“Xóa sổ” hoạt động của nhóm chuyên tấn công mạng phá hủy

Cùng với Novetta và những cộng sự trong ngành, Kaspersky Lab vừa công bố sự đóng góp của hãng trong việc xóa sổ hoạt động của Lazarus - phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới.

Phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng múi giờ GMT+8 - GMT+9.Phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng múi giờ GMT+8 - GMT+9.

Sau khi cuộc tấn công tàn khốc vào công ty sản xuất phim nổi tiếng Sony Pictures Entertainment (SPE) diễn ra vào năm 2014, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky Lab (GReAT) bắt tay vào điều tra với mẫu phần mềm độc hại Destover được sử dụng công khai trong cuộc tấn công, dẫn đến cuộc nghiên cứu rộng hơn về những chiến dịch gián điệp và phá hoại mạng liên tiếp nhắm vào tổ chức tài chính, truyền thông, công ty sản xuất và nhiều tổ chức khác.

Dựa vào những đặc điểm thường thấy ở nhiều gia đình trojan khác nhau, các chuyên gia tại công ty đã nhóm hàng chục cuộc tấn công riêng lẻ lại và quả quyết rằng chúng đều thuộc về một mối đe dọa, điều này cũng được các thành viên Operation Blockbuster xác nhận trong phân tích của họ.

Lazarus đã hoạt động được nhiều năm trước vụ việc SPE xảy ra và có vẻ nó vẫn còn hoạt động đến bây giờ. Nghiên cứu từ Kaspersky Lab và những nghiên cứu khác của Operation Blockbuster đều xác nhận mối liên hệ giữa phần mềm độc hại được dùng trong nhiều chiến dịch, ví dụ chiến dịch DarkSeoul nhắm vào ngân hàng và đài phát thanh Seoul, chiến dịch Troy nhắm vào lực lượng vũ trang Hàn Quốc và vụ việc hãng Sony Pictures.

Trong quá trình điều tra, các nhà nghiên cứu tại Kaspersky Lab đã trao đổi những phát hiện sơ bộ với AlienVault Labs. Cuối cùng, các nhà nghiên cứu tại 2 công ty quyết định hợp sức điều tra. Đồng thời, nhiều công ty và chuyên gia bảo mật cũng điều tra hoạt động của Lazarus. Trong số những công ty này, Novetta đã đề xuất sáng kiến công bố rộng rãi thông tin về nhóm Lazarus. Là một thành viên của Operation Blockbuster, cũng với Novetta, AlienVault Labs và nhiều cộng sự trong nganh khác, Kaspersky Lab cũng công bố những phát hiện của mình vì lợi ích cộng đồng.

Bằng cách phân tích nhiều mẫu phần mềm độc hại được tìm thấy trong nhiều vụ việc an ninh mạng và thành lập phương pháp kiểm tra đặc biệt, Kaspersky Lab, AlienVault và các chuyên gia khác tại Operation Blockbuster đã xác định được nhiều cuộc tấn công do nhóm Lazarus tiến hành.

Mối liên hệ giữa nhiều vật mẫu và một nhóm người được tìm thấy trong khi điều tra phương pháp do nhóm người này thực hiện. Cụ thể, tin tặc tích cực sử dụng lại đoạn mã ngắn từ một chương trình độc hại này cho một chương trình độc hại khác.

Bên cạnh đó, các nhà nghiên cứu đã tìm thấy sự giống nhau trong cách hoạt động của tin tặc. Trong khi phân tích kết quả từ những cuộc tấn công khác nhau, họ nhận ra dropper (tập tin đặc biệt dùng để cài đặt nhiều biến thể khác nhau của một phần mềm độc hại) - tất cả đều được khóa bằng mật khẩu được bảo vệ bằng bản sao file ZIP. Mật khẩu là giống nhau cho nhiều chiến dịch khác nhau và được mã hóa bên trong tập tin dropper đó. Mật khẩu bảo vệ được thiết lập nhằm ngăn chặn hệ thống tự động giải nén và phân tích tập tin nhưng thực tế việc này chỉ giúp các nhà nghiên cứu xác định danh tính băng nhóm. 

Phương pháp đặc biệt được tội phạm sử dụng nhằm xóa dấu vết hoạt động trên hệ thống bị lây nhiễm cùng với thủ pháp lẩn trốn khỏi sản phẩm diệt virus cũng giúp các nhà nghiên cứu phát hiện nhiều cách tấn công liên quan nhau. Cuối cùng, hàng chục cuộc tấn công có chủ đích khác nhau với những kẻ tổ chức đã từng được cho là không xác định được danh tính chỉ thuộc về một mối đe dọa.

Phân tích thời gian của bộ mẫu thử cho thấy mẫu đầu tiên đã xuất hiện từ rất lâu vào năm 2009, 5 năm trước cuộc tấn công khét tiếng vào Sony. Số lượng mẫu thử mới tăng đáng kể từ năm 2010. Điều này cho thấy nhóm Lazarus là một mối đe dọa ổn định và đã có từ lâu. Dựa trên siêu dữ liệu được xuất ra từ mẫu thì phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng múi giờ GMT+8 - GMT+9.

Phát biểu nhân sự kiện này, Juan Guerrero, nhà nghiên cứu bảo mật tại Kaspersky Lab cho biết: “Như chúng tôi đã dự đoán, số cuộc tấn công phá hủy vẫn tăng đều đặn. Loại phần mềm độc hại này đã chứng tỏ mình là một vũ khí mạng cực kì hữu dụng. Sức mạnh nhằm xóa sổ hàng ngàn máy tính chỉ bằng một phím đại diện cho món tiền thưởng đáng kể cho nhóm Khai thác mạng máy tính với nhiệm vụ tung tin giả và phá hoại công ty mục tiêu. Cùng với các cộng sự, chúng tôi tự hào đặt một vết lõm trong các hoạt động của một kẻ vô đạo đức sẵn sàng lợi dụng những kỹ thuật tàn phá”...

Để biết thêm về các phát hiện của Kaspersky Lab về nhóm Lazarus, bạn đọc có thể truy cập Securelist.com.

(GN)