Tìm ra nhóm hacker đứng sau vụ hack Sony Pictures

Nhóm hacker này cực kỳ nguy hiểm, hoạt động rộng khắp trên thế giới, trong đó có Việt Nam.

Đã tìm ra dấu vết nhóm hacker tấn công Sony Pictures

Kaspersky Lab cho biết, hãng này vừa góp sức trong việc xóa sổ hoạt động của Lazarus - một phần mềm cực kỳ độc hại chuyên phá hoại dữ liệu và thực hiện những hoạt động gián điệp mạng tại vô số công ty trên thế giới. Những hacker điều hành Lazarus được cho là cũng đứng sau cuộc tấn công vào hãng phim Sony Pictures Entertainment (SPE) hồi năm 2014.

Đã tìm ra dấu vết nhóm hacker tấn công Sony Pictures.

Sau khi xảy ra cuộc tấn công tàn khốc vào công ty sản xuất phim nổi tiếng Sony Pictures Entertainment diễn ra vào năm 2014, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky Lab (GReAT) đã bắt tay vào điều tra với mẫu phần mềm độc hại Destover mà đã được sử dụng công khai trong cuộc tấn công. Sau đó, đã mở ra cuộc nghiên cứu rộng hơn về những chiến dịch gián điệp và phá hoại mạng liên tiếp nhắm vào các tổ chức tài chính, truyền thông, công ty sản xuất và nhiều tổ chức khác.

Dựa vào những đặc điểm thường thấy ở nhiều loại trojan khác nhau, các chuyên gia tại công ty đã gom nhóm hàng chục cuộc tấn công riêng lẻ lại và quả quyết rằng chúng đều thuộc về một mối đe dọa, điều này cũng được các thành viên trong liên minh Operation Blockbuster xác nhận.

Lazarus đã hoạt động được nhiều năm trước vụ việc SPE xảy ra và có vẻ nó vẫn còn hoạt động đến bây giờ. Nghiên cứu từ Kaspersky Lab và những nghiên cứu khác của Operation Blockbuster đều xác nhận, có một mối liên hệ giữa phần mềm độc hại được dùng trong các chiến dịch khác nhau, ví dụ chiến dịch DarkSeoul (nhắm vào ngân hàng và đài phát thanh Seoul), chiến dịch Troy (nhắm vào lực lượng vũ trang Hàn Quốc) và vụ việc với hãng Sony Pictures.

Những đặc điểm của nhóm hacker Lazarus

Bằng cách phân tích nhiều mẫu phần mềm độc hại được tìm thấy trong nhiều vụ việc an ninh mạng và xây dựng phương pháp kiểm tra đặc biệt, Kaspersky Lab, AlienVault và các chuyên gia khác tại Operation Blockbuster đã xác định được nhiều cuộc tấn công do nhóm Lazarus thực hiện. Tin tặc còn thường xuyên sử dụng lại đoạn mã một chương trình độc hại này cho một chương trình độc hại khác.

Những đặc điểm, thủ đoạn hoạt động của nhóm hacker này đã bị lật tẩy.

Trong khi phân tích kết quả từ những cuộc tấn công khác nhau, họ nhận ra tất cả các dropper (tập tin đặc biệt dùng để cài đặt nhiều biến thể khác nhau của một phần mềm độc hại) đều được khóa bằng mật khẩu mà đã được bảo vệ bằng bản sao *.zip.

Mật khẩu là giống nhau cho nhiều chiến dịch khác nhau và được mã hóa ngay bên trong tập tin dropper đó. Mật khẩu bảo vệ được thiết lập nhằm ngăn chặn hệ thống tự động giải nén và phân tích tập tin, nhưng thực tế việc này đã giúp các nhà nghiên cứu xác định danh tính băng nhóm. 

Một phương pháp đặc biệt được tội phạm sử dụng nhằm xóa dấu vết các hoạt động trên hệ thống, cũng như ẩn mình khỏi sản phẩm diệt virus và làm khó các nhà nghiên cứu phát hiện ra chúng. Cuối cùng, hàng chục cuộc tấn công có chủ đích khác nhau đã được xác định chỉ thuộc về một mối đe dọa.

Đã xuất hiện cách đây 7 năm

Phân tích thời gian của bộ mẫu thử cho thấy, mẫu đầu tiên đã xuất hiện từ rất lâu vào năm 2009 - tức 5 năm trước khi xảy ra cuộc tấn công khét tiếng vào Sony. Số lượng mẫu thử mới tăng đáng kể từ năm 2010. Điều này cho thấy nhóm Lazarus là một mối đe dọa ổn định và đã có từ lâu. Dựa trên siêu dữ liệu được xuất ra thì phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng có múi giờ GMT+8 đến GMT+9 (ở Việt Nam là GMT+7).

Vùng hoạt động của nhóm hacker này.

Andre Ludwig, Giám đốc kỹ thuật của Tập đoàn Novetta chia sẻ: “Thông qua Through Operation Blockbuster, Novetta, Kaspersky Lab và các cộng sự, chúng tôi đã và đang cố gắng tìm ra phương pháp để xóa bỏ hoạt động của các nhóm tấn công trên toàn thế giới, cũng như nỗ lực để giảm thiểu tổn thất. Việc chia sẻ phát hiện của chúng tôi với nhau càng đáng quý hơn".