CIA có thể liên quan đến nhóm tin tặc gián điệp tấn công 16 quốc gia

08:46 | 28/04/2017

Các nhà nghiên cứu của Symantec khẳng định, các công cụ tấn công được cho là của CIA trong tài liệu Vault 7 có liên quan tới 40 cuộc tấn công mạng trên 16 quốc gia, được thực hiện bởi nhóm tin tặc Longhorn.



Từ tháng 3, với loạt tài liệu có tên là “Vault 7”, Wikileaks đã công bố 8.761 tài liệu và các thông tin bí mật khác được cho là của Cơ quan Tình báo Trung ương Hoa Kỳ (CIA). Trong đó, Wikileaks tiết lộ các công cụ tấn công của CIA bao gồm phần mềm độc hại, tấn công các thiết bị công nghệ phổ biến như máy tính, điện thoại thông minh, TV thông minh, xe tự lái,…

Mới đây, các nhà nghiên cứu tại Symantec khẳng định, các công cụ hack được cho là của CIA trong tài liệu Vault 7 có liên quan tới 40 cuộc tấn công mạng trên 16 quốc gia, được thực hiện bởi nhóm Longhorn.

40 cuộc tấn công này xảy ra tại 16 quốc gia khác nhau thuộc Châu Âu, Châu Á (Trung Đông và các khu vực khác) và Châu Phi. Một máy tính tại Mỹ cũng bị nhiễm mã độc, nhưng đã được gỡ sau 1 tiếng, cho thấy sự lây nhiễm không chủ ý. Các mục tiêu tấn công bao gồm các cơ quan chính phủ, tổ chức quốc tế, các công ty trong lĩnh vực viễn thông, tài chính, hàng không vũ trụ, năng lượng, công nghệ thông tin, giáo dục và nguồn lực quốc gia. Các mục tiêu này cho thấy đằng sau  các cuộc tấn công là lợi ích của cơ quan tình báo quốc gia.

Symantec cho rằng nhóm tin tặc được nêu trong tài liệu Vault 7 chính là Longhorn, do sự tương đồng về công cụ và kỹ thuật. Phần mềm độc hại “Corentry” của Longhorn có dòng thời gian phát triển giống với “Fluxwire” –  phần mềm độc hại gián điệp được cho là của CIA trong Vault 7. Kỹ thuật nhiễm độc kiểu “Fire-and-Forget” (thực hiện một lần) của payload bởi công cụ “Archangel” trong Vault 7 gần như giống tuyệt đối với backdoor “Plexor” của Longhorn. Nhóm Longhorn cũng có một số giao thức mã hóa và cách thức liên lạc tương tự như trong Vault 7.

CIA không xác nhận và cũng không phủ nhận rằng tài liệu Vault 7 là chính xác hay không. Họ cho biết nhiệm vụ của họ là thu thập thông tin tình báo nước ngoài và nhấn mạnh rằng, hành vi theo dõi công dân Mỹ là phạm pháp.

Nếu nhận định trên là chính xác, Longhorn sẽ là nhóm gián điệp thứ 2 có hoạt động liên quan tới chính phủ Mỹ. Nhóm đầu tiên là Equation Group thuộc Cơ quan An ninh Quốc gia Mỹ (NSA).

Longhorn là một nhóm tin tặc hoạt động từ năm 2011, có thể được thành lập vào đầu năm 2007. Symantec đã theo dõi Longhorn từ năm 2014, khi chúng khai thác lỗ hổng zero-day của Windows (CVE-2014-4148) để cài một backdoor có tên là “Plexor”. Kaspersky cũng đã theo dõi nhóm này với cái tên “The Lamberts”.

Longhorn là nhóm tin tặc có nguồn lực tốt, hoạt động vào các ngày làm việc thông thường từ thứ 2 đến thứ 6 theo múi giờ Mỹ. Các mục tiêu, kỹ thuật, chiến thuật và cách thức hoạt động cho thấy Longhorn là tổ chức được nhà nước bảo trợ. Symantec cho rằng Longhorn xuất phát từ một quốc gia nói tiếng Anh ở Bắc Mỹ do các từ mã mà chúng sử dụng.

Theo Symantec, Longhorn đã sử dụng các phần mềm độc hại bao gồm trojan Plexor, Corentry, LH1 và LH2.