Lại thêm nhiều bí ẩn về mã độc toàn cầu WannaCry

(PLO)- Mã độc WannaCry đã lan ra hơn 100 nước trong vài giờ đang khiến các nhà nghiên cứu an ninh mạng đau đầu tìm cách lý giải cách thức xâm nhập, lan truyền và cách thu tiền của bọn tin tặc.

Theo Caleb Barlow, thuộc hãng an ninh mạng IBM Security, các nhà nghiên cứu vẫn chưa thật sự rõ làm sao mã độc lan truyền được với tốc độ chóng mặt.

Nhiều công ty an ninh cho rằng mã độc được tải về qua các thư điện tử có đính kèm các tệp tin và đường dẫn độc hại. Thế nhưng với WannaCry, nhóm của Barlow đã dành nhiều ngày rà soát cơ sở dữ liệu gồm hơn 1 tỉ thư điện tử của công ty, tính từ ngày 1-3, nhưng vẫn không có thư nào liên quan tới vụ tấn công.

Cách thức lan truyền bí ẩn và cách đòi tiền chuộc thiếu tinh vi càng khiến nhiều chuyên gia nghi ngờ Triều Tiên có liên quan đến WannaCry. Ảnh: Yonhap

“Khi một nạn nhân trong mạng lưới bị nhiễm mã độc, nó sẽ tự động nhân lên trong hệ thống” - ông Barlow nói. Theo ông, hệ điều hành Windows của Microsoft có một điểm yếu cho phép mã độc truyền từ máy tính này sang máy khác. Cơ quan an ninh quốc gia Mỹ (NSA) đã dựa vào đó để tạo ra một công cụ tấn công có mật danh EternalBlue, công cụ này rơi vào tay nhóm Shadow Brokers và nhóm tin tặc bí ẩn này đã công bố EternalBlue và các công cụ tương tự lên mạng.

Điều bí ẩn mà nhóm của ông Barlow không giải đáp được là làm sao "nạn nhân đầu tiên nhất" trong mỗi mạng lưới bị nhiễm mã độc. “Theo số liệu thì rất hiếm có trường hợp chúng tôi đã rà soát mà không phát hiện được đầu mối” - ông Barlow nói.

Các nhà nghiên cứu khác có nhận định tương tự. “Lúc này chúng tôi vẫn chưa tìm được dấu hiệu chỉ ra máy đầu tiên bị nhiễm WannaCry” - Budiman Tsjin của hãng an ninh RSA, một bộ phận của Dell, cho biết.

Biết được cách mã độc thâm nhập vào máy và lan truyền là mấu chốt để ngăn chặn các cuộc tấn công hiện tại và đối phó với các vụ tương tự sau này. “Làm chúng vào được và điều này liệu có lặp lại không?” - ông Barlow đặt câu hỏi.

Cáp và hệ thống máy tính trong một trung tâm dữ liệu ở London, Anh - nước chịu thiệt hại nặng đầu tiên vì mã độc WannaCry. Ảnh: REUTERS

Một số công ty an ninh mạng khác lại cho biết họ đã tìm ra thư nhiễm tệp tin và đường dẫn độc hại. FireEye tuyên bố một số khách hàng nhờ sử dụng báo cáo của họ mà tìm được vài thư điện tử có liên quan tới vụ tấn công.

Thế nhưng công ty này cũng đồng tình là mã độc WannaCry phát tán nhờ các phương pháp tấn công khác nhiều hơn là thư điện tử. Khi số máy bị nhiễm mã độc lên tới con số nhất định, nó có thể tự lợi dụng chỗ yếu của Microsoft để nhân lên mà không cần có sự trợ giúp của thư điện tử.

Các nhà nghiên cứu còn nhận thấy một số dấu hiệu kỳ lạ khác chứng tỏ đây không phải một vụ tấn công bình thường. Một điểm trong đó là số tiền chuộc bằng bitcoin mà tin tặc thu được là rất nhỏ.

Theo Reuters, bọn tin tặc chỉ dùng ba túi bitcoin và mới thu được khoảng 50.000 USD, mặc dù mã độc phát tán rất rộng. Theo ông Barlow, trong các trường hợp tấn công mạng đòi tiền chuộc trước đây, số tiền thu được cho một vụ nhiễm còn nhiều hơn thế, tùy vào nạn nhân bị tấn công.

Một điểm khác thường khác, như Jonathan Levin của Chainalysis, công ty quản lý giao dịch bitcoin, chỉ ra: Phương thức bắt nạn nhân trả tiền không hề tinh vi như các vụ khác. Trước đây, có vụ từng dùng tới đường dây nóng tài chính bằng nhiều ngôn ngữ. Ngoài ra, số tiền chuộc được trả bằng bitcoin vẫn nằm yên trong ba túi tiền, trong khi các chiến dịch khác, như Locky, rất thường xuyên lấy tiền khỏi túi. “Chúng không sắp đặt cách thanh toán bitcoin tỉ mỉ chút nào” - ông Levin nói.

Sự kém tinh vi trong kế hoạch càng khiến các nhà nghiên cứu tin rằng vụ tấn công có liên quan tới Triều Tiên. Một nhà nghiên cứu ở phòng thí nghiệm Hauri (Hàn Quốc) tên Simon Choi cho biết Triều Tiên chỉ vừa phát triển và thử nghiệm phần mềm mã độc đòi tiền chuộc từ tháng 8-2016. Trong một vụ tấn công, tin tặc Triều Tiên đã yêu cầu nạn nhân thanh toán bằng bitcoin, như vụ WannaCry lần này.

Ông Choi còn cho biết ông có phát hiện tương tự Symantec và Kaspersky, rằng nhiều mã trong các phiên bản trước của phần mềm Wannacry từng được nhóm Lazarus sử dụng. Nhóm này được cho là có liên quan tới Triều Tiên.

Dù cho kẻ nào đứng sau vụ tấn công, sự hiệu quả trong cách bọn tin tặc sử dụng các công cụ sẵn có thật đáng sợ, Marin Ivezic, đối tác an ninh mạng ở PwC Hong Kong nhận xét. Kết hợp công cụ tạo ra từ vụ lộ dữ liệu NSA với các phần mềm của chúng, “chúng đã phát tán được mã độc rộng rãi hơn bất cứ phương thức truyền thống nào” - ông Ivezic nói.

“Eternal Blue đã tỏ ra rất có hiệu quả nếu kết hợp với phần mềm độc phù hợp, và bọn tội phạm mạng sẽ lợi dụng điểm này” - ông Ivezic nhận định.

Đừng bỏ lỡ

36 năm Pháp Luật TP.HCM: Những ngày đầu giữ lửa

36 năm Pháp Luật TP.HCM: Những ngày đầu giữ lửa

(PLO)- Theo TS.LS Phan Trung Hoài, TS.LS Phan Đăng Thanh, nhà báo Lê Thọ Bình, luật sư Nguyễn Minh Tâm và những người góp sức xây dựng báo Pháp Luật TP.HCM qua nhiều thời kỳ thì các bài viết chính luận, ký sự pháp đình, phân tích pháp lý của báo đã để lại nhiều dấu ấn trong lòng bạn đọc.

Tự hào 50 năm Thành phố mang tên Bác - Kỳ 3: TP.HCM kiến tạo hệ sinh thái chăm lo toàn diện cho người dân

Tự hào 50 năm Thành phố mang tên Bác - Kỳ 3: TP.HCM kiến tạo hệ sinh thái chăm lo toàn diện cho người dân

(PLO)- Sau 50 năm mang tên Bác, TP.HCM không chỉ ghi dấu bằng tốc độ đô thị hóa và tăng trưởng kinh tế, mà còn từng bước hoàn thiện hệ thống chăm lo người dân. Từ giáo dục, y tế đến an sinh xã hội, thành phố đang mở rộng các chính sách và mô hình phục vụ, hướng tới nâng cao chất lượng sống và mức độ thụ hưởng của nhân dân.

Đọc thêm

Nước Pháp 'nóng' vì điều hòa không khí

Nước Pháp 'nóng' vì điều hòa không khí

(PLO)- Khi số lượng hộ gia đình lắp điều hòa không khí ở Pháp vẫn ở mức thấp, câu hỏi về việc có nên lắp thiết bị này để làm mát giữa đợt nóng lịch sử đang được tranh luận gay gắt.

Các cuộc chiến sẽ đi về đâu?

Các cuộc chiến sẽ đi về đâu?

(PLO)- Vượt qua những phép thử quân sự trên thực địa, dư địa ngoại giao giữa Mỹ với Iran và giữa Nga với Ukraine trong năm 2026 vẫn duy trì những tín hiệu lạc quan cho một giải pháp hòa bình toàn diện.

Ông Putin nói về ‘Tinh thần Anchorage’

Ông Putin nói về ‘Tinh thần Anchorage’

(PLO)- Tổng thống Nga Vladimir Putin nói rằng các cuộc tấn công của Ukraine vào lãnh thổ Nga sẽ không cản bước tiến của lực lượng Nga trên chiến trường.

Chiến sự Trung Đông định hình lại nhu cầu dầu mỏ toàn cầu

Chiến sự Trung Đông định hình lại nhu cầu dầu mỏ toàn cầu

(PLO)- Sự gián đoạn nguồn cung dầu ở mức lớn nhất trong lịch sử hiện đại do chiến sự Trung Đông có thể làm giảm nhu cầu dầu mỏ trong tương lai, do các nước dần thích nghi với hiện trạng thiếu nguồn cung và tìm các biện pháp năng lượng thay thế.