“Lá cờ giả” trong Thế vận hội mùa đông 2018

Nhóm nghiên cứu và Phân tích toàn cầu Kaspersky Lab vừa công bố kết quả nghiên cứu các cuộc tấn công từ phần mềm độc hại OlympicDestroyer, cung cấp chứng cứ xác thực về lá cờ giả vô cùng tinh vi bên trong mã độc để đánh lừa sự săn lùng về nguồn gốc thật sự của nó.

"Lá cờ giả" trong Thế vận hội mùa đông 2018 - 180306 olympic destroyer 6
 

OlympicDestroyer đã gây tiếng vang trong kỳ Thế vận hội Mùa đông thời gian qua. Thế vận hội Pyeongchang đã gặp phải một cuộc tấn công mạng làm các hệ thống CNTT tê liệt trước lễ khai mạc chính thức, tắt các màn hình hiển thị, tắt Wi-Fi và đánh sập website Olympics khiến người dùng không thể in vé. Kaspersky Lab cũng phát hiện rất nhiều hệ thống resort trượt tuyết ở Hàn Quốc cũng bị phần mềm độc hại này tấn công khiến cổng và thang máy resort không hoạt động được. Mặc dù ảnh hưởng của cuộc tấn công này rất nhỏ nhưng khả năng phá hủy rất lớn, rất may mắn là điều này không xảy ra. 
 

Tuy nhiên, điều mà giới an ninh mạng quan tâm thật sự không phải khả năng hay tổn thất do cuộc tấn công Destroyer gây ra mà là nguồn gốc của nó. Có lẽ không phần mềm độc hại tinh vi nào lại có quá nhiều giả thuyết đưa ra như OlympicDestroyer. Trong những ngày tìm ra nó, nhóm nghiên cứu từ khắp nơi trên thế giới đã cố gắng quy kết nó thuộc về Nga, Trung Quốc và Triều Tiên, dựa trên những đặc tính trước đây của các nhóm gián điệp mạng tại các quốc gia này hoặc làm việc cho chính phủ các nước này. 
 

Các nhà nghiên cứu tại Kaspersky Lab cũng cố gắng tìm hiểu nhóm hacker đứng sau phần mềm độc hại này. Trong quá trình nghiên cứu, họ cũng tìm thấy những chứng cứ cho rằng phần mềm độc hại liên quan đến Lazarus – cái tên đặc biệt được chính phủ Triều Tiên hỗ trợ. 
 

Kết luận này dựa trên những dấu vết đặc biệt do tin tặc để lại. Sự kết hợp của nhiều yếu tố lưu trữ trên file như “dấu vân tay” được sử dụng trong quá trình phát triển mã code dùng để nhận biết chủ nhân và kế hoạch của chúng. Trong giả thuyết được Kaspersky Lab phân tích, dấu vân tay này khớp 100% với các bộ phận trong phần mềm độc hại Lazarus đã được biết đến và không hề trùng lặp với bất kì tập tin độc hại nào khác đã được Kaspersky Lab phát hiện tính đến thời điểm hiện tại. Kết hợp với nhiều điểm tương đồng trong cách thức, thủ pháp và quá trình hướng các nhà nghiên cứu đến kết luận rằng OlympicDestroyer là một hoạt động khác của Lazarus. Tuy nhiên, động cơ và những điểm bất đồng với Lazarus được tìm ra trong quá trình nghiên cứu của Kaspersky Lab tại cơ sở vật chất đã bị tổn hại ở Hàn Quốc khiến các nhà nghiên cứu xem xét lại những trường hợp hi hữu. 
 

Sau khi quan sát cẩn thận bằng chứng và xác minh thủ công mỗi tính năng, các nhà nghiên cứu đã phát hiện ra rằng tập hợp các tính năng không khớp với mã – nó đã được giả mạo để khớp hoàn toàn với dấu vân tay mà Lazarus sử dụng. Kết quả ghi nhận, các dấu hiệu “dấu vân tay” là một lá cờ giả rất tinh vi, cố ý đặt bên trong phần mềm độc hại nhằm tạo cho những người truy tìm nguồn gốc của nó nghĩ rằng họ đã tìm thấy bằng chứng “khẩu sung bốc khói”, khiến họ đi sai đường khi đi tìm giả thuyết chính xác hơn.  

 

Vitaly Kamluk, Giám đốc nhóm Nghiên cứu châu Á – Thái Bình Dương, Kaspersky Lab chia sẻ: “Với những gì chúng tôi được biết, chứng cứ chúng tôi tìm ra chưa từng được dùng trong các giả thuyết trước đây. Tuy nhiên tin tặc đã sử dụng nó vì dự đoán được rằng chúng sẽ bị phát hiện. Chúng cho rằng giả thuyết này rất khó chứng minh. Nó chỉ như việc đánh cắp DNA của ai đó và để nó lại hiện trường phạm tội. Chúng tôi phát hiện và chứng minh được rằng DNA được tìm thấy tại hiện trường là được để lại có mục đích. Tất cả những điều này cho thấy nhóm tin tặc đã nỗ lực như thế nào để lẩn trốn càng lâu càng tốt. Chúng tôi luôn cho rằng giả thuyết trong không gian mạng là rất khó vì rất nhiều thứ có thể làm giả, và OlympicDestroyer là minh họa chính xác nhất”. 
 

