Một Cuộc Tấn Công của Trickbot Cho Thấy Sức Mở Rộng của Tin Tặc Quân Đội Mỹ

Trong hơn hai năm, Đại Tướng Paul Nakasone đã hứa rằng, dưới sự lãnh đạo của ông, United States Cyber Command sẽ "phòng ngự tiến lên", tìm ra kẻ đối địch và ngăn chặn các hoạt động của họ một cách tiên phong. Chiến lược tấn công này giờ đã có một hình thức không ngờ: một chiến dịch được thiết kế để tắt hoặc đánh bại Trickbot, mạng lưới botnet lớn nhất thế giới, được cho là được kiểm soát bởi tin tặc mạng Nga. Trong quá trình làm điều này, Cyber Command đã đặt ra một tiền lệ mới, rất công khai và có thể lộn xộn về cách mà tin tặc quân đội Mỹ sẽ tấn công các đối tác nước ngoài - ngay cả những kẻ làm việc như tội phạm không quốc gia.

Trong những tuần qua, Cyber Command đã tiến hành một chiến dịch để làm gián đoạn bộ sưu tập hơn một triệu máy tính bị nhiễm malware của băng Trickbot. Họ đã hack vào các máy chủ điều khiển và điều hành của botnet để cắt đứt các máy bị nhiễm khỏi các kẻ sở hữu của Trickbot, thậm chí còn tiêm dữ liệu rác vào bộ sưu tập mật khẩu và chi tiết tài chính mà tin tặc đã đánh cắp từ các máy nạn nhân, nhằm mục đích làm cho thông tin trở nên vô dụng. Các hoạt động này được báo cáo đầu tiên bởi The Washington Post và Krebs on Security. Theo đánh giá của hầu hết các chuyên gia an ninh, những chiến thuật này, cũng như nỗ lực sau đó để làm gián đoạn Trickbot bởi các công ty tư nhân như Microsoft, ESET, Symantec và Lumen Technologies, không có nhiều tác động đối với hoạt động dài hạn của Trickbot. Các nhà nghiên cứu an ninh nói rằng botnet, mà tin tặc đã sử dụng để cài đặt ransomware vào vô số hệ thống nạn nhân, bao gồm cả bệnh viện và cơ sở nghiên cứu y khoa, đã phục hồi.

Tuy nhiên, ngay cả khi có kết quả hạn chế, việc nhắm mục tiêu Trickbot của Cyber Command cho thấy sức mạnh ngày càng lớn của tin tặc quân đội Mỹ, theo nhận định của các nhà chính sách mạng và cựu quan chức. Nó đại diện cho nhiều hơn một "lần đầu tiên", như Jason Healey, một cựu nhân viên của Nhà Trắng dưới thời Tổng thống Bush và nghiên cứu viên về xung đột mạng tại Đại học Columbia, nói. Điều này không chỉ là trường hợp được xác nhận công khai đầu tiên của Cyber Command tấn công các tin tặc không quốc gia - dù là những người tội phạm mạng đã phát triển tài nguyên lên mức độ đại diện một rủi ro an ninh quốc gia - mà thực sự là trường hợp được xác nhận đầu tiên mà Cyber Command đã tấn công các tin tặc của một quốc gia khác để làm gián đoạn họ.

"Điều này chắc chắn là thiết lập tiền lệ," Healey nói. "Đây là hoạt động công khai và rõ ràng đầu tiên để ngăn chặn khả năng mạng của ai đó trước khi nó có thể được sử dụng chống lại chúng ta để gây ra thiệt hại lớn hơn nữa."

Những nhà nghiên cứu an ninh đã quan sát được những sự kiện kỳ lạ trong bộ sưu tập khổng lồ của Trickbot với hàng triệu máy tính bị hack trong suốt vài tuần, những hành động mà chỉ mới gần đây được tiết lộ là công việc của US Cyber Command. Botnet này lớn mạnh đã rơi vào trạng thái offline vào ngày 22 tháng 9 khi, thay vì kết nối trở lại với máy chủ điều khiển và điều hành để nhận hướng dẫn mới, các máy tính nhiễm Trickbot đã nhận được các tệp cấu hình mới thông báo rằng chúng sẽ nhận lệnh từ một địa chỉ IP không chính xác, làm cho chúng bị cắt kết nối với botmasters, theo công ty an ninh Intel 471. Khi những tin tặc này phục hồi từ sự gián đoạn ban đầu, cùng một chiêu thức được sử dụng lại sau hơn một tuần. Không lâu sau đó, một nhóm các công ty công nghệ và an ninh tư nhân dẫn đầu bởi Microsoft đã cố gắng cắt đứt tất cả các kết nối đến các máy chủ điều khiển và điều hành Trickbot tại Mỹ, sử dụng lệnh của tòa án yêu cầu các nhà cung cấp dịch vụ Internet ngừng định tuyến lưu lượng đến chúng.

Nhưng không có hành động nào ngăn chặn được Trickbot khỏi việc thêm các máy chủ điều khiển mới, xây dựng lại cơ sở hạ tầng của mình trong vài ngày hoặc thậm chí vài giờ sau những nỗ lực cố gắng takedown. Các nhà nghiên cứu tại Intel 471 đã sử dụng các bản mô phỏng của phần mềm độc hại Trickbot của họ để theo dõi các lệnh được gửi giữa các máy chủ điều khiển và điều hành và các máy tính bị nhiễm, và phát hiện ra rằng, sau mỗi nỗ lực, lưu lượng thông tin sẽ nhanh chóng trở lại.

Tuy nhiên, một số người không chắc chắn rằng Cyber Command là cánh tay phải của chính phủ Mỹ để thực hiện các cuộc tấn công vào tổ chức tội phạm mạng toàn cầu. J. Michael Daniel, người phối hợp an ninh mạng cho Nhà Trắng dưới thời Obama, lập luận rằng việc tạo ra tiền lệ rằng các hacker quân sự có thể được sử dụng để làm gián đoạn các tổ chức tội phạm mạng có thể gây ra hậu quả không mong muốn và xứng đáng được tranh luận. "Có những lý do tại sao chúng ta không sử dụng quân đội để thực hiện các chức năng cảnh sát. Nhiệm vụ của quân đội trong thế giới vật lý là giết và phá hủy," Daniel nói. "Chức năng của quân đội không phải là bắt giữ người dân hoặc đưa họ vào một hệ thống nơi chúng ta sử dụng luật pháp để quyết định liệu ai đó đã phạm tội hay không. Đó là để ép buộc mọi người phải làm những gì chúng ta muốn họ làm. Đó là một cách nhìn khác về thế giới. Bạn cần suy nghĩ rất cẩn thận liệu những công cụ đó có phải là phù hợp cho nhiệm vụ hay không."

Daniel chỉ ra rằng nếu các quốc gia khác thực hiện các hoạt động tương tự, họ có thể nhắm vào các hệ thống bị xâm nhập ở Mỹ, với nguy cơ gây thiệt hại phụ. "Tất cả các hệ thống này đều nằm trên lãnh thổ của ai đó," Daniel nói. "Chúng ta sẽ có phấn khích như thế nào khi quân đội Brazil thực hiện một số hoạt động như vậy, hoặc quân đội Ấn Độ, và họ đến lãnh thổ của Mỹ?"

Nhưng Jason Healey của Columbia cho rằng vai trò của Cyber Command có xứng đáng tùy thuộc vào thông tin tình báo cụ thể dẫn đến cuộc tấn công. Cả Nakasone của Cyber Command và Microsoft đều đã đưa ra tuyên bố công khai gợi ý rằng Trickbot đại diện cho một mối đe dọa đối với cuộc bầu cử sắp tới, có thể thậm chí nó có thể bị kiểm soát bởi Kremlin để làm gián đoạn hệ thống bầu cử. Các dịch vụ tình báo Nga đã chiếm đoạt botnet của tội phạm mạng trước đây, và Trickbot đã được cho thuê cho các hacker nhà nước Triều Tiên trong quá khứ. Nếu Cyber Command đang làm việc để ngăn chặn hoặc dự phòng cho một cuộc tấn công được tài trợ bởi nhà nước, điều đó thay đổi đáng kể tiền lệ mà nó đang tạo ra.

"Nếu đây là một công cụ đa dụng thay vì 'trong trường hợp khẩn cấp, phá vỡ kính,' thì đó chắc chắn là hộp Pandora," Healey nói. "Nhưng nếu theo chính sách công khai chúng ta nói, 'Chúng ta đang gần đến một cuộc bầu cử, đây là một botnet rất phổ biến, và nó có thể được tái sử dụng cho Nga vì chúng ta biết đó là điều họ làm. Và vì vậy đó là nơi chúng ta sẽ sử dụng sức mạnh của mình, cho những điều như thế,' thì đó là có lý nhiều hơn."

Trong khi đó, Trickbot vẫn còn sống mạnh mẽ như ngày nào. Botnet này rất khó bị tấn công, theo CEO của Intel 471, Mark Arena, nhờ vào những chiêu trò như sử dụng phần mềm giấu danh tính Tor để che giấu máy chủ điều khiển và kiến tạo hệ thống tên miền phân tán EmerDNS để đăng ký một máy chủ dự phòng trên một tên miền có thể di chuyển đến một địa chỉ IP khác trong trường hợp bị ngừng hoạt động. Dù việc vô hiệu hóa botnet lâu dài có thể rất khó khăn, Arena cho biết ông hoan nghênh Cyber Command tiếp tục cố gắng.

"Đây là một trong những tên tội phạm mạng hàng đầu, và họ rất, rất giỏi trong những gì họ làm. Và theo tình hình hiện tại, họ được bảo vệ, nằm ngoài tầm tay của các cơ quan chức năng pháp luật phương Tây. Cách tiếp cận tốt nhất là bắt giữ họ. Cách tiếp cận thứ hai là làm gián đoạn họ," Arena nói. "Việc quân đội Mỹ đi sau nhóm tội phạm loại này chắc chắn là độc nhất. Và tôi hy vọng chúng ta sẽ thấy nhiều hơn điều này."

Thêm nhiều Bài viết Tuyệt vời từ MYTOUR

• 📩 Muốn nhận tin mới nhất về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi ngay!
• Người đàn ông nói nhẹ nhàng—và điều hành một quân đội mạng lớn
• Amazon muốn 'chiến thắng ở trò chơi.' Vậy tại sao nó chưa làm được?
• Một loại virus thực vật thông thường trở thành đồng minh không thể ngờ trong cuộc chiến chống ung thư
• Các nhà xuất bản lo lắng khi sách điện tử bay ra khỏi kệ ảo của thư viện
• Ảnh của bạn không thể thay thế. Hãy lưu chúng khỏi điện thoại của bạn
• 🎮 MYTOUR Games: Nhận các mẹo mới nhất, đánh giá và nhiều hơn nữa
• 🏃🏽‍♀️ Muốn có công cụ tốt nhất để có sức khỏe? Xem xét các lựa chọn của đội ngũ Gear của chúng tôi cho các thiết bị theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất