Tấn công mạng vào quân đội Hàn Quốc và trộm ATM có thể liên quan đến nhóm Lazarus

Sau một phân tích phần mềm độc hại cụ thể, các nhà nghiên cứu Kaspersky Lab thấy rằng mã độc và kỹ thuật được sử dụng trong cả hai cuộc tấn công nói trên có sự tương đồng với các cuộc tấn công trước đó được cho là do nhóm Lazarus khét tiếng, chịu trách nhiệm cho hàng loạt cuộc tấn công tàn phá chống lại các tổ chức thương mại và chính phủ trên toàn thế giới.

Vào tháng 8/2016, một cuộc tấn công mạng vào Bộ Quốc phòng Hàn Quốc đã làm khoảng 3.000 máy chủ bị lây nhiễm. Cơ quan quốc phòng Hàn Quốc đã công bố sự cố vào tháng 12/2016, thừa nhận rằng một số thông tin bí mật có thể đã bị lộ.

Khoảng 6 tháng sau đó, ít nhất 60 máy ATM ở Hàn Quốc, do một nhà cung cấp địa phương quản lý, đã bị nhiễm phần mềm độc hại. Sự cố đã được Viện Bảo mật Tài chính Hàn Quốc báo cáo và theo Dịch vụ Giám sát Tài chính thì sự cố này đã dẫn đến việc hơn 2.000 thẻ tín dụng bị đánh cắp thông tin và xảy ra rút tiền bất hợp pháp ở Đài Loan (khoảng 2.500 USD) từ các tài khoản này.

Vụ tấn công máy ATM ở Hàn Quốc được cho là cũng có liên quan đến nhóm hacker Lazarus khét tiếng

Kaspersky Lab đã nghiên cứu phần mềm độc hại được sử dụng trong sự cố máy ATM và phát hiện ra rằng các máy này đã bị tấn công cùng với mã độc được sử dụng để đánh vào Bộ Quốc phòng Hàn Quốc vào tháng 8/2016. Khám phá kết nối giữa các cuộc tấn công này và các lỗ hổng trước đó, Kaspersky Lab đã tìm ra những điểm tương đồng với các hoạt động của mã độc DarkSeoul, được cho là do nhóm hacker của Lazarus. Sự tương đồng bao gồm sử dụng các quy trình giải mã tương tự và kỹ thuật làm rối, chồng chéo trong cơ sở hạ tầng lệnh và kiểm soát, sự giống nhau trong mã.

Lazarus là nhóm tội phạm mạng được cho là đứng đằng sau một loạt các vụ tấn công mạng khổng lồ và tàn phá khắp thế giới bao gồm cả vụ hack hãng Sony Pictures vào năm 2014 và vụ 81 triệu USD của Ngân hàng Bangladesh vào năm ngoái.

Ông Seongsu Park, chuyên gia thuộc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab nhận định, những cuộc tấn công vào cả quân đội lẫn máy ATM đều rất lớn và gây thiệt hại không nhỏ, chúng là bằng chứng của một xu hướng đáng lo ngại. Hàn Quốc đã là mục tiêu của các cuộc tấn công mạng từ năm 2013, nhưng đây là lần đầu tiên các máy ATM bị nhắm mục tiêu hoàn toàn về mặt tài chính.

Ông cũng cho biết, nếu sự kết nối Kaspersky Lab tìm thấy là chính xác thì đây là một ví dụ khác của việc nhóm Lazarus đang chuyển sự chú ý và sử dụng vũ khí mã độc để trục lợi. Ngân hàng và các tổ chức tài chính khác cần phải tăng cường bảo vệ trước khi quá muộn.