Nhóm hacker mang tên Evil Corp bắt đầu bị truy tố vào hồi tháng 12, sau khi các phần mềm tống tiền (ransomware) tinh vi của tổ chức này xuất hiện trên nhiều mạng lưới doanh nghiệp. Nhiều viên chức Mỹ lo ngại rằng, mục tiêu tiếp theo của chúng có thể sẽ là hạ tầng cho cuộc bầu cử sắp tới.

Bộ Tư pháp Hoa Kỳ chính thức ban lệnh bắt giữ một nhóm hacker người Nga mang tên Evil Corp vào hồi tháng 12. Ảnh: Samuel Corum/Getty Images.

Một nhóm hacker người Nga đang chống lại chính quyền Hoa Kỳ, sau khi thủ lĩnh của chúng bị truy tố bởi Bộ Tư pháp vào hồi tháng 12. Cụ thể, nhóm hacker này tấn công vào các công ty cùng những hãng tin lớn của Hoa Kỳ, qua đó xác định những nhân viên đang làm việc tại nhà trong mùa dịch, xâm nhập vào hệ thống của họ nhằm làm tê liệt mọi hoạt động.

Các vụ tấn công mới đầy tinh vi của nhóm hacker này đã bị phát hiện gần đây bởi Tập đoàn Symantec – trực thuộc Broadcom, một trong số rất nhiều hãng đảm nhận việc theo dõi các hệ thống của doanh nghiệp và chính phủ.

Cụ thể công ty này đã đưa ra thông báo khẩn, trong đó có viết rằng, các hacker người Nga đã tận dụng thói quen làm việc của nhiều người Mỹ bị thay đổi, thông qua đó tiêm nhiễm các mã độc vào hệ thống của doanh nghiệp với một tốc độ và quy mô chưa từng được chứng kiến trước đây. Với các phần mềm độc tống tiền, hacker có thể yêu cầu doanh nghiệp trả tới hàng triệu đô-la để chuộc lại các dữ liệu của họ.

Mặc dù chính phủ Mỹ đã dè chừng ransomware từ lâu, đặc biệt là sau các vụ tấn công mạnh mẽ của công cụ này vào Atlanta, Baltimore, cũng như một số thị trấn tại Texas và Florida, vụ tấn công này càng trở nên khủng khiếp hơn vào năm nay – năm diễn ra cuộc bầu cử Tổng thống Mỹ. Do đó, Bộ An ninh nội địa Hoa Kỳ đang cố gắng thắt chặt hệ thống đăng ký bầu cử ở nhiều thành phố và bang khác nhau, trước các lo ngại rằng hacker sẽ làm gián đoạn cuộc bầu cử, khiến người dân không truy cập được vào hệ thống bầu cử, qua đó phá hoại hoàn toàn cuộc bầu cử ngày 3/11 sắp tới.

Nhiều người cho rằng các doanh nghiệp bảo mật chỉ đang làm quá lên, song những gì chúng tôi đã chứng kiến trong những tuần qua thật sự rất đáng sợ. Hiện nay, mục tiêu của các hacker mới chỉ là tống tiền. Tuy nhiên, hạ tầng mà chúng có sở hữu đã có thể xóa bỏ rất nhiều dữ liệu” Eric Chien – Giám đốc kỹ thuật tại Symantec, cũng là một trong những kỹ sư đầu tiên đã nhận diện được code Stuxnet mà Hoa Kỳ cùng Israel sử dụng để vô hiệu hóa hạt nhân của Iran một thập kỷ trước, chia sẻ.

Theo một cảnh báo bị rò rỉ bởi FBI vào hồi 1/5, các vụ tấn công ransomware vào những tập đoàn Mỹ có thể sẽ chuyển hướng, nhắm tới các hạ tầng bầu cử. Cụ thể, cảnh báo viết: “FBI đã đánh giá các vụ tấn công ransomware được truyền tải qua MSP tới các hệ thống của chính phủ, từng bang và hạt. Có nhiều khả năng gây hại tới dữ liệu trong các máy chủ kết nối bầu cử, kể cả khi đó không phải là mục tiêu của kẻ tấn công.”

Một vụ tấn công mạng hồi năm ngoái nhằm vào công ty cung cấp dịch vụ Internet tại Louisiana đã giúp hacker tấn công được vào cả Quốc vụ bang Louisiana, cũng như 9 thư ký văn phòng chánh án của bang này chỉ trong một tuần trước ngày bầu cử. Còn ở hạt Tillamook, bang Oregon, các vụ tấn công ransomware đã khiến các nhân viên phụ trách đăng ký bầu cử không thể truy cập được các dữ liệu đăng ký phục vụ cho cuộc bình bầu ứng cử viên tranh cử hồi tháng 5.

