Lizard Squad: Tấn công, từ chối dịch vụ (DDoS)
Cái tên Lizard Squad bắt đầu nổi lên với một loạt những cuộc tấn công từ chối dịch vụ DDoS vào những hệ thống mạng nổi tiếng, đặc biệt là sau vụ tấn công vào Blizzard và hệ thống Playstation Network của Sony vào ngày Giáng sinh năm 2014.
Từ đầu tháng 12/2014, nhóm Lizard Squad đã từng công bố các mục tiêu mà họ sẽ nhắm đến bao gồm các game của EA, Destiny, Xbox Live, trong đó có các thông điệp trên Twitter mà nhóm này đưa ra là: “Microsoft sẽ nhận được món quà Giáng sinh tuyệt vời của chúng tôi" nhằm đe dọa những nhà công nghệ nổi tiếng và "phá đám" sở thích chơi điện tử vào dịp lễ lớn nhất trong năm của mọi người.
Trước đó vào cuối tháng 8/2014, Lizard Squad đã tuyên bố đánh sập mạng lưới PlayStation của Sony, đồng thời đe dọa chiếc máy bay chở John Smedley, chủ tịch của tập đoàn Sony Online Entertainment, có chứa bom – khiến chiếc máy bay phải chuyển hướng đến một thành phố khác. Ngoài ra, Lizard Squad cũng từng tuyên bố là thủ phạm đánh sập mạng internet của Triều Tiên vào năm 2014, giữa lúc vụ tấn công vào Sony Pictures đang gay cấn. Lizard Squad đăng tải một số địa chỉ IP có vẻ là của Triều Tiên lên mạng Pastebin.
Vậy Lizard Squad là ai?
Nhóm hacker này thường xuất hiện với hình ảnh quen thuộc là một con "Thằn lằn" cùng cái tên Lizard Squad được dùng như một chữ ký trên các website mà nhóm này tấn công. Phần lớn các hoạt động online của Lizard Squad, ngoài hacking, đều xuất phát từ tài khoản Twitter của họ. Một bài viết trên trang Krebson Security cho biết, các thành viên chính của nhóm Lizard Squad rất muốn thế giới nhìn nhận về các hành vi, “chiến công” của họ.
Theo thông tin, có hai người đàn ông rất trẻ là hai hacker chính của nhóm này. Thành viên thứ nhất của nhóm hacker không cho biết tên thật, mà chỉ tiết lộ biệt danh là “Ryan”. Nhiều nguồn tin cho rằng đây là một thiếu niên người Phần Lan có tên là Julius Kivimäki, ngoài "Ryan" còn một số biệt danh khác nhau bao gồm “Zee,” “Zeekill”. Có tin cho biết Kivimäki đã bị cảnh sát Helsinki (Phần Lan) bắt hồi tháng 10/2013 vì nghi ngờ điều hành vụ botnet lớn gồm hơn 60.000 máy chủ web bị tấn công trên toàn thế giới. Báo chí Phần Lan cũng đã đưa tin về vụ bắt giữ này, nhưng không nêu rõ tên thủ phạm.
Thành viên thứ hai của nhóm hacker này có vẻ là một người 22 tuổi đến từ Anh với tên gọi Vinnie Omari. Tuy nhiên, đây cũng không phải là tên thật của hacker này. Thành viên này lấy biệt danh là Number Two và là người thường đưa ra những lời dọa dẫm về những vụ hack trên mạng Tweet. Number Two cũng từng cho biết nhóm hacker Thằn lằn này tấn công các trang web với lý do “bởi vì chúng tôi có thể làm”.
Một trong hai thành viên từng cho biết Lizard Squad không tấn công vì tiền. “Nếu chúng tôi thực sự quan tâm đến tiền, chúng tôi đã có thể dùng các tài khoản Twitter mà chúng tôi tạo ra và thu hút hơn 50.000 người theo dõi trong vòng 24-48 giờ để kiếm tiền. Chúng tôi đã có thể dễ dàng công bố một vài hồ sơ, tài liệu hay bất cứ gì để kiếm tiền”. Nhiều người cho rằng, nhóm hacker Lizard Squad có thể là một nhóm hacker “trẻ con”, mong muốn tìm kiếm sự nổi tiếng trong tuyệt vọng, để được giống như LulzSec, một băng đảng hacker tương tự song các thành viên nòng cốt đã đi tù và băng nhóm này cũng đã tan vỡ.
