Tên Nhóm Tin Tặc Ngày Nay Đã Hoàn Toàn Không Kiểm Soát Được

Những kẻ tin tặc—đặc biệt là những người được tài trợ bởi quốc gia tập trung vào gián điệp và chiến tranh mạng, và những tội phạm mạng tổ chức khắp nơi để kiếm lời—are not pets. Chúng phá hủy doanh nghiệp, gieo rối, làm gián đoạn cơ sở hạ tầng quan trọng, hỗ trợ một số quân đội và chế độ độc tài nguy hại nhất thế giới, và giúp những chính phủ đó gián điệp và đàn áp nhân dân vô tội trên toàn thế giới.

Vậy tại sao, khi tôi viết về những nhóm tin tặc tổ chức này như một phóng viên an ninh mạng, tôi lại phải tham chiếu đến chúng với những cái tên dễ thương như Gấu Fancy, Mèo Tinh tế, và Rùa Biển?

Tại sao, khi tôi phỏng vấn các công ty an ninh mạng khác nhau về một đơn vị cụ thể của tin tặc tình báo quân sự Nga, tôi phải dịch nội tâm rằng công ty này gọi Gấu Fancy là Cuộc Tấn Công Của Hậu Duệ, trong khi công ty khác gọi họ là Hoàng Hôn Sắt? Tại sao, khi tôi viết một bài tin tức vào đầu tuần này về một nhóm tin tặc liên kết với Bắc Triều Tiên đã gián điệp người hàng xóm Hàn Quốc của họ, đánh cắp triệu đô la tiền điện tử để tài trợ cho chế độ chuyên chế của Kim Jong-un, và làm hỏng phần mềm của nhiều công ty để lan truyền mã độc hại trên toàn thế giới, tôi lại phải tham chiếu đến họ như là "nhóm tin tặc được biết đến với tên là Kimsuky, Băng Tuyết Ngọc Lục, hoặc Velvet Chollima"? Tất cả, thành thực mà nói, đều là một chút xấu hổ—và đối với độc giả bình thường, khiến báo cáo về xung đột mạng không đủ nghiêm túc như làm thế giới thực về một trò chơi thẻ Pokémon.

Vài ngày trước, bộ phận an ninh mạng của Microsoft thông báo rằng họ đang thay đổi toàn bộ hệ thống phân loại tên mà họ sử dụng cho hàng trăm nhóm tin tặc mà họ theo dõi. Thay vì hệ thống trước đó, trong đó cung cấp cho những tổ chức đó tên của các yếu tố—một hệ thống nghe có vẻ khá trung lập và khoa học trong những điều như vậy—bây giờ họ sẽ đặt tên cho nhóm tin tặc bằng hai từ, bao gồm trong mô tả của họ một thuật ngữ liên quan đến thời tiết cho biết tin tặc được cho là làm việc cho quốc gia nào, cũng như liệu chúng có được tài trợ từ quốc gia hay không.

Điều đó có nghĩa là Phosphorous, một nhóm người Iran mà Microsoft báo cáo trong tuần này đã tấn công cơ sở hạ tầng quan trọng của Mỹ như cảng biển, các công ty năng lượng và hệ thống giao thông, bây giờ có tên ít khi đáng sợ hơn là Cơn Bão Cát. Iridium, đơn vị tin tặc quân sự tập trung vào chiến tranh mạng nguy hiểm nhất và hung dữ nhất của Nga, phổ biến được biết đến với tên Sandworm—đảm nhận nhiều lần mất điện ở Ukraine và mã độc hại gây ra nhiều thiệt hại nhất trong lịch sử—bây giờ có cái tên kỳ quặc là Bão Tuyết Ốc. Barium, một nhóm tin tặc Trung Quốc thực hiện nhiều cuộc tấn công vào chuỗi cung ứng phần mềm hơn bất kỳ nhóm nào trên thế giới có lẽ, giờ đây là Cơn Bão Đồng Đồng—một cụm từ mà, tôi thú nhận, tôi gặp khó khăn khi phân biệt với sự đầy hơi.

Nhiều cái tên mới nghe có vẻ ngớ ngẩn đến mức tôi thực sự kiểm tra lần hai xem Microsoft có công bố hệ thống nhãn mới vào ngày 1 tháng 4 hay không. Cơn Bão Nhãn Xanh. Cơn Bão Cát Bí Ngô. Cơn Bão Vải Dạ Tempest. Cơn Bão Gingham. “Những cái tên này thật sự là quá ngớ ngẩn,” nói Rob Lee, người sáng lập và Giám đốc điều hành của công ty an ninh mạng hệ thống kiểm soát công nghiệp Dragos. “Nói về việc không được coi trọng như một nghề nghiệp.”

Qua tất cả những trò hề, hệ thống mới này làm ngược lại cho việc phân tích thực tế về an ninh mạng, theo quan điểm của Lee. Khi thông tin đe dọa của Microsoft được xem là một trong những tốt nhất thế giới, các nhà phân tích và khách hàng trên khắp ngành công nghiệp sẽ phải thực sự xem xét lại cơ sở dữ liệu của họ—thậm chí là một số sản phẩm của họ—để phù hợp với hệ thống đặt tên mới của Microsoft, ông nói. Và hệ thống sửa đổi bây giờ đã khóa các ước đoán thông minh về lòng trung thành quốc gia của những tin tặc mà không có dấu hiệu về mức độ tự tin của những nhận định đó, Lee thêm vào.

Nhưng nếu một nhóm tin tặc được cho là thuộc về cơ quan tình báo của một quốc gia thì cuối cùng lại là một nhà thầu thuê tin tặc? Hoặc tội phạm mạng được thuê tạm thời làm việc thay mặt cho một chính phủ? “Đánh giá thay đổi theo thời gian,” Lee nói. “Như, ‘Chúng tôi nói với bạn rằng đó là Dirty Mustard và bây giờ nó là Swirling Tempest,’ và bạn tự hỏi, cái quái gì vậy?” (Công ty của Lee, Dragos, thậm chí đặt tên nhóm tin tặc của họ bằng những tên khoáng chất thường gây nhầm lẫn tương tự với hệ thống cũ của Microsoft. Nhưng ít nhất Dragos chưa bao giờ gọi ai là Cơn Bão Gingham.)

Khi tôi liên lạc với Microsoft về hệ thống đặt tên mới của họ, giám đốc Trung tâm Tình báo Đe dọa của họ, John Lambert, giải thích lý do đằng sau sự thay đổi: Tên mới của Microsoft có vẻ phân biệt, dễ nhớ và dễ tìm kiếm hơn. Ngược lại với điểm của Lee về việc chọn tên trung lập, đội ngũ Microsoft muốn cung cấp thêm ngữ cảnh cho khách hàng về tin tặc trong tên, Lambert nói, ngay lập tức xác định quốc tịch và động cơ của họ. (Các trường hợp chưa được gán đầy đủ cho một nhóm đã biết được gán một phân loại tạm thời, ông lưu ý.)

Đội ngũ của Microsoft cũng chỉ đơn giản là đang cạn kiệt các yếu tố—thực sự chỉ có 118 yếu tố. “Chúng tôi thích thời tiết vì nó là một lực lượng lan truyền, làm phá vỡ, và có một tinh thần họ hàng vì nghiên cứu về thời tiết qua thời gian liên quan đến sự cải thiện trong cảm biến, dữ liệu và phân tích,” Lambert nói. “Đó cũng là thế giới của những người bảo vệ an ninh mạng.” Còn những tính từ đứng trước những thuật ngữ khí tượng đó—thường là nguồn gốc thực sự của sự hài hước không cố ý trong tên—được chọn bởi các nhà phân tích từ một danh sách từ dài. Đôi khi chúng có mối liên kết ngữ nghĩa hoặc âm vị với nhóm tin tặc, và đôi khi chúng là ngẫu nhiên. “Mỗi cái tên đều có một câu chuyện nguồn gốc,” Lambert nói, “hoặc nó có thể chỉ là một cái tên lấy ra từ chiếc mũ.”

