ANM 17/5: Nhà sáng lập Kaspersky bất ngờ cáo buộc CIA đứng sau vụ hack Colonial Pipeline
Ngày 13/5, đối tượng “Ox1337xO” rao bán trên diễn đàn “raidforums” gói dữ liệu dữ liệu KYC (Know Your Customer) của 9.667 người Việt Nam, bao gồm 5 tập tin dữ liệu khác nhau. Tiêu đề của các tập tin này bao gồm nhiều từ khóa nhạy cảm như “xac-minh-kyc”, “Idenfity_card_and_selfie_vietnam”. Các dữ liệu trong tập tin bao gồm: tên, ngày sinh, ảnh đại diện, địa chỉ, email, số điện thoại, số chứng minh nhân dân, ảnh chứng minh nhân dân mặt sau và mặt trước. Gói dữ liệu có kích thước 17 GB, được rao bán với giá 9.000 USD và thanh toán bằng tiền mã hóa Bitcoin hoặc Litecoin. Đối tượng này khẳng định, tất cả dữ liệu được lấy từ Pi Network.
Tuy nhiên, một số nguồn tin cho biết, hiện Pi Network chưa chấp nhận chứng minh thư làm hình thức KYC, mà chỉ chấp nhận bằng lái xe hoặc hộ chiếu. Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC) cho rằng dữ liệu này có thể bị lộ từ một dịch vụ cho vay tiền trực tuyến hoặc sàn giao dịch tiền mã hóa. Trong khi đó, Phó Chủ tịch BKAV Ngô Tuấn Anh khẳng định, không có dấu hiệu cho thấy những thông tin này bị lộ lọt từ hệ thống cơ sở dữ liệu dân cư. Trung tướng Tô Ân Xô, Chánh Văn phòng, người phát ngôn Bộ Công an cho biết Bộ Công an đang kiểm tra, xác minh thông tin về vụ việc. Đến sáng ngày 16/5, toàn bộ các bài viết của đối tượng “Ox1337xO” trên diễn đàn “raidforums” đã bị xóa, tuy nhiên NCSC cảnh báo, các thông tin này vẫn có thể bị sử dụng với mục đích lừa đảo, quảng cáo. Đây không phải lần đầu tiên đối tượng “Ox1337xO” rao bán gói dữ liệu chứa thông tin người dùng Việt Nam, khi 1 gói dữ liệu đã được rao bán với với giá 3.000 USD vào ngày 9/5.
Đáng nói, liên tục trong những ngày qua, cũng trên diễn đàn “raidforums”, cơ quan chức năng liên tục phát hiện các tin rao bán gói dữ liệu người dùng Việt Nam. Ngày 13/5, đối tượng “ lalala1a1a1a” rao bán gói dữ liệu gồm 15 triệu thông tin email và số điện thoại; ngày 14/5, đối tượng “ flexiton12” rao bán 800 MB cơ sở dữ liệu chính phủ Việt Nam; ngày 15/5, đối tượng “nemoclipru” rao bán gói dữ liệu gồm 2,7 triệu thông tin về khách hàng của các cửa hàng điện tử tại Việt Nam; ngày 17/5, đối tượng “Meow-Meow2021” rao bán trên diễn đàn “raidforums” gói dữ liệu KYC (Know Your Customer) kích thước 9GB, chứa thông tin CMND và và thẻ tín dụng của người Việt Nam với giá 2.000 USD.
Những hoạt động ngày càng rầm rộ của tội phạm mạng trên diễn đàn “raidforums” cho thấy tình trạng đánh cắp thông tin cá nhân của người dùng Việt Nam đang ngày càng trở nên đáng báo động. Việc các đối tượng có thể thu thập một lượng lớn dữ liệu cho thấy người dùng Việt Nam vẫn còn xem nhẹ vấn đề bảo mật thông tin cá nhân và bảo mật mạng. Việc bảo mật thông tin khách hàng tại các doanh nghiệp cũng cần phải có sự cải thiện trước các cuộc tấn công mạng ngày càng tinh vi như hiện nay.
Trong một bối cảnh khác, ngày 14/5, bà Natalya Kaspersky, chuyên gia công nghệ thông tin nổi tiếng của Nga, kiêm nhà sáng lập và cựu CEO của hãng phần mềm bảo mật Kaspersky Lab bất ngờ lên tiếng cho rằng Cơ quan Tình báo Trung ương Mỹ (CIA) có thể đứng sau vụ tấn công mạng Colonial Pipeline. Bà cho biết, CIA có một nhóm bẻ khóa, được gọi là UMBRAGE, gồm các chiến binh kỹ thuật số có khả năng ngụy trang tin tặc đến từ Nga, Triều Tiên, Trung Quốc, Iran, những quốc gia mà Mỹ coi là thù địch. Cùng ngày, công ty an ninh mạng Recorded Future (Mỹ) cho biết, hệ thống máy chủ của Darkside – nhóm tin tặc bị cho là thủ phạm của vụ tấn công Colonial Pipeline, đã bị đánh sập. Cụ thể, nhóm này đã mất quyền truy cập một số máy chủ được sử dụng để thanh toán. Một máy chủ đã tự động rút tiền kỹ thuật số của Darkside, vốn là các khoản tiền có được từ các vụ tấn công mã độc tống tiền. Trong khi đó, theo nguồn tin từ công ty an ninh mạng FireEye và Intel 471, DarkSide đã thông báo với đồng bọn về việc không thể truy cập vào hạ tầng hệ thống mà nhóm này vẫn thường dùng để duy trì hoạt động. Theo đó, DarkSide sẽ phải dừng hoạt động. Nhóm tin tặc cũng nói với đồng bọn về việc bị một cơ quan thực thi pháp luật ngăn chặn cũng như sức ép từ chính quyền Mỹ.
Cùng ngày, tại Nhật Bản, phát ngôn viên công ty Toshiba cho biết hoạt động kinh doanh của hãng tại Châu Âu đã hứng chịu một vụ tấn công bằng mã độc tống tiền vào ngày 4/5 và thủ phạm có thể chính là DarkSide. Cụ thể, đơn vị Toshiba bị tấn công là bộ phận bán công nghệ tự kiểm tra và hệ thống bán hàng cho các nhà bán lẻ. Vụ tấn công đã khiến một lượng dữ liệu công việc tối thiểu bị đánh cắp. Công ty cho biết cho đến nay không có vụ rò rỉ dữ liệu nào được phát hiện và các biện pháp bảo vệ đã được đưa ra sau cuộc tấn công mạng, đồng thời công ty này vẫn chưa chấp nhận trả tiền chuộc.
Ngày 16/5, Chính phủ Ireland thông báo Bộ Y tế nước này đã trở thành mục tiêu của một vụ tấn công mạng, chỉ vài ngày sau khi một vụ việc tương tự xảy ra với Dịch vụ Y tế Cộng đồng Ireland (HSE). Để đề phòng xảy ra những hậu quả nghiêm trọng, một số chức năng của hệ thống công nghệ thông tin của bộ đã tạm dừng hoạt động. Hiện cơ quan chức năng đang điều tra, tuy nhiên những dấu hiệu ban đầu cho thấy đây là một vụ tấn công bằng mã độc tống tiền giống vụ việc từng xảy ra với HSE. Trước đó, lãnh đạo HSE – Paul Reid cho biết vụ tấn công mạng nhằm vào cơ quan này là một chiến dịch tội phạm quốc tế, khiến HSE phải tạm dừng các hệ thống máy tính.
Trong bối cảnh hàng loạt các cuộc tấn công bằng mã độc tống tiền diễn ra trên khắp thế giới, vừa qua, 2 diễn đàn tin tặc nói tiếng Nga nổi tiếng là XSS và Exploit đã lần lượt thông báo sẽ cấm tất cả các quảng cáo liên quan đến mã độc tống tiền. Theo đó, quản trị viên của XSS cho biết, tất cả các chương trình liên kết mã độc tống tiền, cho thuê mã độc tống tiền và bán phần mềm mã độc tống tiền đều bị cấm và mọi bài viết hiện có liên quan đến chủ đề này sẽ bị xóa. Người này cho biết, nguyên nhân của lệnh cấm là do chủ sở hữu diễn đàn cảm thấy mã độc tống tiền mang lại sự chú ý không mong muốn cho diễn đàn. Exploit cũng đưa ra thông báo tương tự và cho biết quyết định được đưa ra vì việc các nhóm mã độc tống tiền tấn công nạn nhân một cách bừa bãi đã thu hút quá nhiều sự chú ý.
Cùng thời điểm, nhóm nghiên cứu mối đe dọa mạng BI.ZONE cảnh báo, nhóm tội phạm mạng FIN7 đang phát tán cửa hậu Lizar dưới vỏ bọc là công cụ kiểm tra xâm nhập Windows dành cho các tin tặc có đạo đức. Cụ thể, FIN7 giả mạo là một công ty an ninh mạng hợp pháp đang phân phối công cụ thử nghiệm xâm nhập cho các mạng Windows nhưng thực chất là mã độc Lizar. Lizar có cấu trúc tương tự như Carbanak (công cụ được FIN7 sử dụng thường xuyên), gồm một loader và các plugin khác nhau được sử dụng cho các nhiệm vụ khác nhau, như nạp các công cụ khác (Mimikatz hoặc Carbanak), lấy thông tin từ máy nạn nhân, chụp ảnh màn hình, thu thập thông tin đăng nhập… Lizar vẫn đang được phát triển và thử nghiệm tích cực nhưng đã được sử dụng rộng rãi để nhắm mục tiêu vào một cơ sở cờ bạc, một số tổ chức giáo dục và công ty dược phẩm tại Mỹ, một công ty công nghệ thông tin có trụ sở tại Đức và một tổ chức tài chính tại Panama.
Trần Anh