APT28 (Fancy Bear): Kỹ năng: Tấn công mạng, spear-phishing, sử dụng mã độc, xâm nhập hệ thống.
Cuối tháng 9/2020, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) khuyến cáo việc hacker xâm nhập vào một cơ quan liên bang của nước này. Dù không công khai danh tính kẻ tấn công hay cơ quan bị xâm nhập, CISA nêu chi tiết phương pháp tấn công của tin tặc, cho rằng chúng sử dụng loại phần mềm độc hại mới để đánh cắp dữ liệu mục tiêu.
Manh mối kẻ đứng sau được hé mở nhờ đội nghiên cứu thuộc công ty an ninh mạng Dragos và nội dung bản thông báo FBI gửi tới các đơn vị dễ bị tấn công. Nhóm hacker có thể là Fancy Bear, hay còn có tên APT28 - một nhóm tin tặc làm việc cho cơ quan tình báo quân sự GRU của Nga. Nhóm này được cho là tác giả của nhiều vụ tấn công, từ vụ xâm nhập và đánh cắp dữ liệu nhắm vào cuộc bầu cử tổng thống Mỹ năm 2016 đến một chiến dịch quy mô lớn khác với vô số nỗ lực tấn công các đảng phái chính trị, chiến dịch, tổ chức tư vấn trong năm nay.
Hồi tháng 5/2020, FBI cũng đã cảnh báo APT28 đang nhắm đến các hệ thống mạng của Mỹ, bao gồm các cơ quan chính phủ và tổ chức giáo dục. FBI cũng liệt kê một số địa chỉ IP mà hacker sử dụng trong quá trình hoạt động. Nhà nghiên cứu Joe Slowik thuộc công ty Dragos nhận thấy một địa chỉ IP trong đó định danh một máy chủ đặt tại Hungary. Địa chỉ này trùng khớp với một IP xuất hiện trong bản khuyến cáo của CISA, cho thấy có thể APT28 đã sử dụng cùng một máy chủ tại Hungary trong vụ xâm nhập mà CISA mô tả lần này.
CISA cũng đã trình bày chi tiết từng bước thực hiện của tin tặc APT28 khi chúng xâm nhập vào cơ quan liên bang chưa được tiết lộ danh tính của Mỹ. Bằng cách nào đó, hacker lấy được tên người dùng và mật khẩu của nhiều nhân viên để xâm nhập vào hệ thống. CISA thừa nhận họ chưa rõ những thông tin đăng nhập bị đánh cắp thế nào, nhưng bản báo cáo suy đoán rằng những kẻ tấn công có thể đã tận dụng lỗ hổng được xác định trong Pulse Secure VPN, một dạng công nghệ bảo mật truy cập nội bộ được sử dụng rộng rãi trên toàn chính phủ liên bang.
Tin tặc sau đó sử dụng các dòng lệnh để di chuyển giữa hệ thống máy tính của cơ quan, trước khi tải xuống một phần mềm độc hại tùy chỉnh. Chúng sử dụng phần mềm độc hại ấy để truy cập vào máy chủ có chứa tệp của cơ quan, rồi chuyển các bộ sưu tập tệp đến những máy tính chúng đã chiếm được quyền kiểm soát, nén dữ liệu thành tệp .zip để dễ dàng đánh cắp.
APT28 đã có lịch sử gắn với nhiều hoạt động gián điệp nhắm vào các mục tiêu quân sự và chính phủ Mỹ, NATO và Đông Âu. Bản khuyến cáo của CISA, cùng với các phát hiện của DOE và FBI, theo dõi những chiến dịch tấn công mạng có liên quan đến APT28... đều cho thấy tổ chức gián điệp này vẫn còn tiếp tục hoạt động đến tận ngày nay.
Lazarus Group: Xâm nhập hệ thống, phân tán mã độc, tấn công tiền điện tử.
Đầu năm 2022, Cục Điều tra Liên bang Mỹ (FBI) đã khẳng định Lazarus Group là nhóm tin tặc phải chịu trách nhiệm đối với vụ tấn công vào mạng lưới Ronin. Đây là sidechain của Axie Infinity - tựa game Blockchain do người Việt phát triển. Nhóm hacker Lazarus được biết tới với nhiều tên gọi khác nhau như APPLEWORM, APT-C-26, GROUP 77, GUARDIANS OF PEACE, HIDDEN COBRA, OFFICE 91, RED DOT,... và được cho là có mối quan hệ với Triều Tiên.
