Khi tin tặc bị… tin tặc tấn công

• Cảnh sát thuê tin tặc bẻ khóa smartphone để truy tội phạm mạng
• Triệt phá đường dây tin tặc chiếm quyền điều khiển máy ATM để rút tiền
• Thực hư thông tin tin tặc tấn công hệ thống mạng tại sân bay Đà Nẵng?

Đơn vị bị xâm nhập của NSA mang tên Equation Group, bao gồm các hacker thuộc hạng cao thủ, là đơn vị đã xây dựng và lưu trữ các phần mềm mã độc bị lấy cắp. Equation Group được giới chuyên gia cho là một đơn vị chiến tranh mạng tuyệt mật của NSA, là thủ phạm gây ra rất nhiều vụ tấn công tình báo mạng trên khắp thế giới.

Từ năm 2001 đến nay, đã có hàng ngàn nạn nhân của Equation Group tại hơn 30 quốc gia.

Equation Group lần đầu tiên bị vạch mặt vào tháng 2-2015, và người có đủ bản lĩnh làm việc này chính là công ty an ninh mạng hàng đầu thế giới Kaspersky Lab của Nga. Một đơn vị chuyên theo dõi các nguy cơ tấn công mạng toàn cầu của Kaspersky Lab có tên gọi là Đội Nghiên cứu và Phân tích toàn cầu (GReAT) đã phát hiện ra Equation Group. GReAT mô tả Equation Group là đơn vị tạo ra mối đe dọa toàn cầu có kỹ thuật và công nghệ phức tạp chưa từng thấy bao giờ.

Equation Group đặc biệt trên mọi phương diện: các công cụ tấn công rất phức tạp và được xây dựng rất tốn kém, khi tấn công các mục tiêu, truy xuất dữ liệu và che giấu hành động một cách rất chuyên nghiệp, sử dụng các kỹ thuật tình báo truyền thống để truyền mã độc vào mục tiêu tấn công. Equation Group có cả một kho "vũ khí" mã độc dùng để "cấy" vào các mục tiêu.

Các vũ khí này bao gồm một số mã quen thuộc như EquationLaser,   EquationDru, DoubleFantasy, TripleFantasy, Fanny và GrayFish. Gần đây hơn, thế giới từng chứng kiến những virus độc hại tấn công mạng máy tính các nhà máy hạt nhân của Iran như Stuxnet và Flame.

Trong quá trình theo dõi và phát hiện ra Equation Group, GReAT đã thu hồi được hai đoạn mã có khả năng lập trình lại hệ điều hành ổ cứng của hàng chục ổ đĩa HDD.

Đây có thể là công cụ mạnh nhất trong kho vũ khí của Equation Group và là mã độc đầu tiên trên thế giới có khả năng nhiễm độc vào ổ đĩa cứng. Việc lập trình lại hệ điều hành ổ cứng giúp mã độc bám chặt trong ổ cứng đó, giúp nó vượt qua được thao tác format ổ đĩa và cài đặt lại hệ điều hành. Một khi xâm nhập lại vào hệ điều hành mới, mã độc này có thể "hồi sinh" vĩnh viễn.

Sâu Fanny là một công cụ tấn công mạng xuất sắc của Equation Group. Mục đích chính của sâu này là nghiên cứu cấu trúc các mạng biệt lập và cách thức chúng kết nối với nhau, và sau đó là phát lệnh xâm nhập vào các mạng biệt lập đó. Equation Group sử dụng các lệnh và cơ chế kiểm soát từ xa chứa trong USB cho phép chuyển dữ liệu ra vào các mạng biệt lập.

Equation Group là đơn vị chiến tranh mạng của NSA.

Cách thức lây truyền mã độc Fanny rất đơn giản, chỉ cần người dùng cắm USB vào máy tính nhiễm mã độc Fanny rồi sau đó mang nó cắm vào máy tính không nối mạng. Cơ chế "tàng hình" của mã độc Fanny giúp nó không bị phát hiện bởi thao tác quét virus thông thường, do đó người dùng không thể phát hiện ra nó. Ngoài USB, mã độc của Equation còn được lây truyền bằng đĩa CD-ROM được phát miễn phí cho đại biểu dự các hội thảo, hội nghị khoa học.

Khi mang các CD-ROM về nhà và mở lên xem, nạn nhân đã tự cài mã độc vào máy tính của mình. GReAT cũng phát hiện ra rằng Equation Group có liên quan đến việc phát tán các virus Stuxnet và Flame thông qua việc phối hợp với các đơn vị xây dựng virus máy tính.

Để thực hiện các hoạt động tấn công mạng toàn cầu, Equation vận hành một hệ thống cơ sở hạ tầng đồ sộ gồm hơn 300 tên miền và hơn 100 máy chủ đặt tại nhiều quốc gia khác nhau, trong đó có Mỹ, Anh, Italia, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Cộng hòa Séc. Kể từ năm 2001, Equation Group đã cài mã độc cho hàng ngàn, hay thậm chí hàng chục ngàn nạn nhân ở hơn 30 quốc gia toàn thế giới.

Các đối tượng bị cài mã độc bao gồm: Các cơ quan chính phủ và cơ quan ngoại giao, các tổ chức hoạt động trong các lĩnh vực như dầu khí, quân sự, công nghệ nano, các học giả, nhà hoạt động Hồi giáo, truyền thông đại chúng, giao thông vận tải, các tổ chức tài chính và các công ty phát triển công nghệ mã hóa.

Trong quá trình theo dõi, GReAT đã phát hiện Equation Group đã thực hiện 7 vụ đột nhập để cài mã độc. Trong quá trình cài mã độc, Equation Group có khả năng thực hiện một chuỗi 10 hoạt động đột nhập. Quan sát phương thức hoạt động, các chuyên gia của Kaspersky Lab kết luận Equation Group thường thực hiện chuỗi 3 đợt đột nhập; nếu đợt thứ nhất thất bại, nhóm sẽ thực hiện đợt đột nhập thứ hai, nếu vẫn thất bại thì thực hiện đợt đột nhập thứ ba.

Nếu cả ba đợt đột nhập đều thất bại, nhóm sẽ từ bỏ việc cài mã độc. Kaspersky đã phát triển thành công công nghệ tự động ngăn chặn đột nhập (AEP) cho phép hệ thống máy vi tính tự động phát hiện và ngăn chặn sự đột nhập của một chương trình lạ. Kaspersky đã phát hiện ra mã độc Fanny từ tháng 12-2008, vài tháng sau khi nó được lập trình.

Cho đến nay, Shadow Brokers mới chỉ tung ra vài tập dữ liệu "nhử" và hình ảnh danh mục các công cụ mã độc của Equation Group bị lấy cắp. Giới chuyên gia của Paskersky đánh giá đây quả thật là các công cụ của Equation Group. Các tập tin và hình ảnh này được cho là trùng khớp với các tập tin được đề cập trong hồ sơ do cựu điệp viên NSA Edward Snowden tiết lộ.

Theo giới chuyên gia, vụ việc nghe có vẻ nghiêm trọng này thực chất không tác động trực tiếp đến hệ thống mạng của NSA. Các dữ liệu, công cụ bị lấy cắp được lưu trữ trong một hệ thống nằm bên ngoài mạng máy tính của NSA, vốn là nơi chứa các chương trình mã độc của NSA. Các chuyên gia đánh giá, nếu Shadow Brokers thật sự xâm nhập được vào bên trong hệ thống mạng của NSA, họ không dại gì tự bộc lộ mình để bị phát hiện.

Cho đến nay, các chuyên gia mạng vẫn chưa xác định được Shadow Brokers là ai, từ đâu đến, do ai quản lý. Nước Mỹ vừa trải qua vụ tấn công đột nhập hộp thư điện tử của đảng Dân chủ và giới chính khách Mỹ, trong đó có ứng cử viên Tổng thống Hillary Clinton đã lên tiếng cáo buộc tình báo Nga đứng sau vụ việc.

Với vụ tấn công này, người ta lại nghĩ đến khả năng Shadow Brokers chính là những hacker giấu mặt của tình báo Nga, với mục tiêu "phá đám" cuộc bầu cử Tổng thống Mỹ. Còn Snowden thì đưa ra giả thuyết rằng vụ tấn công lấy cắp mã độc của Equation Group xuất phát từ Nga và nhằm mục đích phơi bày bằng chứng về hoạt động chiến tranh mạng của NSA.