Symantec đã từ chối tiết lộ tên các công ty bị tấn công để đảm bảo bảo mật cho khách hàng của họ. Tuy nhiên, hãng lại chia sẻ rằng, đã có 31 doanh nghiệp bao gồm nhiều nhãn hàng chủ chốt tại Mỹ cũng như các doanh nghiệp thuộc danh sách Fortune 500. Hiện nay, vẫn chưa rõ ràng rằng đã có công ty nào nhận được yêu cầu tống tiền hay chưa, nhưng những cảnh báo vẫn được ban ra vì lý do: “Các hacker này đã có tới 10 năm kinh nghiệm, và chúng sẽ không lãng phí thời gian với các mục tiêu nhỏ. Nhóm hacker hiện đang nhắm vào những doanh nghiệp lớn, cụ thể là các doanh nghiệp lớn của Hoa Kỳ.”

Cái tên “Evil Corp” của nhóm hacker này được lấy từ series phim truyền hình “Mr. Robot”. Theo Bộ Tư pháp Hoa Kỳ, chúng đã thực hiện các vụ tấn công mạng với quy mô không tưởng, và đánh cắp hàng chục triệu đô-la từ các hệ thống ngân hàng trực tuyến nhờ những phần mềm độc.

Đây chỉ là một trong số rất nhiều vấn nạn trong những năm qua, được gây ra bởi các nhóm tin tặc và tình báo Nga, bao gồm cả việc Cơ quan Nghiên cứu Internet Nga đã can thiệp vào cuộc bầu cử năm 2020. Kể từ đó, Bộ Tư pháp đã ban bố các lệnh truy tố, nhằm ngăn cản các vụ tấn công này, song Evil Corp lại được bảo vệ bởi chính quyền Nga, vì vậy chúng không thể bị buộc tội tại Mỹ. Ngoài ra, theo thông cáo của Bộ Tài chính, các thủ lĩnh của nhóm hacker đã từng làm việc cho FSB tiền thân là tổ chức KGB thời Xô-viết.

Đáng lưu ý là phương thức tấn công dường như được tối ưu cho giai đoạn làm việc tại nhà trong mùa dịch. Cụ thể, phần mềm độc được triển khai trên rất nhiều website thông thường, thậm chí là trong cả tin tức. Tuy nhiên, nó không xâm nhập vào mọi máy tính, mà chỉ nhắm vào các máy tính thuộc hệ thống của doanh nghiệp hoặc của chính phủ. Cụ thể, nhiều doanh nghiệp yêu cầu nhân viên phải dùng VPN (Virtual Private Network – mạng riêng ảo) một kênh bảo mật cho phép nhân viên biến các hệ thống thông thường này thành các hệ thống máy tính doanh nghiệp tương tự như trên văn phòng.

Những vụ tấn công không nhắm vào VPN. Chúng chỉ dùng VPN để nhận diện xem người dùng đang làm việc cho tổ chức nào.” Sau đó, chúng sẽ chờ người dùng truy cập vào một website công cộng hay thương mại và ngay lập tức xâm nhập vào máy tính của họ. Và ngay khi máy tính tái kết nối vào hệ thống doanh nghiệp, mã độc sẽ được kích hoạt, nhằm truy cập vào những hệ thống này.

Lệnh truy tố, với mục tiêu đánh sập Evil Corp đã bất thành. Theo các nhà nghiên cứu bảo mật tại Symantec và Fox-IT (một công ty bảo mật trực thuộc Tập đoàn NCC), các hacker thuộc Evil Corp đã biến mất một tháng sau lệnh này và hoạt động trở lại vào tháng 5. Chỉ trong vòng 1 tháng kể từ đó, chúng đã liên tục xâm nhập thành công vào nhiều tổ chức khác nhau thông qua các phần mềm mã độc chuyên biệt.

Các hacker thuộc Evil Corp đã vô hiệu hóa được các phần mềm diệt virus trên máy nạn nhân, cũng như loại bỏ các hệ thống phòng trừ để khiến nạn nhân không thể phục hồi dữ liệu, hay thậm chí là loại bỏ hoàn toàn các dữ liệu này.

Symantec không chia sẻ số tiền Evil Corp kiếm được từ những vụ tấn công này, song theo các nhà nghiên cứu tại Fox-IT, những hacker người Nga này đã từng đòi tới 10 triệu USD tiền chuộc dữ liệu trên một hệ thống duy nhất.

Chúng đang tăng dần mức tiền chuộc trong những ngày qua, với số tiền lên tới hàng triệu đô-la ở những mục tiêu lớn. Đây là nhóm hacker chuyên nghiệp nhất sử dụng dạng tấn công này ở quy mô lớn mà chúng tôi từng được chứng kiến”, Maarten Van Dantzig chia sẻ.

Theo The New York Times

Tin liên quan: