịch tiền ảo của Hàn Quốc đã phải phá sản sau vụ tấn lần thứ 2 hai trong năm. Trong đợt tấn công đầu tiên, sàn này đã mất 4000 bitcoin tương đương khoảng 40% lượng dự trữ (khoảng 5 triệu USD vào thời điểm đó), và thêm 17% lượng dự trữ trong vụ tấn công tháng 12. Một số báo cáo cho thấy các cuộc tấn công đã được thực hiện bởi BlueNoroff, một nhóm nhỏ của Lazarus.

Sau này, các sàn giao dịch tiền ảo của Hàn Quốc đã tăng cường bảo vệ hệ thống mạng của mình hơn, trong khi chính phủ cũng xem xét các quy định để thắt chặt kiểm soát liên quan đến tiền ảo. Điều này khiến việc hack các sàn giao dịch sẽ trở nên khó khăn hơn trong tương lai. “Phần lớn các chiến dịch tấn công của Triều Tiên nhắm vào các sàn giao dịch và người dùng Hàn Quốc, nhưng chúng tôi hy vọng xu hướng này sẽ thay đổi vào năm 2018. Chúng tôi cho rằng nếu Hàn Quốc ứng phó được với những hành vi trộm cắp này bằng cách tăng cường bảo mật, họ sẽ trở thành những mục tiêu khó nhằn hơn và khiến tin tặc Triều Tiên phải nhắm vào người dùng và sàn giao dịch ở các nước khác”.

Đáng chú ý, Recorded Future cảnh báo rằng mặc dù chiến dịch và bộ công cụ lần này được thiết kế dành riêng để tấn công phần mềm xử lý văn bản Hangul Word Processor, nhưng lỗ hổng bị khai thác thì không. “Lỗ hổng này dành cho bộ công cụ Ghostscript và ảnh hưởng đến một loạt các sản phẩm, và mặc dù phiên bản cụ thể này được kích hoạt từ một PostScript đã được nhúng trong một tài liệu HWP, nhưng phiên bản này có thể dễ dàng được áp dụng với các phần mềm khác.”

Chiến dịch này được triển khai qua email lừa đảo trực tuyến. Bốn tài liệu mồi nhử riêng biệt đã được xác định: một mồi nhử nhắm vào người dùng của sàn giao dịch Coinlink; hai mồi nhử có vẻ là hồ sơ bị đánh cắp từ hai nhà khoa học máy tính Hàn Quốc làm việc tại các sàn giao dịch tiền ảo; và một lấy từ một trang blog do nhóm “Những người bạn của MOFA” điều hành. Tất cả các tài liệu mồi nhử này được tạo ra từ giữa tháng 10 đến cuối tháng 11/2017.

“Chiến dịch này dùng nhiều payload được tạo ra từ mã nguồn của code đánh cắp thông tin Destover để thu thập thông tin về hệ thống nạn nhân và trích xuất tập tin”, theo báo cáo Recorded Future. Destover cũng là điểm chỉ ra sự liên quan của Lazarus vào chiến dịch này. Mã độc này từng được sử dụng trong cuộc tấn công hãng Sony Pictures Entertainment vào năm 2014, các cuộc tấn công ngân hàng Ba Lan vào tháng 1/2017, và trong nạn nhân đầu tiên của vụ WannaCry được Symantec phát hiện.

Recorded Future không hy vọng rằng mối quan hệ hai bên nếu được cải thiện có thể ngăn Lazarus nhắm mục tiêu vào Hàn Quốc. Chiến dịch có thể được khởi động bất cứ lúc nào. Tuy nhiên, nếu các cuộc tấn công nhắm vào sàn giao dịch Hàn Quốc trở nên khó khăn và ít hiệu quả, thì tin tặc có thể dễ dàng thiết kế lại cuộc tấn công tương tự để nhắm vào các quốc gia khác.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: