Tất tần tật những gì bạn cần biết về vụ việc Cơ quan An ninh quốc gia Mỹ vừa bị tin tặc tấn công

    Joe Adam,  

    Sự kiện cơ quan an ninh quốc gia Mỹ bị tin tặc tấn công đã tạo nên một cuộc tranh luận lớn trên mạng Internet nghi ngờ về khả năng của cơ quan tình báo Mỹ cũng như hệ thống an ninh của họ…

    Vào sáng ngày 13 tháng 8, tin tức nổ lên trên mọi mặt báo, tổ chức hacker bí mật với cái tên “The Shadow Brokers” đã tuyên bố hack thành công một tổ chức khác, có liên quan tới cơ quan an ninh quốc gia (NSA), cùng với đó phát hành một số công cụ có thể hack hệ thống của NSA, và họ sẵn sàng bán cho ai trả giá cao nhất.

    Theo thông tin được chia sẻ trên GitHub và Tumblr, nhóm này đã tung ra một loạt công cụ hack từ “Equation Group”, đơn vị ưu tú chuyên thực hiện các cuộc tấn công trên mạng Internet, có liên kết với NSA.

    The Shadow Brokers đã công bố những dữ liệu bị hack thành 2 phần: một phần bao gồm nhiều công cụ hack được thiết kế để bơm các mã độc vào các máy chủ và phần còn lại chứa những tập tin tốt nhất đươc rao báo với giá 1 triệu Bitcoins.

    Tuy nhiên GitHub đã xóa các tập tin này. Không phải là do tác động từ chính phủ mà bởi vì trong chính sách, điều khoản của GitHub không cho phép bất kì ai thực hiện các cuộc đấu giá hoặc các tài sản bị đánh cắp ngay trên trang web của mình.

    Đã có nhiều câu hỏi được đặt ra sau sự kiện này, điển hình là:

    - Liệu tổ chức chuyên thực hiện các cuộc tấn công trên mạng Equation Group có liên kết với NSA hay không?

    - Liệu các công cụ hack của Equation Group bị rò rỉ có hợp pháp không?

    - Nếu là hợp pháp, liệu có phải những công cụ hack tiên tiến này có thực sự thuộc sở hữu của Equation Group?

    - Ai đứng đằng sau vụ tấn công này? Liệu có phải là Nga hay không?

    Và đây là những gì bạn cần biết về sự kiện cơ quan an ninh quốc gia Mỹ bị tấn công:

    Kaspersky đã xác nhận: những công cụ tấn công bị rò rỉ, thuộc sở hữu của tổ chức có liên hệ với NSA.

    Theo một báo cáo kĩ thuật được Kaspersky công bố vào hôm thứ 3, những công cụ tấn công tiên tiến này chứa những chữ kí số trùng với những phần mềm tấn công, các mã độc mà Equation Group đã sử dụng trước đây.

    “Chúng tôi không thể đưa ra các phỏng đoán về danh tính hay động cơ của kẻ tấn công, cũng như không thể biết được cuộc tấn công này đến từ đâu và được thực hiện như thế nào. Điều mà chúng tôi có thể khẳng định đó là hàng trăm công cụ bị rò rỉ này có liên quan mạnh mẽ tới những dữ liệu mà chúng tôi có từ tổ chức Equation” – một nhà nghiên cứu của Kaspersky chia sẻ trên blog cá nhân.

    Có hơn 300 tập tin được tìm thấy trong tập lưu trữ của Shadow Brokers sử dụng 2 thuật toán phổ biến là RC5 và RC6, giống như những gì mà Equation group đã làm trước đây.

    Ngoài ra, việc khai triển các mã lệnh của những tập tin này giống hệt với những mã RC5 và RC6 trong các phần mềm độc hại của tập đoàn Equation.

    “Có hơn 300 tập tin trong tệp lưu trữ của “Shadow Brokers” sử dụng các thức triển khai riêng biệt của RC6 dưới 24 hình thức khác nhau. Khả năng những tệp tin này được làm giả là rất thấp.” – nhà nghiên cứu này chia sẻ thêm.

    “Sự giống nhau giữa các đoạn mã làm chung tôi càng tự tin khẳng định rằng những công cụ được Shadown Brokers công bố có liên quan tới những phần mềm độc hại được tập đoàn Equation sử dụng trước đây.”

    Dưới đây là bảng so sánh giữa đoạn mã RC6 của tổ chức Equation và đoạn mã từ các tệp tin bị rò rỉ, chúng giống hệt nhau về chức năng và có chung những đặc điểm riêng biệt hiếm có trong việc khai triển:

    Nói về việc Equation group hợp tác vs NSA, Kaspersky mô tả điều này như một sự đe dọa, được biết đến từ việc sử dụng những công nghệ phức tạp và tinh vi, chương trình này cũng đã được triển khai trong suốt hai thập kỉ qua.

    Hãng bảo mật này cũng lên tiếng xác nhận Equation là tổ chức đứng đằng sau một loạt các phần mềm độc hại bao gồm Stuxnet và Flame, được kết hợp trong những cuộc tấn công an ninh mạng được thực hiện bởi chính phủ Mỹ.

    Cựu thành viên NSA cũng khẳng định tính xác thực của những dữ liệu bị rò rỉ.

    Càng có thêm nhiều chứng cứ cho vụ việc này khi chính một số cựu thành viên NSA đã liên tiếng xác nhận những công cụ này là hợp pháp và có liên quan tới cơ quan an ninh quốc gia Mỹ.

    Một cựu nhân viên từng làm trong bộ phận đặc biệt chuyên tổ chức các cuộc tấn công trên Internet của NSA - Tailor Access Operations (TAO), trả lời phỏng vấn từ Washing Post: “không còn nghi ngờ gì nữa, những công cụ này chính là chìa chìa khóa của cả đất nước.”

    “Những công cụ mà chúng ta đang bàn tới sẽ làm suy yếu rất nhiều mạng lưới an ninh của chính phủ cũng như các tổ chức có liên quan ở cả trong nước lẫn ngoài nước.”

    Một cựu nhân viên nữa của TAO cũng chia sẻ: “Từ những gì tôi được thấy, tôi tin chắc những công cụ này là hoàn toàn hợp pháp.”

    Vì vậy, theo những phân tích từ Kaspersky Lab và các cựu nhân viên của TAO, chúng ta có thể khẳng định rằng hững công cụ bị rò rỉ này là hoàn toàn hợp pháp.

    Bị tấn công hay rò rỉ từ bên trong?

    Hơn nữa, một suy đoán được đưa ra rằng vụ tấn công NSA có thể là do nội gián – theo kết luật của Matt Suiche, người sáng lập ra cơ quan an ninh UAE, sau cuộc thảo luận với cựu nhân viên của TAO.

    “Kho lưu trữ các công cụ của NSA TAO được đặt trên một mạng vật lý tách biệt không có liên quan hay liên kết gì tới mạng Internet”, Suiche viết trên blog của mình, “Không có lý do nào khác giải thích cho việc tại sao những tập tin này lại được đưa lên một dàn máy chủ trừ khi có ai đó đã cố tình thực hiện điều này. Các hệ thống phân cấp dữ liệu và những quy ước về việc thay đổi tên dữ liệu cho chúng ta cơ sở để nói rằng những tập tin này được sao chép trực tiếp từ kho lưu trữ gốc.”

    Các chuyên gia và Edward Snowden cho rằng Nga đứng sau vụ tấn công an ninh mạng này.

    Hầu hết các chuyên gia an ninh mạng và cả Edward Snowden (Cựu nhân viên của cả NSA và CIA) tin rằng Nga chính là thủ phảm đứng sau vụ tấn công an ninh mạng này.

    Cách đây một vài tuần, WikiLeaks cùng với một hacker có biệt danh Guccifer 2.0 đã công bố một lượng lớn tài liệu về những sai phạm của Ủy ban toàn quốc Đảng Dân Chủ (DNC) và một số tài liệu riêng lẻ của Ủy ban vận động Quốc hội Đảng Dân Chủ (DCCC).

    Các quan chức cơ quan tình báo trung ương Mỹ và các tổ chức an ninh đã hướng những lời chỉ trích vào Nga sau cuộc tấn công vào Đảng Dân Chủ mặc dù Nga đã phủ nhận có liên quan tới vụ việc này.

    “Cục điều tra liên bang và các cơ quan tình báo Mỹ sau khi nghiên cứu vụ việc Đảng Dân Chủ bị tấn công an ninh đã đưa ra nhận định rằng một số hackers có liên hệ bí mật với chính phủ Nga đã tiến hành các cuộc tấn công đó,” theo những báo cáo được đăng trên tờ Wall Street Journal.

    “Nga đã lên tiếng phủ nhận liên quan tới vụ việc tuy nhiên các công ty an ninh mạng đã đưa ra nhiều báo cáo, cáo buộc các hành vi sai phạm của những Hacker người Nga.”

    Cho tới bây giờ, cả Snowden và Dave Aitel (chuyên gia bảo mật từng làm việc ở NSA 6 năm như một nhà khoa học nghiên cứu về an ninh) dự đoán rằng sự việc các tập tin bị Shadow Brokers công bố là kết quả của tình hình căng thẳng leo thang giữa Nga và Mỹ sau vụ việc Đảng Dân Chủ Mỹ bị tấn công an ninh mạng.

    Trong một dòng trạng thái được chia sẻ trên Twitter hôm 16 tháng 8, Snowden cho rằng vụ tấn công xuất phát từ người Nga, nội dung dòng chia sẻ: “Không ai thực sự biết về điều này, nhưng tôi cho rằng hành động này mang tính chất ngoại giao nhiều hơn là tình báo liên quan tới sự căng thẳng leo thang xung quanh vụ việc Đảng Dân Chủ bị tấn công.”

    Nhận định tổng quan của Snowden:

    “Các bằng chứng gián tiếp cùng những suy đoán đã chỉ ra trách nhiệm của Nga trong vụ việc này. Và đây là lý do tại sao vụ việc này có ý nghĩa quan trọng:

    Vụ rò rỉ này như là lời cảnh báo rằng bất kì ai cũng có thể chứng minh trách nhiệm của nước Mỹ trong những cuộc tấn công an ninh mạng xuất phát từ máy chủ có chứa những phần mềm độc hại. Điều này có thể gây ra những hậu quả nghiêm trọng trong chính sách đối ngoại nếu những cuộc tấn công nhằm vào đồng minh hoặc đặc biệt là những cuộc vận động bầu cử của Mỹ. Do đó, đây có thể là một nỗ lực nhằm gây ảnh hưởng tới tính toán của những chuyên gia hoạch định về việc làm như thế nào đưa ra những phương án đáp trả trong vụ tấn công DNC. Sự kiện này giống như việc có một ai đó ngầm gửi một thông điệp rằng những căng thẳng leo thang trong cuộc chơi tranh giành quyền lực sẽ làm cho sự hỗn loạn tăng lên nhanh chóng.”

    Sau dòng tweet của Snowden, Aitel cũng chia sẻ một bài viết trên blog cá nhân, nghi ngờ Nga chính là thủ phạm đứng phía sau cuộc tấn công an ninh nhằm vào Đảng Dân Chủ Mỹ cũng như vụ rò rỉ các công cụ gián điệp của NSA.

    Ngoài ra, Wikileaks, tổ chức từng công khai ngăn chặn Hilary Clinton trúng cử chứng tổng thống Mỹ, cũng đã tuyên bố sở hữu toàn bộ tập dữ liệu từ Shadow Brokers và sẽ công bố chúng vào thời khắc quyết định mặc dù dòng tweet này đã bị xóa sau đó.

    Vẫn còn nhiều câu hỏi được đặt ra: Shadow Brokers là ai? Làm thế nào mà chúng có thể đột nhập và hệ thống của Equation Group để đánh cắp các công cụ và mã độc? Liệu chúng có thực sự sẵn sàng bán đấu giá những dữ liệu này với giá 1 triệu Bitcoins hay đây chỉ là sự đánh lạc hướng?

    Tham khảo: thehackernews.com

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