Chuyên gia Kasperky kể chuyện “săn đuổi” hacker trên mạng

Nhiều chuyên gia Kaspersky cùng chia sẻ về cách họ “săn đuổi” hacker trên mạng, đồng thời cảnh báo về những nguy cơ mới mà người dùng phải đối mặt.

Hãng bảo mật Kaspersky tổ chức hội thảo Palaeontology of Cybersecurity (Tấn công mạng nhìn dưới góc độ cổ sinh vật) tại Singapore hôm 6/7. Hội thảo nằm trong khuôn khổ triển lãm Interpol World 2017, với sự chủ trì của Tổ chức cảnh sát quốc tế (Interpol) nhằm thúc đẩy hợp tác, chia sẻ thông tin, các giải pháp, sáng tạo trong lĩnh vực an ninh mạng.

Hội thảo của Kaspersky Lab nhằm chia sẻ cách các công ty tư nhân lẫn tổ chức chính phủ làm việc với nhau trong việc điều tra, đưa giải pháp, phân tích các mối đe dọa trên toàn cầu.

Ông Vitaly Kamluk, Giám đốc phụ trách nhóm Điều tra và phân tích (GReAT) khu vực châu Á Thái Bình Dương của Kaspersky Lab.

Mở đầu hội thảo, ông Vitaly Kamluk, Giám đốc phụ trách nhóm Điều tra và phân tích (GReAT) khu vực châu Á Thái Bình Dương của Kaspersky Lab, cho biết các chuyên gia bảo mật hàng ngày vẫn “săn đuổi” hacker, những nhóm chịu trách nhiệm cho các cuộc tấn công toàn cầu nhắm vào các tổ chức, cá nhân, cơ quan chính phủ… Việc này tương tự với cách các nhà sinh vật học tra tìm các động vật cổ như khủng long hay những nền văn minh xưa, bằng cách xâu chuỗi các bằng chứng mới tìm thấy. Các chuyên gia tại Kaspersky Lab cũng làm các công việc tương tự, họ thu thập các mẫu malware sau đó phân tích, so sánh chúng với nhau, rồi chia sẻ với đồng nghiệp nhằm tìm ra hướng giải quyết cho những cuộc tấn công.

Đối với môn cổ sinh vật học, các nhà sinh vật thu thập từng mảnh xương khủng long để xác định tuổi và thời kỳ mà nó xuất hiện thì việc điều tra hacker cũng tương tự, ông Vitaly cho hay. Các chuyên gia bảo mật cũng thu thập thông tin, xác định các mẫu virus xuất hiện hàng loạt sau những cuộc tấn công cũng như trong cuộc sống thường ngày, sau đó xác định các mẫu đáng tin, các mẫu liên quan và không liên quan để tổng hợp thông tin.

Từ thông tin rút ra, các nhà bảo mật sẽ phải xác định nguồn gốc của mã độc, các nhóm hay cá nhân đã phát triển ra mã độc đó. Không chỉ vậy, dựa trên bằng chứng hiện có, các nhà bảo mật phải dự báo những cuộc tấn công trong tương lai.

Lấy ví dụ về cuộc tấn công vào Ngân hàng trung ương Bangladesh đầu năm ngoái, vị chuyên gia từ Kaspersky cho biết, anh và các đồng nghiệp đã làm việc cật lực nhằm tìm ra cách tấn công và nhóm chịu trách nhiệm cho vụ này. Trong vụ việc, hơn 100 triệu USD đã được rút ra thành công, trong khi hacker tìm cách chuyển thêm 850 triệu USD nhưng đã bị chặn lại. Các chuyên gia bảo mật lấy các mẫu virus từ cuộc tấn công, sau đó rà soát các đoạn mã có trong mẫu vật rồi so sánh nó với kho dữ liệu mã độc hiện có.

Với cách làm làm này kết hợp với nhiều phương pháp khác, các chuyên gia tìm thấy sự tương đồng với các nhóm tấn công của Triều Tiên, sau đó có một số bằng chứng cho thấy có những đoạn mã tiếng Nga. Tuy nhiên, cho đến hiện nay tác giả của vụ tấn công vẫn chưa tìm ra.

Trong sự kiện, bà Noushin Shahab, chuyên gia bảo mật cao cấp của GReAT, nhắc lại về vụ tấn công có chủ đích có tên Lotus Blossom (Hoa sen) từ năm 2012 mà cho đến nay vẫn chưa tìm ra tác giả. Cuộc tấn công nhắm vào các mục tiêu quân đội và chính phủ ở các nước Đông Nam Á, bao gồm Indonesia, Malaysia, Việt Nam, Philippines… và nhiều quốc gia khác như Hồng Kông, Ma Cao…

Bà Noushin Shahab, chuyên gia bảo mật cao cấp của GReAT.

Khác với những cuộc tấn công thông thường nhắm vào tài chính, các hacker đứng sau vụ này tìm kiếm những thông tin quan trọng từ các tổ chức. Bên cạnh chính phủ và quân đội, Lotus Blossom cũng nhắm vào các tổ chức giáo dục và mạng viễn thông.

Các chuyên gia bảo mật phát hiện hacker dùng máy tính bị nhiễm virus tại các quốc gia như Hồng Kông, Mỹ, Nhật, Đan Mạch,… để tấn công. Chúng dùng các backdoor cài vào hệ thống các máy muốn tấn công nhằm tìm lỗ hổng và trộm thông tin. Tuy nhiên, bà Noushin cho rằng cho đến nay vẫn chưa tìm ra tác giả của các cuộc tấn công.

Trong sự kiện do Kaspersky Lab tổ chức, ông Jason Wells – CEO công ty QCC Global (Asia) – dấy lên những cảnh báo đáng chú ý, khi kẻ xấu hiện nay dùng cả các thiết bị phần cứng để tham gia trộm dữ liệu.

Ông Jason Wells – CEO công ty QCC Global (Asia).

Cũng như các thiết bị keylogger – các thiết bị phần cứng ghi lại mọi thứ người dùng gõ lên máy tính, ngày nay có rất nhiều thiết bị tương tự có thể dùng để lấy cắp thông tin từ người dùng.

Chẳng hạn, một chiếc tai nghe có thể được gắn SIM và tất cả những thông tin người dùng trao đổi có thể bị ghi lại. Tương tự, đài FM, TV, máy quay phim, quạt máy cũng có thể gắn thẻ nhớ để lưu trữ dữ liệu, sau đó chuyển thông tin lấy được sang bên thứ 3.

Không những vậy, một cục sạc laptop cũng có thể là thiết bị khiến người dùng mất tài sản quan trọng. Ông Jason cho biết đã phát hiện bên trong một cục sạc laptop của khách hàng có gắn thiết bị kết nối Bluetooth, từ đó có thể lấy thông tin từ laptop hoặc các thiết bị xung quanh có kết nối.

Theo ICT News