Trương Tấn Sang » An Ninh Quốc Phòng – Chính Trị – Xã Hội » Reuters: Trung Quốc dùng mã độc tống tiền tấn công Mỹ

(Không gian mạng) - Reuters ngày 14/03 đưa tin, 4 hãng bảo mật điều tra các vụ tấn công mạng nhắm vào Mỹ vừa đưa ra cảnh báo nước này vẫn đang hứng chịu các cuộc tấn công mạng từ tin tặc Trung Quốc, nhưng theo chiều hướng dùng mã độc tống tiền (ransomware) thay vì gián điệp mạng như trước kia.

Ransomware là hình thức mã hóa tập tin máy tính của mục tiêu và sau đó yêu cầu nạn nhân trả tiền chuộc để chúng mở khóa, đang được coi là phương thức của tầng lớp tội phạm mạng “bình dân”.

Tuy nhiên, các giám đốc điều hành của công ty bảo mật đã quan sát được ít nhất là 6 trường hợp xuất hiện ở 3 tháng gần đây có mức độ khá tinh vi và sử dụng chiến thuật, công cụ từng có trong các vụ xâm nhập mạng máy tính do Chính phủ Trung Quốc bảo trợ, bao gồm cả kỹ thuật chiếm quyền truy cập và di chuyển tự do trong hệ thống mạng, cũng như các mã độc điều khiển hoạt động xâm nhập.

Ransomware là hình thức mã hóa tập tin máy tính của mục tiêu và sau đó yêu cầu nạn nhân trả tiền chuộc để chúng mở khóa

Ransomware là hình thức mã hóa tập tin máy tính của mục tiêu và sau đó yêu cầu nạn nhân trả tiền chuộc để chúng mở khóa

“Đây rõ ràng là một đội ngũ tấn công có nhiều kinh nghiệm xâm nhập”, Phil Burdette, người đứng đầu đội ứng phó sự cố tại hãng bảo mật Dell SecureWorks cho biết.

Burdette cho biết nhóm của ông đã nghiên cứu 3 trường hợp tin tặc phát tán ransomware sau khi khai thác các lỗ hổng trên các máy chủ ứng dụng. Từ đó, các tin tặc đã tấn công hơn 100 máy tính mỗi công ty để cài đặt các chương trình độc hại.

Nạn nhân bao gồm một công ty vận tải và một công hãng công nghệ bị tin tặc thâu tóm 30% máy móc.Các hãng bảo mật còn lại bao gồm InGuardians và G-C Partners, cho biết họ đã điều tra 3 vụ tấn công khác dùng ransomware tương tự kể từ tháng 12/2015.

Các hãng bảo mật đều kết luận rằng tất cả những cách thức của các cuộc tấn công này giống với hoạt động của một nhóm gián điệp mạng tinh vi từng được biết đến của Trung Quốc, Giám đốc nghiên cứu tấn công điều hành Val Smith trao đổi với Reuters cho biết.

Các cuộc tấn công dùng ransomware này chưa từng được báo cáo. Không ai trong số các công ty nạn nhân đồng ý công bố vụ việc.

Mỗi hãng bảo mật đều có giả thiết khác nhau về thủ phạm cũng như nguyên nhân của các cuộc tấn công trên, nhưng họ không có bằng chứng và không đưa ra bất kỳ kết luận chắc chắn.

Hầu hết các giả thuyết đều nghiêng về lý do Chính phủ Trung Quốc giảm hỗ trợ cho hoạt động gián điệp kinh tế nên một số tin tặc chính phủ hoặc các tin tặc hợp đồng bị mất việc hoặc giảm việc và họ phải tìm cách bổ sung thu nhập của mình thông qua việc tống tiền bằng mã độc.

Một giả thiết khác là các doanh nghiệp Mỹ bị xâm nhập mạng trước kia đã được Trung Quốc “bỏ ngỏ” nhưng các điệp viên hay tin tặc cộng sự vẫn cố gắng khai thác trên đường rút lui.

Tuy nhiên, các chuyên gia bảo mật cũng không loại trừ khả năng tham gia của những tin tặc bình thường, họ có thể đã nâng cao kỹ thuật và mua các công cụ từng được Chính phủ Trung Quốc sử dụng. Trong một số trường hợp của hãng Dell, các phương tiện truy cập của tin tặc được xây dựng từ năm 2013.

Dell cho biết, một số mã độc đã được xây dựng bởi các hãng bảo mật khác liên kết với nhóm Codoso, từng đạt kỷ lục nhiều năm về các cuộc tấn công phục vụ cho lợi ích của chính phủ Trung Quốc, bao gồm những cuộc tấn công nhắm vào các công ty quốc phòng của Mỹ và các trang web tập trung vào người thiểu số Trung Quốc.

Trung Nguyên (dịch từ reuters.com)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@truongtansang.net