Sự quy kết đối với OlympicDestroyer vẫn là một câu hỏi mở – chỉ đơn giản bởi vì nó là một ví dụ duy nhất về việc thực hiện cờ sai một cách tinh vi. Tuy nhiên, các nhà nghiên cứu của Kaspersky Lab phát hiện ra rằng những kẻ tấn công đã sử dụng dịch vụ bảo vệ sự riêng tư của NordVPN và một nhà cung cấp hosting có tên MonoVM, cả hai đều chấp nhận Bitcoins. Những nhà cung cấp này và một số TTP khác đã được khám phá trước đây được sử dụng bởi Sofacy – mối đe dọa nói tiếng Nga.


Các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công OlympicDestroyer.

Ô Lâu

 

Sharp Pi, smartphone camera kép giá thấp lên kệ

Sharp Mobile Vietnam chính thức mở bán dòng điện thoại thông minh sở hữu camera kép Sharp Pi sau đợt ra mắt từ 2 tháng trước. Với mức giá 2,99 triệu đồng, đây là smartphone camera kép có giá cạnh tranh nhất hiện nay.

Galaxy S9/S9+ bắt đầu mở bán trên toàn quốc

Từ hôm nay, 16/3, người dùng Galaxy S9/S9+ đã có thể mua máy chính thức tại nhiều chuỗi cửa hàng điện thoại lớn trên toàn quốc.

VNPT ra mắt cổng thanh toán riêng

VNPT Pay là ứng dụng mới của VNPT cho khách hàng thanh toán dễ dàng 24/7 mọi dịch vụ của VNPT như điện thoại cố định, di động VinaPhone, truyền hình MyTV, internet FiberVNN cũng như nhiều dịch vụ thiết yếu khác.

Mạng di động Halotel của Viettel đạt 10% thị phần tại Tanzania

Báo cáo từ Cơ quan Quản lý Viễn thông Tanzania (TCRA) cho biết mạng di động của Viettel mang thương hiệu Halotel với 3,8 triệu khách hàng đã đạt thị phần ở mức hai con số là 10%.

Nước cờ mới của nhóm gián điệp Sofacy

Kaspersky Lab vừa phát đi thông cáo, mối đe dọa nói tiếng Nga Sofacy (còn được biết với tên APT28 hay Fancy Bear) đang chuyển mục tiêu sang Viễn Đông và nhắm đến các tổ chức quân sự, quốc phòng và ngoại giao ngoài các mục tiêu có liên quan đến NATO.

Mở bán online, Honor 9 Lite cháy hàng trong 1 giờ

Honor cho biết phiên bản Honor 9 Lite đã được bán hết trong vòng 48 phút, 50 phút và 58 phút trong lần ra mắt sản phẩm trên lần lượt tại các trang thương mại điện tử Shopee, Lazada và Tiki vào ngày 13/3.

Spotify cùng tham vọng “đốn tim” thị trường nghe nhạc Việt Nam

Ngày 13/3/2018, dịch vụ stream nhạc Spotify (Thụy Điển) chính thức ra mắt thị trường Việt Nam với kho nhạc hơn 35 triệu bài hát quốc tế và nhạc Việt, cùng những trải nghiệm các tính năng nghe nhạc thông minh dành cho cả hai nhóm người dùng miễn phí và có trả phí.

Cổ đông AVG đặt cọc 450 tỷ đồng để cam kết hủy hợp đồng với Mobifone

Liên quan đến sự việc Mobifone mua AVG từ 2016 và hủy hợp đồng mới đây, Mobifone cho biết theo thỏa thuận hai bên, nhóm cổ đông AVG đã đặt cọc số tiền gần 450 tỷ đồng để cam kết thực hiện việc hủy hợp đồng.

Kaspersky treo thưởng 100.000 USD cho những ai tìm ra lỗ hổng

Trong khuôn khổ Sáng kiến Minh bạch Toàn cầu của mình, cùng với việc mở rộng chương trình Bug Bounty, Kaspersky Lab công bố tăng phần thưởng lên đến 100.000 đô la cho việc tìm ra các lỗ hổng nghiêm trọng trong một số sản phẩm hàng đầu của công ty một cách có trách nhiệm.

Ứng dụng chuỗi khối Blockchain trong công nghiệp Robot và trí tuệ nhận tạo

Ngày 31/3/2018 tại TP.HCM, sẽ diễn ra hội thảo về ứng dụng chuỗi khối Blockchain trong ngành công nghiệp Robot và trí thông minh nhân tạo AI. Sự kiện do Mạng lưới giáo dục Blockchain (BEN) tổ chức, với sự tài trợ của NULS và Canya.