Tin tặc Lazarus của Triều Tiên phát triển khung phần mềm độc hại đa nền tảng

“Nhóm tin tặc Lazarus được biết đến với cuộc tấn công nổi tiếng vào Sony Pictures năm 2014, đã tạo ra một khung phần mềm độc hại tiên tiến có thể khởi chạy và quản lý các cuộc tấn công vào hệ thống Windows, MacOS và Linux. Ít nhất đã có hàng chục tổ chức, doanh nghiệp đã bị tấn công gần đây”. Đó là tuyên bố của nhóm phân tích và nghiên cứu toàn cầu (GReAT) thuộc công ty an ninh mạng Kaspersky Lab vào ngày 22.7.

Kaspersky cho biết khung phần mềm mới được Lazarus dùng để tấn công các công ty ở Đức, Ấn Độ, Nhật Bản, Hàn Quốc, Ba Lan, Thổ Nhĩ Kỳ… Những cuộc tấn công tập trung vào các doanh nghiệp thương mại điện tử, nhà cung cấp dịch vụ internet và nhà phát triển phần mềm.

“Thực tế việc Lazarus tạo ra khung duy nhất để xử lý các vụ xâm nhập trên các hệ điều hành máy tính cho thấy họ đã đầu tư một lượng tài nguyên đáng kể vào bộ công cụ này”, Yury Namestnikov, chuyên gia bảo mật tại Kaspersky cho biết.

Khung phần mềm mới này được tin tặc Triều Tiên phát triển từ mềm độc hại MATA sử dụng trong các vụ tấn công xâm nhập vào các tổ chức doanh nghiệp trên toàn thế giới từ năm 2018. Theo nghiên cứu của Kaspersky, MATA được nâng cấp để tạo nên một ra một khung phần mềm đa nền tảng, bao gồm nhiều chức năng xử lý các trình tải, bộ điều phối và trình cắm.

MATA có khả năng tải cùng lúc 15 plugin và để giao tiếp với máy chủ C2, sử dụng các kết nối TLS1.2. MATA cũng cho phép tin tặc quét các mục tiêu mới trên các máy dựa trên máy tính dùng hệ điều hành MacOS và Linux. Plugin của phiên bản Linux và phiên bản MacOS giống hệt nhau.

"Sau khi triển khai phần mềm độc hại MATA và các trình cắm, tin tặc đã cố gắng tìm cơ sở dữ liệu của nạn nhân và thực hiện một số truy vấn cơ sở dữ liệu để có được danh sách khách hàng”, Namestnikov - chuyên gia bảo mật của Kaspersky nói.

Các quốc gia bị nhóm Lazarus tấn công gồm Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ

Hoạt động hơn một thập niên qua, nhóm tin tặc Lazarus, còn có tên khác là APT 38, Hidden Cobra (rắn hổ mang ẩn mình) được cho là có liên hệ với chính phủ Triều Tiên.

Mục tiêu tấn công của nhóm Lazarus thường là kinh tế tài chính. Ngoài ra, tin tặc Triều Tiên cũng quan tâm đến các mục tiêu có dữ liệu về hàng không vũ trụ, ngành công nghiệp sản xuất các thiết bị công nghệ.

Năm 2007, Lazarus đã phát động các cuộc tấn công vào các tổ chức tài chính của Ấn Độ, Mexico, Pakistan, Philippines, Hàn Quốc, Đài Loan, Thổ Nhĩ Kỳ, Chile và Việt Nam để mã hóa các dữ liệu, sau đó đòi tiền chuộc.

Vụ tấn công nổi tiếng của Lazarus là xâm nhập vào hệ thống máy chủ hãng Sony Pictures (Mỹ) vào tháng 11.2014. Tin tặc đã đánh cắp, sao chép các bộ phim chưa được phát hành, các kịch bản cùng nhiều dữ liệu bí mật gây tổn thất lớn cho hãng phim này.

Năm 2017, Lazarus đã phát động một cuộc tấn công có tên WannaCry (tạm dịch là "Muốn khóc"), còn được gọi là WannaDecryptor 2.0. Tin tặc dùng phần mềm mang mã độc tống tiền tự lan truyền trên các máy tính sử dụng hệ điều hành Windows.

Cuộc tấn công này khiến cho 230.000 máy tính ở 150 quốc gia bị lây nhiễm, các dữ liệu bị mã hóa. Để lấy lại dữ liệu, nạn nhân phải trả cho tin tặc một số tiền rất lớn. Ước tính WannaCry đã gây thiệt hại hàng trăm triệu đô la trên toàn thế giới.

Gần đây nhất, Lazarus đã tổ chức các đợt tấn công đánh cắp thông tin thẻ tín dụng, dữ liệu cá nhân của người trên các trang thương mại điện tử lớn của thế giới.

Tiểu Vũ