Lazarus Group là một nhóm tội phạm mạng được hình thành từ một số lượng cá nhân không rõ. Mặc dù không có nhiều thông tin về Lazarus, thế nhưng nhóm hacker này đã nhiều lần phải chịu trách nhiệm về các cuộc tấn công trên không gian mạng trong suốt một thập kỷ qua.
Cuộc tấn công sớm nhất được biết đến mà nhóm này chịu trách nhiệm là "Operation Troy", diễn ra từ năm 2009-2012. Đây là một chiến dịch gián điệp mạng sử dụng các kỹ thuật DDoS (Tấn công từ chối dịch vụ) tinh vi mà mục tiêu là chính phủ Hàn Quốc ở Seoul. Họ cũng từng được cho là phải chịu trách nhiệm một cuộc tấn công năm 2007 nhắm vào Hàn Quốc, tuy vậy thông tin về vụ việc này không chắc chắn bởi vẫn chưa có kết luận cuối cùng. Ngoài ra, Lazarus cũng bị quy trách nhiệm về cuộc tấn công mạng có tên DarkSeoul diễn ra vào năm 2013 ở Hàn Quốc.
Trong lịch sử hoạt động của mình, cuộc tấn công đáng ý nhất mà Lazarus từng thực hiện chính là vụ việc liên quan tới Sony Pictures diễn ra năm 2014. Ở vụ việc này, các tin tặc đã đánh cắp hàng Terabyte dữ liệu từ máy chủ của Sony Pictures Entertainment (SPE) trước khi xóa sạch. Điều này đã giáng một đòn đau vào hãng phim Sony Pictures, khiến họ phải mất nhiều tháng mới có thể khôi phục được.
Năm 2016, Lazarus đã tấn công thẳng vào Ngân hàng Trung ương Bangladesh và đánh cắp mất số tiền 81 triệu USD. Mới đây nhất, hãng bảo mật Symatec từng cho rằng nhóm hacker này có liên quan đến vụ tấn công nhằm vào lĩnh vực tài chính tại Balan hồi năm 2017.
Theo Kaspersky Lab, nhóm tin tặc Lazarus có xu hướng thực hiện các cuộc tấn công xâm nhập nhằm mục đích gián điệp mạng. Ngoài ra, một nhóm nhỏ trong tổ chức này với mật danh Blueoroff chuyên thực hiện các cuộc tấn công vào mảng tài chính. Hiện không rõ ai là những người thực sự đứng sau nhóm hacker. Tuy nhiên, nhiều báo cáo của Mỹ từng liên kết Lazarus với Triều Tiên. Điều này cũng được nhắc lại ngay trong thông cáo của FBI liên quan đến vụ tấn công đánh cắp 620 triệu USD được thực hiện nhằm vào mạng lưới Ronin của Sky Mavis.
Equation Group: Xâm nhập hệ thống, phát triển mã độc, gián điệp mạng.
Theo Kaspersky Lab, sự độc đáo của Equation Group thể hiện qua các khía cạnh hoạt động như việc sử dụng các công cụ rất phức tạp và đắt đỏ để lây nhiễm, đánh cắp dữ liệu, che đậy giấu vết chuyên nghiệp, và tận dụng các kỹ thuật gián điệp cổ điển để phát tán phần mềm độc hại. Để lây nhiễm nạn nhân, Equation Group sử dụng kĩ thuật “cấy ghép Trojan” bao gồm những Trojan đã được đặt tên bởi Kaspersky Lab như: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny và GrayFish.
Nhiều chuyên gia nước ngoài nhận định, tổ chức này là “sản phẩm” của Cục An ninh quốc gia Mỹ (NSA). Tuy chưa có chứng cớ trực tiếp khẳng định điều đó, nhưng nhiều nguồn tin khẳng định chắc chắn rằng, những nhân vật tạo ra mạng gián điệp mới này có liên hệ mật thiết với ông chủ các mạng gián điệp cũ do NSA sở hữu. Và đây chỉ là một trong những bước đi ban đầu trong kế hoạch dài hơi tạo nên “chiến tranh không gian mạng” mà NSA đang theo đuổi bấy lâu nay.
