Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Tin tặc Triều Tiên dùng code cũ xây dựng chiến dịch mới

(Không gian mạng) - Một trong những chiến dịch tấn công mạng khét tiếng nhất thế giới đã dùng lối tắt – nhưng vẫn không làm giảm khả năng của chúng. 

Phân tích mới đây về các chiến dịch mạng cho thấy tin tặc Triều Tiên đang sử dụng lại mã độc và cơ sở hạ tầng tấn công, theo đó để lại dấu vết giúp chuyên gia ngày càng lần ra nhiều các sự cố mạng.

Cuộc kiểm tra mã độc được tin liên quan đến chiến dịch mạng của Triều Tiên đã phát hiện ra mã code tương đồng được tái sử dụng trong nhiều cuộc tấn công – khiến chuyên gia khá chắc chắn khẳng định rằng, một chuỗi các chiến dịch trong hơn một thập kỷ qua là do tin tặc của nước này thực hiện.

new-korea-connections

Tin tặc Triều Tiên dùng code cũ xây dựng chiến dịch mới

Nghiên cứu chung của hãng bảo mật McAfee (Mỹ) và Intezer (Israel) đã đưa ra mối liên hệ giữa những chiến dịch được quy kết cho tin tặc Triều Tiên, một hệ thống cơ sở hạ tầng chung dùng để triển khai tấn công mạng và là nơi các đội đặc biệt của đội quân mạng Triều Tiên làm việc.

Triều Tiên bị quy kết là thủ phạm của hàng loạt cuộc tấn công cấp cao trong nhiều năm gần đây, trong đó có chiến dịch mã độc tống tiền khét tiếng WannaCry, các vụ tấn công vào ngân hàng và trộm tiền ảo.

Việc kiểm tra code cho thấy, một tỉ lệ đáng kể trong khả năng của mã độc từ những chiến dịch trên không hề mới – một số thậm chí đã được dùng ít nhất là từ năm 2009 trong mã độc Brambul, một trong những mã độc đời đầu của Triều Tiên.

“Chúng luôn luôn phát triển, nhưng khi xem xét code chúng ta sẽ thấy có rất nhiều đoạn lặp với nhiều chiến dịch khác: một số thành phần trong mã độc WannaCry cũng từng được dùng trong cuộc tấn công trước đó”, trưởng nhóm khoa học và kỹ sư cấp cao tại McAfee – Christiaan Beek nói.

Một thành phần của mã độc WannaCry được thêm vào trước đây là một mô đun giao thức chia sẻ file phổ biến SMB, có thể truy về các cuộc tấn công diễn ra từ năm 2009, trong đó có chiến dịch Joanap và DeltaAlfa.

Điều này có nghĩa là mã code Brambul đã góp mặt trong WannaCry, loại mã độc giống đến 22% so với mã code 10 năm tuổi từng gây ra nhiều cuộc tấn công trước đó rất lâu,các chuyên gia cho biết.

Đó không phải là đoạn code được tái sử dụng duy nhất bị phát hiện trong các chuỗi của mã độc Brambul – mà nó còn một đoạn code khác chịu trách nhiệm ra lệnh cũng nằm trong Brambul 2009 bị sử dụng lại trong mã độc KorDllBot năm 2011, cho thấy rằng việc dùng lại code không phải là hiện tượng mới đây của những nhóm tin tặc này.

Khi phân tích mã code, các chuyên gia thậm chí còn phát hiện một đoạn code giống với đoạn được dùng trong chiến dịch DarkHotel – một chiến dịch gián điệp dài hạn nhắm vào các khách sạn sang trọng trên khắp Châu Á, với mục tiêu đánh cắp thông tin đăng nhập ngân hàng và nhiều dữ liệu khác.

Và đây không chỉ là phần code tương tự được sử dụng lại liên tục, mà hơn thế là nhiều thành phần khác nhau đã được dùng trong nhiều chiến dịch khác nhau – nhưng tất cả chúng đều chỉ ra cùng một thủ phạm.

“Đó là những mảnh khác nhau của một code được dùng trong nhiều cuộc tấn công khác nhau. Có vài đoạn code giao nhau, nhưng thỉnh thoảng chúng không giống nhau, tuy nhiên, có nhiều đoạn được dùng trong nhiều chiến dịch”, chuyên gia bảo mật cấp cao tại Intezer nói.

Vì vậy, trong lúc các nhóm tin tặc Triều Tiên như Lazarus liên tục cập nhật khả năng của chúng qua nhiều năm, thì việc dùng lại code đã tạo ra một yếu điểm: nó làm cho tin tặc dễ bị truy ra dấu vết hơn.

Nhưng lý do mà các nhóm tin tặc do nhà nước bảo trợ sử dụng lại code cũng như bất kỳ nhà phát triển nào khác – là tiết kiệm thời gian và nguồn lực để đảm bảo chu trình tạo ra mã độc nhanh chóng.

“Code được tạo ra bởi một nhà phát triển có kinh nghiệm cũng đã mất hàng tuần thậm chí hàng tháng, nhưng khi được kết nối lại với nhau từ những cái đã có sẵn thì chỉ là mất vài giờ hoặc vài ngày. Từ đó, việc tái sử dụng code là chuyện thường lệ; nó giúp lập trình viên và tin tặc tiết kiệm rất nhiều thời gian một cách nhanh chóng, trong khi vẫn đảm bảo được kết quả mong muốn cho chiến dịch”, Rosenberg cho biết.

Với những lệnh trừng phạt lên Triều Tiên đã dẫn đến hàng loại chiến dịch và tấn công tiền ảo nhằm lắp đầy két sắt, đây có thể là áp lực phụ thêm khiến đơn vị mạng nước này phải hoàn thành nhiệm vụ – dẫn đến việc dùng lại mã code.

“Mã code tái sử dụng thường bị hạn chế trong những giai đoạn đầu, nhưng qua nhiều năm, kho vũ khí của tin tặc đã phát triển, chúng ta có thể thấy nhiều loại vũ khí mạng của chúng đang lớn mạnh, nhưng chúng vẫn chuộng dùng lại code cũ”, Beek nói.

Điều này có thể tạo ra một cách hiệu quả cho các nhà phát triển khi cần nhanh chóng tạo ra phần mềm mã độc, nhưng việc dùng lại mã code tương tự cũng có thể làm giảm tính hiệu quả của chiến dịch vì nó giúp chuyên gia dễ phát hiện ra ra quy trình tấn công và thủ phạm hơn.

“Chúng khá là bất cẩn khi để lại toàn bộ chức năng trong mã nhị phân”, Rosenberg nói. “Việc biết được vị trí của mã code đã thấy trước đó giúp đội ngũ phản ứng sự cố mạng xử lý tốt hơn và bảo vệ mình trước tin tặc”.

Nhưng điều này không nói lên rằng tin tặc Triều Tiên không tinh vi và bỗng chốc trở nên không đáng ngại – các chiến dịch mới vẫn nổi lên từ quốc gia này – và thủ phạm đứng sau nó rõ ràng là rất có kỹ năng và nguồn lực dồi dào, dù thi thoảng phải đốt cháy giai đoạn.

Hồng Anh (Lược dịch từ ZDNet)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenxuanphuc.org
Thích và chia sẻ bài này trên: