Nga bắt nhóm tạo phần mềm trộm thông tin khét tiếng vì xâm nhập tổ chức chính phủ
Nga vừa bắt giữ các nhà phát triển phần mềm đánh cắp thông tin Meduza Stealer khét tiếng.
Trong cuộc đột kích bất ngờ hôm 31.10, lực lượng thực thi pháp luật Nga đã bắt giữ ba cá nhân bị tình nghi tạo ra và bán phần mềm độc hại Meduza Stealer. Các vụ bắt giữ diễn ra tại Moscow (thủ đô Nga) và khu vực lân cận sau cuộc điều tra của Cục Điều tra Bộ Nội vụ Nga. Thông tin này được xác nhận bởi bà Irina Volk - người phát ngôn Bộ Nội vụ Nga.
Công cụ đánh cắp thông tin mạnh mẽ
Các nghi phạm được mô tả là "chuyên gia CNTT trẻ", bị cáo buộc điều hành Meduza Stealer như hoạt động cung cấp phần mềm độc hại dưới dạng dịch vụ (MaaS) sinh lời từ giữa năm 2023. Được viết bằng ngôn ngữ lập trình cấp cao C++, Meduza Stealer nhanh chóng trở thành công cụ đánh cắp thông tin mạnh mẽ, có khả năng thu thập dữ liệu nhạy cảm, gồm:
Thông tin đăng nhập: Mật khẩu, cookies và session token từ hơn 100 trình duyệt, 27 trình quản lý mật khẩu.
Session token (mã phiên xác nhận bạn đang đăng nhập và được hệ thống công nhận) là chuỗi ký tự đặc biệt được hệ thống tạo ra để xác định và duy trì trạng thái đăng nhập của một người dùng trong khoảng thời gian nhất định.
Tiền mã hóa: Dữ liệu từ hơn 100 ví, gồm cả tiện ích mở rộng (extension) trên trình duyệt.
Nhắn tin/Trò chơi: Thông tin bị đánh cắp từ Telegram, ứng dụng Steam và nhiều nền tảng khác.
Meduza Stealer được rao bán rầm rộ trên các diễn đàn ngầm và kênh Telegram. Giá đăng ký cho phiên bản mới nhất Meduza 2.2 ở mức 199 USD mỗi tháng, với gói thành viên trọn đời là 1.199 USD. Meduza rất tinh vi, sử dụng thuật toán ChaCha20 để mã hóa payload và các tính năng chống máy ảo để vượt qua phân tích bảo mật.
ChaCha20 là thuật toán mã hóa hiện đại, được dùng để bảo vệ dữ liệu bằng cách biến thông tin gốc thành dữ liệu không thể đọc được nếu không có khóa giải mã. Thuật toán này nhanh, an toàn và đang được nhiều hệ thống lớn như Google, WhatsApp, WireGuard… sử dụng thay thế cho AES (Advanced Encryption Standard) trong nhiều trường hợp.
Trong ngữ cảnh an ninh mạng hoặc phần mềm độc hại, payload là phần “nội dung chính” hoặc “phần nguy hiểm thực sự” của malware. Đây là phần thực hiện hành vi mà kẻ tấn công mong muốn, như đánh cắp dữ liệu, mã hóa file để đòi tiền chuộc (ransomware), cài thêm phần mềm độc hại khác, điều khiển máy tính từ xa.
Chống máy ảo là các kỹ thuật được lập trình trong mã độc để phát hiện xem nó có đang chạy trong môi trường giả lập/máy ảo hay không, ví dụ Vmware và VirtualBox – công cụ mà chuyên gia bảo mật dùng để phân tích vi rút an toàn.
Bước ngoặt với cuộc điều tra đến từ quyết định được cho là của nhóm này nhằm xâm nhập một tổ chức chính phủ Nga ở khu vực Astrakhan đầu năm nay và đánh cắp dữ liệu mật. Đây có thể là sai lầm chí mạng vì Meduza Stealer được thiết kế với bộ lọc địa lý để tránh nhắm vào các mục tiêu tại Nga, Kazakhstan và Belarus - quy tắc bảo mật ngầm (OpSec) để tránh bị chính quyền truy đuổi.
OpSec là tập hợp các biện pháp, quy tắc và thói quen nhằm giữ bí mật thông tin nhạy cảm trong quá trình hoạt động, để tránh bị phát hiện, theo dõi hoặc vô tình “lộ dấu vết” cho đối phương. Thuật ngữ này xuất phát từ quân đội Mỹ, dùng để bảo vệ kế hoạch tác chiến khỏi sự do thám. Ngày nay, OpSec được áp dụng rộng rãi trong nhiều lĩnh vực, từ an ninh quốc gia, doanh nghiệp, báo chí điều tra, cho tới cả giới tội phạm mạng.
Vì sao OpSec quan trọng?
Một tổ chức có thể sở hữu công nghệ hiện đại, hệ thống mã hóa mạnh, nhưng chỉ cần một sơ suất nhỏ như một file bị tải lên đám mây, đoạn tin nhắn không được mã hóa, hay một lần đăng ảnh vô tình lộ địa chỉ, là toàn bộ hoạt động có thể bị đánh sập. Trong thế giới an ninh mạng, OpSec là “luật im lặng”, là tấm khiên bảo vệ trước khi mọi công nghệ bảo mật lên tiếng.
Các cuộc bắt giữ kịch tính
Cảnh sát Nga đã thu giữ máy tính, smartphone và thẻ ngân hàng trong các cuộc đột kích. Đoạn video ghi lại hoạt động này, được thực hiện với sự hỗ trợ của Rosgvardia (Lực lượng Vệ binh Quốc gia Nga), cho thấy cảnh sát đã đột kích nhiều căn hộ và một nghi phạm mặc quần áo ngủ họa tiết Hello Kitty.
Rosgvardia là lực lượng vũ trang đặc biệt trực thuộc trực tiếp Tổng thống Nga, được thành lập vào năm 2016. Đây không phải quân đội, cũng không hoàn toàn là cảnh sát, mà là lực lượng bán quân sự có nhiệm vụ bảo vệ an ninh nội địa và duy trì trật tự trong nước.
"Ba bị cáo đã lựa chọn nhiều biện pháp phòng ngừa khác nhau. Tất cả đồng phạm và hành vi hoạt động bất hợp pháp đều đã được xác định", Irina Volk nói.
Các nhà điều tra cũng phát hiện nhóm này phát triển thêm một loại phần mềm độc hại khác, chưa xác định tên, với mục đích vô hiệu hóa hệ thống phòng thủ an ninh và xây dựng mạng botnet. Nếu bị kết án về tất cả tội danh, ba hacker trẻ tuổi này có thể phải đối mặt với mức án tù lên tới 5 năm.
Vụ bắt giữ này báo hiệu sự thay đổi rõ ràng và quan trọng trong lập trường của Nga. Theo báo cáo gần đây từ Insikt Group, chiến lược của Nga với tình hình hacker trong nước đang chuyển từ thái độ khoan nhượng thụ động sang quản lý chủ động.
Những vụ bắt giữ này chứng minh rằng Nga đang sử dụng các vụ bắt giữ có chọn lọc và công khai để khẳng định quyền lực, nhắm vào các hacker trong nước trở nên quá nổi bật hoặc gây bất lợi về mặt chính trị.
Insikt Group là bộ phận chuyên về nghiên cứu và phân tích tình báo của Recorded Future. Recorded Future là công ty công nghệ an ninh mạng Mỹ, chuyên cung cấp thông tin tình báo về mối đe dọa trên không gian mạng. Công ty giúp chính phủ, tổ chức và doanh nghiệp phát hiện, dự đoán và ngăn chặn các cuộc tấn công mạng trước khi chúng xảy ra.
