Symantec đã lần ra dấu vết của hacker "sói cô độc" nhờ sai lầm hết sức đơn giản của anh ta như thế nào?

    Nguyễn Hải,  

    Dù được xem là một hacker "tầm cỡ quốc gia" nhưng Igor lại mắc các sai lầm ngớ ngẩn khiến cho danh tính thật của mình bị bại lộ.

    Thế giới đầy những hacker. Có những kẻ làm gián điệp, có những kẻ khác lại săn tìm lỗi để giúp các công ty sửa chữa sản phẩm của họ. Và còn những kẻ khác với các dự định gian manh hơn và cố gắng kiếm tiền từ việc phát tán các ransomware (phần mềm tống tiền) hay ăn cắp mật khẩu của người khác.

    Và có một kẻ với tên gọi Igor, mệnh danh LoneWolf - “con sói đơn độc” và là “một tên tội phạm mạng trình độ cao với đầy tham vọng”, tuy nhiên đây cũng là người đã mắc phải hàng loạt các sai lầm ngớ ngẩn cho phép một hãng bảo mật tìm ra anh ta.

    Theo một báo cáo gần đây của Symantec đi kèm với phân tích kỹ thuật của họ, Igor sử dụng một số kỹ thuật xứng đáng với các hacker tầm cỡ quốc gia. Nhưng mục tiêu của hacker này không phải tác động vào một cuộc tấn công hay hack một nhà máy điện hạt nhân. Thay vào đó, anh ăn trộm phần mềm chẩn đoán ô tô để có thể bán trên thị trường chợ đen lấy vài trăm USD, và điều đó cho thấy dường như Igor cũng có một công việc chính thức tại một cửa hàng phụ tùng ô tô.

    Nhà nghiên cứu của Symantec, Jon DiMaggio khám phá ra rằng Igor đã sử dụng malware của riêng mình, một trojan có tên gọi Bachosens, để thâm nhập vào nhà cung cấp các phụ tùng ô tô tại Trung Quốc trong nhiều năm trời. Anh cũng nhắm mục tiêu đến một công ty hàng không tại Nga, và một số công ty đánh bạc trực tuyến.

    Có thể ở ngoài kia có rất nhiều hacker tương tự như anh, nhưng Symantec quyết định tiết lộ danh tính của Igor vì đây là một trường hợp đặc biệt. Theo DiMaggio, Igor đủ giỏi để sử dụng malware do mình tự tùy chỉnh, nhưng cũng đủ bất cẩn khi hầu như không có biện pháp nào để bảo vệ danh tính thật của mình.

    Symantec lần ra anh ta như thế nào?

    Để che giấu hành động của mình trong những cuộc tấn công gần đây, Igor đã sử dụng các kênh chuyển đổi ví dụ tạo ra các domain ngẫu nhiên để liên lạc với malware của mình. Nhưng theo Symantec, trong năm 2013, khi anh này upload phiên bản đầu tiên của malware tương tự lên Virus Total, anh đã sử dụng một domain thông thường. (Virus Total là một kho chứa trực tuyến nơi bất kỳ ai cũng có thể upload các virus lên để kiểm tra xem liệu chúng có bị các công ty chống virus phát hiện hay không.)

    Đó là một sai lầm mấu chốt của hacker này. Theo Symantec, anh này còn mắc phải một sai lầm khác đó là, trong suốt nhiều năm theo đuổi sự nghiệp hacker của mình, Igor đã sử dụng tên thật – hay ít nhất một nhân vật hay bí danh phù hợp – để đăng ký các domain có liên quan đến hoạt động hack của mình, cũng như sau đó bán các dữ liệu trên những diễn đàn trực tuyến.

    Công ty không hoàn toàn tiết lộ danh tính của hacker này trong báo cáo của mình, nhưng bất kỳ ai cũng có thể kiểm tra các chi tiết đăng ký WHOIS trên những domain mà hacker đã sử dụng. Từ đây, họ có thể tìm thấy tên đầy đủ của anh ta, thành phố nơi anh này sống ở Moldova, và địa chỉ email từ sự kết hợp của hai yếu tố trên. Từ đó, người ta còn có thể tìm ra tài khoản Facebook cá nhân của hacker này và có thể cả họ của anh ta cùng với dữ liệu khác.

    Cũng như hầu hết các hãng bảo mật khác, Symantec thường không xác định danh tính của người đứng sau malware hay các hoạt động hack mà họ tìm ra. Nhưng trong trường hợp này, DiMaggio cho rằng, thông tin danh tính nên được công bố ra ngoài để tất cả mọi người đều thấy.

    Bạn phải có một số hiểu biết tối thiểu nếu bạn muốn trở thành một tội phạm.” DiMaggio nói với trang Motherboard trong cuộc phỏng vấn qua điện thoại. “Và thật là ngu ngốc khi tiết lộ toàn bộ thông tin cá nhân của mình ra và đăng tải nó lên Internet.”

    Bằng chứng "rõ như ban ngày"

    Trang Motherboard sau đó đã thử liên lạc với Igor để hỏi anh ấy xem liệu, anh có thực sự là người như Symantec nói và liệu anh có sử dụng malware mà công ty cáo buộc rằng anh đang triển khai nó hay không.

    Igor trả lời cho họ từ một tài khoản Gmail, được sử dụng để đăng ký cho tên miền mà theo Symantec, nó được sử dụng trong các cuộc tấn công. “Tôi không hiểu ý anh muốn nói gì? Trojan là gì?”

    Igor xác nhận rằng số điện thoại của mình đúng như xác định của Symantec, nhưng anh từ chối việc trả lời các câu hỏi cụ thể khác về tên và hoạt động của mình. Anh cũng phủ nhận cáo buộc của Symantec. “Không, tôi không phải hacker. Và tôi không biết tại sao họ lại nghĩ tôi là hacker.” Igor viết.

    Tất nhiên, đó là những gì các hacker thường nói. Và tất nhiên tất cả điều này cũng có thể là một chiến dịch đánh lạc hướng đầy tinh vi và hoàn hảo. Tuy nhiên, với DiMaggio, các bằng chứng là “rõ như ban ngày” và thậm chí có thể đưa ra tòa nếu các cơ quan chức năng Moldova quyết định truy bắt anh ta. Sau tất cả, đây cũng không phải lần đầu tiên các hacker hay những nhà phát triển malware mắc phải các sai lầm để lộ bản thân.

    Theo Motherboard

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