Vụ tấn công bằng mã độc WannaCry từ 13/5 đến nay đã ảnh hưởng hơn 300.000 máy tính ở 150 nước và vùng lãnh thổ trên thế giới, trong đó chịu hậu quả nặng nề nhất là Nga, Đài Loan (Trung Quốc), Ukraine, Ấn Độ… Một số trường học và cơ quan cảnh sát của Trung Quốc cũng trở thành mục tiêu song không gây ra gián đoạn lớn nào.
Màn hình hiển thị trên máy tính khi mã độc WannaCry tấn công đòi tiền chuộc người dùng. |
Đây là một trong những vụ tấn công mạng tống tiền lây lan nhanh nhất trong lịch sử. Vào giai đoạn đỉnh điểm nó khiến hơn 9.000 máy tính bị lây nhiêm mỗi giờ nhưng tốc độ lây lan đã có dấu hiệu chậm lại từ ngày 16/5.
“Sợi chỉ đỏ” dẫn đến Triều Tiên
Hai công ty phần mềm diệt virus máy tính Symantec (Mỹ) và Kaspersky (Nga) cho biết, một số đoạn mã trong những phiên bản ban đầu của phần mềm WannaCry cũng đã xuất hiện trong các chương trình được sử dụng bởi Lazarus, một nhóm được các nhà nghiên cứu từ nhiều công ty phần mềm bảo mật xác định là tổ chức tin tặc có liên quan đến Triều Tiên.
Trước đó, nhà nghiên cứu an ninh của Google Neel Mehta đăng trên Twitter một thông điệp mã hóa cho thấy đoạn mã tương đồng giữa WannaCry phiên bản tháng 2/2017 và mã độc mà Lazarus sử dụng tháng 2/2015. Các tin tặc thường tái sử dụng các đoạn mã của những chiến dịch tấn công khác vì thế chỉ cần vài dòng sao chép cũng có thể là một bằng chứng.
“Đây là manh mối tốt nhất mà đến nay chúng tôi tìm thấy liên quan đến nguồn gốc của WannaCry”, nhà nghiên cứu Kurt Baumgartner của Kaspersky Lab cho biết.
Theo The Guardian, Kaspersky cũng phát hiện ra vụ tấn công mạng có nguồn gốc từ địa chỉ IP tại Triều Tiên.
Tuy nhiên, Symantec và Kaspersky cho rằng, dựa vào bằng chứng đăng trên Twitter của nhà nghiên cứu an ninh của Google Neel Mehta, hiện còn quá sớm để khẳng định liệu Triều Tiên có dính líu đến các vụ tấn công toàn cầu vừa qua hay không. Hai công ty cho biết họ cần nghiên cứu thêm đoạn mã độc này và đã kêu gọi những chuyên gia khác giúp đỡ phân tích.
Các quan chức an ninh của Mỹ và châu Âu cũng cho rằng hiện còn quá sớm để kết luận ai đứng sau vụ tấn công toàn cầu bằng mã độc WannaCry nhưng họ cũng không loại trừ nghi phạm từ Triều Tiên.Mã độc tống tiền Wanna Cryptor gây chấn động: Làm thế nào để xử lý?
Tập đoàn FireEye, một công ty an ninh mạng lớn khác, cho biết họ cũng đang điều tra khả năng này. “Sự tương đồng mà chúng tôi tìm thấy giữa mã độc liên quan tới nhóm đó [Lazarus – ND] và WannaCry không đủ độc nhất để có thể đoán chắc là cùng một đối tượng gây ra”, nhà nghiên cứu của FireEye John Miller nhận định.
Lazarus là ai?
Giới chuyên gia an ninh mạng nhận định Lazarus không phải là nhóm tin tặc tầm thường nếu xét đến quy mô các vụ tấn công của nhóm này. Kaspersky đánh giá: “Mức độ tinh vi như thế này là điều không thường xuyên xuất hiện trong thế giới tội phạm mạng. Nó đòi hỏi phải được tổ chức và kiểm soát chặt chẽ ở tất cả các giai đoạn hoạt động. Đó là lý do chúng tôi nghĩ Lazarus là một mối đe dọa lớn”.
Lazarus hoạt động mạnh mẽ từ năm 2011 và từng bị tố gây ra vụ tấn công mạng nhằm vào Sony Pictures năm 2014 để trả đũa việc hãng này sản xuất một bộ phim có nội dung nhạo báng nhà lãnh đạo Triều Tiên Kim Jong-un.
Lazarus cũng bị cho là dính líu đến vụ 81 triệu USD "bốc hơi" khỏi tài khoản của chính phủ Bangladesh tại Ngân hàng Dự trữ liên bang ở New York (Mỹ), năm 2016. Nhóm này được cho là tỏ rõ ý định theo đuổi mục tiêu tài chính hơn các nhóm tin tặc nổi tiếng khác trên thế giới.Cảnh báo nguy cơ xảy ra “làn sóng tấn công mạng toàn cầu thứ 2”
WannaCry có mục đích gì?
WannaCry đòi tiền số tiền chuộc khởi điểm từ 300USD, ngang với mức của các vụ tấn công mạng đòi tiền chuộc khác, và khoản tiền không quá lớn này khiến các nạn nhân sẵn lòng trả hơn.
Theo Cố vấn An ninh nội địa của Tổng thống Mỹ Donald Trump, ông Tom Bossert, trong vụ tấn công bằng mã độc WannaCry này, nhóm tin tặc đã thu về gần 70.000USD tiền chuộc từ một số người dùng mạng muốn lấy lại quyền truy cập vào máy tính cá nhân của họ.
“Chúng tôi không rõ liệu các khoản tiền này có giúp khôi phục dữ liệu hay không”, ông Bossert nói, đồng thời khẳng định rằng không có hệ thống nào của chính phủ Mỹ bị ảnh hưởng trong vụ tấn công vừa qua.
Tuy nhiên, một số chuyên gia an ninh mạng cho biết họ không chắc động cơ của WannaCry chỉ đơn thuần là kiếm tiền hay không dù các vụ tấn công đòi tiền chuộc quy mô lớn thường như thế này giúp tin tặc thu về hàng triệu USD.
“Tôi tin rằng mục đích của vụ tấn công này là gây ra càng nhiều thiệt hại càng tốt”, Matthew Hickley, nhà đồng sáng lập công ty tư vấn ninh mạng Hacker House nhận định.
WannaCry làm dấy lên tranh cãi chính trị
Ngoài việc cho thấy cần phải ngay lập tức củng cố phòng thủ trên không gian mạng, vụ tấn công bằng mã độc WannyCry cũng biến an ninh mạng trở thành một vấn đề chính trị ở châu Âu và Mỹ.
Trong một blog đăng ngày 14/5, Chủ tịch tập đoàn Microsoft Brad Smith khẳng định rằng các nhà nghiên cứu đã kết luận vụ tấn công lợi dụng công cụ đánh cắp thông tin do chính Cơ quan An ninh Quốc gia Mỹ (NSA) tạo ra và bị rò rỉ trên mạng hồi tháng 4.
Nhận định này đã đổ thêm dầu vào cuộc tranh luận nảy lửa ở Mỹ về việc làm thế nào các cơ quan tình báo nước này có thể cân bằng giữa việc giữ kín những lỗ hổng phần mềm để có thể do thám và tiến hành các cuộc chiến tranh trên không gian mạng, với việc chia sẻ những lỗ hổng đó với các công ty công nghệ để đảm bảo mạng internet an toàn hơn.
Tuy nhiên, Cố vấn An ninh nội địa của Mỹ Bossert ngày 15/5 đã bác bỏ mọi cáo buộc nhằm vào NSA.
“Đây không phải là một công cụ do NSA phát triển”, ông nói. “Đây là một công cụ do tội phạm hoặc tổ chức nước ngoài nào đó phát triển và kết hợp với nhau để cung cấp những email lừa đảo, đưa vào những tài liệu gây lây nhiễm, mã hóa và khóa dữ liệu”.
Trong khi đó, vẫn cho rằng công nghệ mà thủ phạm sử dụng có liên quan tới cơ quan tình báo của Mỹ, Tổng thống Nga Vladimir Putin cho rằng vấn đề này “cần phải được thảo luận ngay lập tức ở cấp độ chính trị nghiêm túc”./.