Người ta đã phá án Lazarus Group, kẻ đứng sau cuộc tấn công Sony Pictures Entertainment như thế nào?

Nhằm truy quét nhóm hacker Lazarus, ba đại diện trong làng bảo mật thế giới là Kaspersky Lab, Novetta và AlienVault đã cùng tham gia vào chiến dịch chung có tên Operation Blockbuster.

Mục đích của sự hợp tác này là xóa sổ hoạt động của Lazarus – phần mềm cực kì độc hại chuyên phá hoại dữ liệu và thực hiện hoạt động gián điệp mạng tại vô số công ty trên toàn thế giới. Những kẻ tấn công được cho là những kẻ đứng sau cuộc tấn công vào hãng Sony Pictures Entertainment năm 2014, cũng như hoạt động DarkSeoul nhắm vào truyền thông và tổ chức tài chính năm 2013.

Chân tướng sự việc từ vụ tấn công vào Sony

Sau khi cuộc tấn công tàn khốc vào công ty sản xuất phim nổi tiếng Sony Pictures Entertainment (SPE) diễn ra vào năm 2014, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky Lab (GReAT) bắt tay vào điều tra với mẫu phần mềm độc hại Destover được sử dụng công khai trong cuộc tấn công, dẫn đến cuộc nghiên cứu rộng hơn về những chiến dịch gián điệp và phá hoại mạng liên tiếp nhắm vào tổ chức tài chính, truyền thông, công ty sản xuất và nhiều tổ chức khác.

Dựa vào những đặc điểm thường thấy ở nhiều gia đình trojan khác nhau, các chuyên gia tại công ty đã nhóm hàng chục cuộc tấn công riêng lẻ lại và quả quyết rằng chúng đều thuộc về một mối đe dọa, điều này cũng được các thành viên Operation Blockbuster xác nhận trong phân tích của họ.

Trên thực tế, Lazarus đã hoạt động được nhiều năm trước vụ việc SPE xảy ra và có vẻ nó vẫn còn hoạt động đến bây giờ. Nghiên cứu từ Kaspersky Lab và những nghiên cứu khác của Operation Blockbuster đều xác nhận mối liên hệ giữa phần mềm độc hại được dùng trong nhiều chiến dịch. Ví dụ chiến dịch DarkSeoul nhắm vào ngân hàng và đài phát thanh Seoul, chiến dịch Troy nhắm vào lực lượng vũ trang Hàn Quốc và vụ việc hãng Sony Pictures.

Trong quá trình điều tra, các nhà nghiên cứu tại Kaspersky Lab đã trao đổi những phát hiện sơ bộ với AlienVault Labs. Cuối cùng, các nhà nghiên cứu tại 2 công ty quyết định hợp sức điều tra. Đồng thời, nhiều công ty và chuyên gia bảo mật cũng điều tra hoạt động của Lazarus. Trong số những công ty này, Novetta đã đề xuất sáng kiến công bố rộng rãi thông tin về nhóm Lazarus. Là một thành viên của Operation Blockbuster, cùng với Novetta, AlienVault Labs và nhiều cộng sự trong ngành khác, Kaspersky Lab cũng công bố những phát hiện của mình vì lợi ích cộng đồng.

Làm sao để tìm ra chân tướng Lazarus?

Bằng cách phân tích nhiều mẫu phần mềm độc hại được tìm thấy trong nhiều vụ việc an ninh mạng và thành lập phương pháp kiểm tra đặc biệt, Kaspersky Lab, AlienVault và các chuyên gia khác tại Operation Blockbuster đã xác định được nhiều cuộc tấn công do nhóm Lazarus tiến hành. Người ta đã tìm ra, tin tặc tích cực sử dụng lại đoạn mã ngắn từ một chương trình độc hại này cho một chương trình độc hại khác.

Bên cạnh đó, các nhà nghiên cứu đã tìm thấy sự giống nhau trong cách hoạt động của tin tặc. Trong khi phân tích kết quả từ những cuộc tấn công khác nhau, họ nhận ra dropper - tập tin đặc biệt dùng để cài đặt nhiều biến thể khác nhau của một phần mềm độc hại 0 tất cả đều được khóa bằng mật khẩu được bảo vệ bằng bản sao file ZIP.

Mật khẩu là giống nhau cho nhiều chiến dịch khác nhau và được mã hóa bên trong tập tin dropper đó. Mật khẩu bảo vệ được thiết lập nhằm ngăn chặn hệ thống tự động giải nén và phân tích tập tin nhưng thực tế việc này chỉ giúp các nhà nghiên cứu xác định danh tính băng nhóm.

Phương pháp đặc biệt được tội phạm sử dụng nhằm xóa dấu vết hoạt động trên hệ thống bị lây nhiễm cùng với thủ pháp lẩn trốn khỏi sản phẩm diệt virus cũng giúp các nhà nghiên cứu phát hiện nhiều cách tấn công liên quan nhau. Cuối cùng, hàng chục cuộc tấn công có chủ đích khác nhau với những kẻ tổ chức đã từng được cho là không xác định được danh tính chỉ thuộc về một mối đe dọa.

Tung tích của nhóm Lazarus được hé lộ

Phân tích thời gian của bộ mẫu thử cho thấy mẫu đầu tiên đã xuất hiện từ rất lâu vào năm 2009, 5 năm trước cuộc tấn công khét tiếng vào Sony. Số lượng mẫu thử mới tăng đáng kể từ năm 2010. Điều này cho thấy nhóm Lazarus là một mối đe dọa ổn định và đã có từ lâu. Dựa trên siêu dữ liệu được xuất ra từ mẫu thì phần lớn chương trình độc hại của Lazarus xuất hiện trong giờ làm việc tại vùng múi giờ GMT 8 - GMT 9.

Juan Guerrero, nhà nghiên cứu bảo mật tại Kaspersky Lab cho biết:

"Như chúng tôi đã dự đoán, số cuộc tấn công phá hủy vẫn tăng đều đặn. Loại phần mềm độc hại này đã chứng tỏ mình là một vũ khí mạng cực kì hữu dụng. Sức mạnh nhằm xóa sổ hàng ngàn máy tính chỉ bằng một phím đại diện cho món tiền thưởng đáng kể cho nhóm Khai thác mạng máy tính với nhiệm vụ tung tin giả và phá hoại công ty mục tiêu.

Giá trị của nó như là một phần của chiến tranh tích hợp, nơi mà các cuộc tấn công phá hủy cùng với các cuộc tấn công làm tê liệt cơ sở hạ tầng của một quốc gia vẫn còn là một ý tưởng thử nghiệm thú vị gần với thực tế hơn điều mà chúng ta có thể thoải mái với nó. Cùng với các cộng sự, chúng tôi tự hào đặt một vết lõm trong các hoạt động của một kẻ vô đạo đức sẵn sàng lợi dụng những kỹ thuật tàn phá".

Jaime Blasco, nhà khoa học tại AlienVault phát biểu:

"Mối đe dọa này có những kỹ năng và quyết định cần thiết để thực hiện hoạt động gián điệp mạng nhằm đánh cắp thông tin hoặc gây tổn thất. Kết hợp chúng với việc sử dụng thủ pháp thông tin giả và mánh khóe, những kẻ tấn công đã thành công trong việc thực hiện hoạt động trong những năm gần đây. Operation Blockbuster là một ví dụ về cách toàn ngành chia sẻ thông tin và hợp tác để có thể thiết lập tiêu chuẩn cao hơn và ngăn ngừa mối đe dọa này tiếp tục hoạt động".

Andre Ludwig, Giám đốc kỹ thuật, Tập đoàn Novetta chia sẻ:

"Thông qua Through Operation Blockbuster, Novetta, Kaspersky Lab và các cộng sự của chúng tôi đã và đang cố gắng tìm ra phương pháp để xóa bỏ hoạt động của các nhóm tấn công trên toàn thế giới và nỗ lực để giảm thiểu tổn thất. Mức độ tỉ mẩn của kỹ thuật phân tích dùng trong Operation Blockbuster rất đáng quý, và việc chia sẻ phát hiện của chúng tôi với các đối tác trong ngành để tăng thêm sự hiểu biết thì lại càng đáng quý hơn".