Ghost hackers: Bí ẩn an ninh mạng chưa ai giải quyết được

Những hacker bóng ma: bí ẩn an ninh mạng chưa ai giải đáp được

Trong lịch sử hacking lâu dài, có vô số vụ xâm phạm dữ liệu mà nhiều năm, thậm chí hàng thập kỷ sau vẫn chưa được giải quyết. Vô số hacker và các nhóm hacker đứng sau chúng chưa bao giờ bị lộ diện. Nhưng các nhóm hacker năng nổ thường bị bắt. Điều này đúng cho dù chúng là tội phạm mạng như LAPSUS$, một băng nhóm tống tiền khét tiếng đã xâm nhập vào các công ty như Microsoft và Nvidia, với nhiều thành viên bị bắt giữ, hay các nhóm hacker chính phủ tinh vi từ Nga và Trung Quốc, có thành viên đã bị nêu tên, truy tố và đưa vào danh sách truy nã gắt gao nhất. Tuy nhiên, một số vụ án hấp dẫn nhất trong lịch sử an ninh mạng vẫn còn bỏ ngỏ — không có thủ phạm, không có câu trả lời và trong một số trường hợp, thậm chí không có động cơ rõ ràng. Chúng tôi quyết định xem xét lại một số vụ trong một loạt bài viết, bắt đầu với một trong những sự cố kỳ lạ nhất trong lịch sử rò rỉ tình báo. Phần đầu tiên tập trung vào Shadow Brokers — một nhóm bí ẩn xuất hiện trực tuyến, tung ra một kho công cụ hacking được cho là thuộc về NSA, và sau đó biến mất.

Vào mùa hè năm 2016, giữa các vụ hack liên quan đến cuộc bầu cử Tổng thống Hoa Kỳ của Nga, nhóm này xuất hiện trên Twitter. Họ liên kết đến một bài đăng trên Pastebin và @-đề cập đến một số hãng tin tức — một chiến lược kỳ lạ, không hiệu quả, có nghĩa là hầu hết các hãng tin đó có lẽ chưa bao giờ nhìn thấy các tweet. Nhưng nếu ai đó nhấp vào liên kết, họ sẽ thấy một tài liệu có tiêu đề "Đấu giá Vũ khí Mạng của Equation Group - Lời mời" - một tham chiếu đến hoạt động hacking bí ẩn được cho là do NSA điều hành. "!!! Chú ý đến các nhà tài trợ chính phủ của chiến tranh mạng và những người kiếm lợi từ nó !!!! Bạn trả bao nhiêu cho vũ khí mạng của kẻ thù?" các hacker viết, tuyên bố đã hack Equation Group. Tài liệu bao gồm các liên kết để tải xuống một số công cụ hacking, cũng như một liên kết để tải xuống một tệp được mã hóa mà người mua quan tâm có thể giải mã bằng cách trả giá. "Các tệp đấu giá tốt hơn Stuxnet," họ viết, đề cập đến phần mềm độc hại nổi tiếng được sử dụng chống lại các cơ sở hạt nhân của Iran trong một cuộc tấn công mạng của Mỹ-Israel vào năm 2007. Họ yêu cầu ít nhất một triệu Bitcoin.

Vụ rò rỉ nhanh chóng thu hút sự đưa tin của báo chí. Khi các nhà nghiên cứu bảo mật phân tích các công cụ, họ nhận ra đây là những vũ khí mạng cực kỳ tinh vi, rất có thể bị đánh cắp từ NSA — một nghi ngờ được củng cố bởi thực tế là một số công cụ có tên chung với các chương trình do người tố giác NSA Edward Snowden tiết lộ. Cuộc đấu giá có lẽ là một mánh khóe, vì nhóm này cuối cùng đã công khai nhiều công cụ vài tháng sau đó.

Nhiều điều về Shadow Brokers có vẻ vô nghĩa. Tiếng Anh bồi của họ gần như комично, như thể họ đang cố gắng quá sức hoặc cố tình báo hiệu sự giả tạo. Mặc dù rõ ràng là đang tìm kiếm sự chú ý — và nhận được rất nhiều sự đưa tin của báo chí — nhóm này chỉ nói chuyện với một nhà báo một lần, đưa ra một cuộc phỏng vấn ngắn với Joseph Cox của 404 Media, khi đó là một phóng viên tại VICE Motherboard. Mười năm sau, chúng ta hoàn toàn không biết ai đứng sau danh tính Shadow Brokers. Cox và tôi đã phỏng vấn các cựu nhân viên NSA vào thời điểm đó, những người nói rằng một người trong cuộc hoặc cựu người trong cuộc của NSA có thể có liên quan. Nhưng chưa ai từng bị bắt giữ và buộc tội — điều phi thường, vì đây được cho là một trong những vụ rò rỉ tồi tệ nhất về các công cụ hacking tình báo của Hoa Kỳ.

Một nghi phạm tiềm năng là Harold T. Martin III, một nhà thầu của NSA bị bắt vì đánh cắp thông tin mật từ cơ quan này. Nhưng lý thuyết này có một vấn đề: trong khi Martin bị giam giữ, Shadow Brokers vẫn hoạt động trực tuyến. Ông chưa bao giờ bị chính thức buộc tội liên quan đến các vụ rò rỉ. Lý thuyết được nhiều người tin tưởng nhất là Shadow Brokers được tạo ra bởi một nhóm gián điệp chính phủ Nga như một công cụ tuyên truyền. Tác động là rất lớn. Trong số các công cụ được phát hành, Shadow Brokers đã công bố EternalBlue — một họ các lỗ hổng zero-day nhắm mục tiêu vào Windows cho phép hacker xâm nhập vào máy tính trên một mạng bị hack, nhanh chóng mở rộng quyền truy cập của chúng và triển khai các worm tự lan truyền. (Lỗ hổng zero-day là các lỗ hổng mà nhà sản xuất phần mềm không biết, có nghĩa là chưa có bản vá nào tồn tại.) Hacker Triều Tiên đã sử dụng EternalBlue để giải phóng worm ransomware WannaCry. Hacker Nga sau đó đã xây dựng nó thành NotPetya, lan rộng ra ngoài các mục tiêu ban đầu ở Ukraine và gây ra thiệt hại ước tính 10 tỷ đô la trên toàn cầu. Đối với các doanh nghiệp, bài học rất rõ ràng: các lỗ hổng do các cơ quan tình báo tích trữ không tồn tại bí mật mãi mãi — và khi chúng bị rò rỉ, khu vực tư nhân phải trả giá.

Kho tàng này vẫn đang mang lại những khám phá. Trong số các công cụ bị rò rỉ, có một công cụ chứa danh sách tên dự án — bao gồm một công cụ có tên Fast16, chỉ được gắn nhãn "KHÔNG CÓ GÌ ĐỂ XEM Ở ĐÂY — TIẾP TỤC". Tháng trước, các nhà nghiên cứu tuyên bố họ đã định vị và kiểm tra nó, tìm thấy phần mềm độc hại có từ năm 2005, được thiết kế để can thiệp vào phần mềm bị cáo buộc được sử dụng bởi các nhà khoa học hạt nhân Iran. Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến sự độc lập biên tập của chúng tôi. Lorenzo Franceschi-Bicch