Tin tặc và các cơ quan tình báo tấn công lẫn nhau
Theo các nhà nghiên cứu của Kaspersky Lab, sự gia tăng các hoạt động tình báo chống tình báo đang khiến cho việc phân tích, ngăn ngừa các nguy cơ tấn công mạng càng trở nên khó khăn hơn.
Các nhà nghiên cứu thường dựa vào các dấu hiệu và công cụ để chỉ ra thủ phạm đứng đằng sau những cuộc tấn công, từ đó khuyến cáo khách hàng về rủi ro. Tuy nhiên, việc các nhóm tin tặc và các tổ chức tình báo tấn công lẫn nhau để lợi dụng công cụ, hạ tầng và khai thác lại những nạn nhân của nhau khiến cho điều đó trở nên vô cùng phức tạp.
Bài trình bày cho thấy, mọi việc phức tạp khi bên thứ tư tham gia vào cuộc tấn công mạng. Hai chuyên gia của Kaspersky Lab là Juan Andres Guerrero-Saade và Costin Raiu đã giải thích những vấn đề phức tạp khi một nhóm tin tặc lợi dụng công cụ nguồn đóng và hạ tầng của nhóm tin tặc khác.
Ngày nay, các nhóm tình báo công nghiệp đang tìm mọi cách đánh cắp công cụ của nhau, tận dụng những vụ tấn công đã có, tấn công lại những địa chỉ cũ. Việc dùng lại một phần công cụ của nhau phổ biến hơn việc đánh cắp toàn bộ và tái sử dụng các vụ tấn công có chủ đích (APT) của bên thứ ba.
Các nhóm tình báo thường dùng hai kiểu tấn công chính: Kiểu tấn công bị động là theo dõi dữ liệu trong các cuộc tấn công khi chúng được chuyển từ nạn nhân tới máy chủ kiểm soát và điều khiển; Kiểu tấn công chủ động là tấn công vào hạ tầng của nhóm khác, tuy dễ bị phát hiện hơn nhưng cũng đem lại nhiều phần thưởng hơn. Tấn công chủ động cho phép lấy dữ liệu định kỳ, giám sát đối tượng và nạn nhân của nó hay thậm chí chèn mã hoặc thực hiện các cuộc tấn công khác mà vẫn “đổ tội” được cho phủ phạm ban đầu. Khả năng thành công của các cuộc tấn công chủ động phụ thuộc phần lớn vào việc phạm sai lầm của nhóm tin tặc/tình báo đã tấn công trước đó.
Các nhà nghiên cứu của Kaspersky đã tìm ra hai ví dụ về trường hợp cổng hậu được cài vào hạ tầng kiểm soát và điều khiển của nhóm tin tặc khác. Ví dụ thứ nhất là, năm 2013, khi phân tích một máy chủ của nhóm tin tặc dùng tiếng Trung Quốc có tên là NetTraveler, dùng để tấn công các tổ chức ở châu Á. Trường hợp thứ hai được phát hiện năm 2014, khi thăm dò một website bị tấn công bởi một nhóm tin tặc sử dụng tiếng Nga có tên là Crouching Yeti. Năm 2016, một website được dựng bởi nhóm sử dụng tiếng Triều Tiên có tên là DarkHotel cũng chứa script của một nhóm tin tặc khác chuyên tấn công các tổ chức Nga, Trung Quốc và Hàn Quốc có tên là ScarCruft.
Tháng 11/2014, Kaspersky Lab báo cáo rằng, một máy chủ thuộc về một tổ chức nghiên cứu ở Trung Đông có tên là Magnet of Threats, chứa mã độc của Regin và Equation Group (tiếng Anh), Turla và ItaDuke (tiếng Nga), cũng như Animal Farm (tiếng Pháp) và Careto (tiếng Tây Ban Nha). Máy chủ này là điểm xuất phát để tìm ra nhóm Equation Group, liên quan đến tiết lộ của Edward Snowden về nhóm tấn công cao cấp của NSA.
Nguyễn Anh Tuấn
(theo The Register)