Vào năm 2015, các chuyên gia Kaspersky Lab đã nghiên cứu hơn 60 chiến dịch gián điệp mạng khác nhau trên toàn thế giới. Tuy nhiên, điều mà họ phát hiện được chỉ mới đây đã vượt qua tất cả các cuộc tấn công độc hại được biết đến về quy mô, công cụ và hiệu quả. Nhóm gián điệp có tên Equation Group đang tiến hành hoạt động của mình trong vòng gần 20 năm, xâm phạm đến hàng chục nghìn người dùng ở hơn 30 quốc gia trên thế giới. Số lượng nạn nhân lớn nhất của Equation Group được ghi nhận ở Nga và Iran.
Hạ tầng của nhóm Equation Group gồm hơn 300 tên miền và 100 máy chủ điều khiển nằm rải rác ở nhiều nước như Mỹ, Anh, Italia, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Séc. Mục tiêu bị tấn công nhiều nhất là các máy tính trong các cơ quan chính phủ và quân đội, các công ty viễn thông, năng lượng, các công ty nghiên cứu hạt nhân, các công ty truyền thông và các nhà hoạt động Hồi giáo. Kho vũ khí của Equation Group có nhiều loại mã độc, một số loại trong đó là cực kỳ tân tiến, cho phép lập trình lại hệ điều hành của các ổ đĩa cứng của 12 nhà sản xuất chính trên thế giới (trong đó có Western Digital, Seagate, Micron, Toshiba, IBM và Samsung). Một khi xâm nhập vào hệ điều hành của ổ cứng, mã độc này sẽ nằm lại đó mãi mãi.
Ngoài ra, những kẻ tấn công còn có khả năng tạo một nơi trú ẩn an toàn dưới dạng một kho chứa bí mật, tập hợp mọi thông tin cần thiết để phục vụ cho quy trình “đánh cắp”. Equation Group cũng đang sử dụng loại sâu máy tính Fanny cho phép nhận dữ liệu từ máy tính ngay cả khi nó được ngắt khỏi mạng toàn cầu. Để làm việc đó, thông qua máy tính đã bị nhiễm, những kẻ tấn công cài cắm sâu máy tính vào một đĩa USB, và nó tạo ra trên đĩa USB một kho bí mật tập hợp tất cả những thông tin về cấu trúc của mạng cách ly. Sau đó, khi lọt vào máy tính có kết nối Internet, sâu máy tính này từ USB truyền toàn bộ dữ liệu thu thập được về địa chỉ ấn định.
Cho tới nay, vẫn không có thông tin tuyệt đối chính xác về nhân vật đứng sau nhóm gián điệp nguy hiểm này. Các chuyên gia Kaspersky Lab chỉ xác định được rằng, Equation Group có hợp tác với các nhóm tin tặc khác, chẳng hạn với những kẻ đã tổ chức các chiến dịch tấn công mạng khét tiếng Stuxnet và Flame.
Vi-rút Stuxnet lần đầu tiên trong lịch sử được sử dụng làm vũ khí mạng vào năm 2010, đã phá hủy các máy ly tâm hạt nhân của Iran và trở thành sâu máy tính đầu tiên gây ra tổn hại cho các đối tượng vật chất. Trong khi đó, sâu máy tính Flame từng tàn phá các máy tính dùng hệ điều hành của Microsoft vào năm 2012. Cả hai “vũ khí” này đều được đồn đoán xuất phát từ chủ ý của NSA.
Anonymous: Tấn công mạng, phân tán dịch vụ (DDoS), xâm nhập hệ thống.
Được cho là nhóm hacker khét tiếng nhất thế giới, Anonymous là hiện thân của sự hỗn độn, tối tăm trong thế giới tin tặc với những con người tài năng, lập dị.
Trong khi các nhóm hacker lừng danh như LulzSec, Lizard Squad hay Team Poison có thể gây chấn động thế giới một thời gian rồi rút lui vào bóng tối thì Anonymous đã hoạt động kéo dài tới hơn một thập kỷ cùng hàng loạt chiến dịch lớn làm đau đầu nhiều tổ chức, doanh nghiệp và cá nhân. Thậm chí, nhóm này góp mặt trong danh sách 100 nhân vật có ảnh hưởng nhất thế giới của tạp chí Time.
Vậy tại sao họ lại tồn tại lâu đến vậy? Đáp án cho câu hỏi "Anonymous là ai" đã phần nào giải thích lý do cho sự thành công của nhóm: Anonymous chẳng là ai cả. Trong khi đa số các tổ chức được hình thành có cấp bậc, phân quyền thì Anonymous có kết cấu lỏng lẻo, ngang hàng và không có thủ lĩnh với vai trò ra lệnh cho các thành viên còn lại. Phương châm của nhóm là: "Bạn không thể chặt đầu một con rắn không đầu".
Nói cách khác, về mặt lý thuyết, bất cứ thành viên nào (còn gọi là Anons) cũng có thể sử dụng tên "Anonymous" để phát động tấn công và nếu đủ sức hút, sẽ có một nhóm người cùng tham gia đến cùng. Dĩ nhiên, sẽ vẫn có những Anons chủ chốt sẵn sàng ra tay nhằm ngăn chặn các hoạt động vượt ra khỏi tiêu chí, mục tiêu mà nhóm đã đề ra. Các thành viên Anonymous không hề biết tổ chức này có bao nhiêu người. Họ đến từ nhiều cộng đồng khác nhau nhưng đều giữ kín thân thế, nhờ đó, dù một số thành viên bị bắt thì các thành viên còn lại đều có thể âm thầm rút lui mà không lo sợ bị lộ danh tính.
Anonymous ra đời từ năm 2003 thông qua một lời kêu gọi trên diễn đàn 4chan. Biểu tượng của nhóm là người đàn ông không đầu và chiếc mặt nạ Guy Fawkes như trong phim V for Vendetta. Có hai nhóm người trong Anonymous, một muốn nhân danh công lý để thay đổi thế giới và một muốn tham gia các chiến dịch chỉ để cho vui.
Đến năm 2008, nhóm bắt đầu thu hút sự chú ý của dư luận sau khi một video về giáo phái Scientology (Tom Cruise là một thành viên) rò rỉ trên YouTube. Nhà thờ yêu cầu YouTube phải gỡ bỏ video và hành động này khiến Anonymous nổi giận, tuyên chiến và kêu gọi biểu tình phản đối Scientology khắp mọi nơi. Với chiến dịch Project Chanology, hàng loạt trang web của giáo phái bị tấn công từ chối dịch vụ trong khi nhà thờ cũng liên tục bị quá tải trước các cuộc gọi giả mạo.
"Chúng tôi là Anonymous. Chúng tôi không tha thứ. Chúng tôi không quên. Hãy đợi đấy", nhóm tuyên bố. Tiếp theo đó, 7.000 người đeo mặt nạ Guy Fawkes đứng biểu tình bên ngoài các trung tâm của Scientology ở nhiều nước. Bắt đầu từ đây, Anonymous vươn ra ngoài 4chan và tung hoành khắp thế giới, đỉnh cao là năm 2011 với 25 chiến dịch và năm 2012 với 31 chiến dịch. Cũng trong năm 2012, tạp chí Time xếp Anonymous đứng thứ 36 trong số 100 người ảnh hưởng nhất thế giới.
Tuy nhiên, trong số các cuộc tấn công của Anonymous, chiến dịch chống lại phiến quân Nhà nước Hồi giáo (IS) không phải lớn nhất nhưng nhận được sự ủng hộ lớn. Đầu năm nay, Anonymous tuyên bố trả thù cho tạp chí biếm họa Charlie Hebdo của Pháp sau khi các tay súng tự xưng là thành viên Al-Qeada xả súng khiến 12 người, trong đó có tổng biên tập, thiệt mạng và 10 người bị thương.
Nhóm này đã tấn công hàng trăm website, tài khoản Twitter được cho là có liên quan đến "Hồi giáo cực đoan" và khủng bố. Website Ansar-allaqq tuyên truyền thánh chiến tại Pháp đã bị thay đổi trang chủ.
Những cuộc tấn công của Anonymous luôn gây nhiều tranh cãi. Tùy tính chất của từng vụ, trong một số trường hợp, họ được ví như Robin Hood của thời đại số. Nhưng cũng có lúc họ bị coi như kẻ khủng bố, phá hoại. Nhưng không thể phủ nhận, rất nhiều vụ việc tai tiếng nhờ Anonymous vào cuộc mà được lôi ra ngoài ánh sáng.
Anonymous giữ nguyên tắc hành động theo số đông, đại diện cho ý chí và lợi ích chung của tập thể. Biên tập viên Quinn Norton của tạp chí Wired từng viết: "Tôi thừa nhận rằng tôi yêu Anonymous, nhưng không phải vì tôi nghĩ họ là những người hùng. Giống như nhân vật V trong V for Vendetta, bạn sẽ không bao giờ chắc chắn được rằng Anonymous là kẻ chính nghĩa hay phản diện".
Tổng hợp
QT (SHTT)