Phát hiện mã độc chuyển tiền ảo về máy chủ Triều Tiên

10/01/2018 13:50:25

Mã độc sau khi xâm nhập sẽ âm thầm đánh cắp tiền ảo Monero và chuyển về máy chủ của một trường đại học ở Bình Nhưỡng.

Theo IBTimes, các nhà nghiên cứu thuộc công ty an ninh mạng Alien Vault vừa phát hiện ra phần mềm độc hại mới, có chức năng lây nhiễm đến các hệ thống máy tính mục tiêu, sau đó "đào" hoặc đánh cắp tiền ảo Moreno và gửi đến máy chủ được đặt tại Đại học Kim Il Sung ở thủ đô Bình Nhưỡng. Mã độc lây lan từ Giáng sinh (24/12/2017) nhưng gần đây mới bị phát hiện.

Phát hiện mã độc chuyển tiền ảo về máy chủ Triều Tiên
Tiền ảo là mục tiêu đang được hacker Triều Tiên nhắm tới, trong đó có Moreno.

Monero là tiền ảo mới dựa trên giao thức CryptoNote, do đó có một số khác biệt nhất định so với các loại tiền ảo khác đang được mã hóa dựa theo Blockchain hiện nay, như Bitcoin. Các nhà nghiên cứu cho rằng, việc Triều Tiên đánh cắp tiền ảo nói chung và Moreno nói riêng nằm trong nỗ lực "tìm kiếm nguồn thu nhập thay thế" sau khi bị siết chặt bởi một loạt các biện pháp trừng phạt và hạn chế thương mại từ quốc tế.

Trên thực tế, Triều Tiên đã quan tâm đến tiền ảo từ lâu. "Tiền ảo như giải pháp khả dụng nhất, thay thế tiền thật cho một quốc gia đang bị trừng phạt kinh tế. Gần đây, trường Đại học Khoa học và Công nghệ Bình Nhưỡng đã mời các chuyên gia nước ngoài đến giảng dạy về các loại tiền tệ ảo đã cho thấy mức độ quan tâm của họ ở mức nào. Từ hệ thống phân tích, tôi cho rằng đây là một trong những nỗ lực đánh cắp tiền ảo", một chuyên gia của Alien Vault cho biết.

Tuy nhiên, vẫn có một số nghi vấn về việc đánh cắp tiền ảo của Đại học Kim Il Sung, khi máy chủ của Đại học này không kết nối với Internet. Từ đó, các nhà bảo mật nghi ngờ rằng khả năng cao nó được dùng để đánh lừa và tiền ảo được chuyển đến một nơi khác, nơi đặt máy chủ của tổ chức hacker Lazarus Group - nhóm từng đánh cắp tiền ảo ở nhiều nơi và được cho là có liên hệ mật thiết với chính phủ Triều Tiên.

Triều Tiên là một trong số ít các quốc gia được cung cấp rất ít địa chỉ IP và Alien Vault nhận thấy rằng địa chỉ 175.45.178.19 thường xuyên kết nối đến các website giao dịch Bitcoin. Trước đây, cũng chính địa chỉ IP này có liên quan đến những cuộc tấn công không gian mạng được cho là của nhóm Lazarus nhằm vào các nhà máy năng lượng, viễn thông, phát thanh truyền hình, các tổ chức chính trị và tài chính của Hàn Quốc.

"Không loại trừ khả năng Đại học Kim Il Sung chỉ làm bình phong và việc đánh cắp tiền ảo Moreno được thực hiện bởi Lazarus", một nhà bảo mật của Alien Vault nói.

Theo Lâm Anh (VnExpress.net)

Nổi bật