Đằng sau sự bành trướng không ngừng của ngành công nghiệp an ninh mạng, có một logic nhất định và kiên cố về các tên nhóm tin tặc. Khi một công ty trí tuệ đe dọa phát hiện bằng chứng về một nhóm tin tặc mạng mới, họ không thể chắc chắn rằng họ đang nhìn thấy cùng một nhóm mà một công ty khác đã phát hiện và đặt tên, ngay cả khi họ thấy mã độc, nạn nhân, và cơ sở hạ tầng kiểm soát giữa hai nhóm có vẻ quen thuộc. Nếu đối thủ của bạn không chia sẻ mọi thứ họ thấy, tốt hơn hết là không đưa ra giả định và theo dõi những tin tặc mới dưới tên của riêng bạn. Vì vậy, Sandworm trở thành Telebots, và Voodoo Bear, và Hades, và Iron Viking, và Electrum, và—thở dài—Seashell Blizzard, khi mỗi nhóm nhận định của công ty nhìn thấy nhóm một cách khác nhau.

Nhưng, bất chấp sự bành trướng, liệu những cái tên này có phải quá ngớ ngẩn không? Đến một mức độ nào đó, có lẽ nên thông minh khi đặt tên cho nhóm tin tặc để làm mất đi sự quyến rũ đen tối của họ. Các thành viên của nhóm ransomware Nga, EvilCorp chẳng hạn, không có lẽ sẽ hạnh phúc khi Microsoft đổi tên họ thành Manatee Tempest. Ngược lại, liệu có phải là thích hợp khi đặt tên cho một nhóm tin tặc người Iran đang cố xâm nhập vào các yếu tố quan trọng của cơ sở hạ tầng dân sự Hoa Kỳ là Mint Sandstorm, như họ là một hương thơm không khí kỳ lạ? (Tên cũ của họ do Crowdstrike đặt, Charming Kitten, chắc chắn cũng không khá hơn.) Các nhóm tin tặc người Israel thuê tạm gọi là Candiru, đã bán dịch vụ của họ cho chính phủ nhắm vào nhà báo và nhà hoạt động nhân quyền, có thực sự cần được đổi tên thành Caramel Tsunami, một thương hiệu phù hợp với đồ uống của Dunkin’ và đã được sử dụng cho một loại cỏ?

Kevin Mandia, một trong những người săn tin tặc đầu tiên và người sáng lập và Giám đốc điều hành của công ty an ninh mạng Mandiant, đã nắm bắt vấn đề này trong một bài diễn thuyết tại Hội nghị Thông tin Đe dọa An ninh mạng năm 2018. “Tôi luôn tự hỏi, làm thế nào bạn có thể vào phòng họp và nói, ‘Thưa ông, tôi biết bạn bị tấn công. Bạn đang nổi tiếng. Và bạn đã bị hack bởi Fluffy Snuggle Duck,’” Mandia nói. “Nó thật sự không hoạt động.”

Mandia thừa nhận ngày nay rằng trong năm năm kể từ lời bình luận về Fluffy Snuggle Duck của ông, ông đã trở nên chịu đựng hơn với những cái tên nhóm tin tặc ngớ ngẩn. “Tôi không quan tâm họ tên gọi là gì, tôi chỉ muốn đảm bảo chúng ta có danh mục đúng. Chúng ta có dấu vết cho họ không, chúng ta có phòng thủ cho họ không?” ông nói.

Trong cuộc phỏng vấn của chúng tôi, tuy nhiên, ông dường như vẫn thật sự bối rối với hệ thống đặt tên của đối thủ Crowdstrike, đặt tên cho các tin tặc dựa trên động vật khác nhau dựa trên quốc tịch của họ. “Bear là Nga … hay là không?” Mandia tự đặt câu hỏi to lên. “Panda là Trung Quốc. Nhưng đó là một con gấu. Tôi đã bị nhầm lẫn rồi.”

Cả Mandia và Lee đều mơ về một ngày nào đó khi một cơ quan chính phủ—ví dụ, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ—đưa ra một quy ước đặt tên cho nhóm tin tặc có thể được áp dụng trên toàn ngành. Nhưng cả hai cũng nói rằng các công ty sẽ không bao giờ tuân theo nó. Ngoài quảng cáo, sự mơ hồ của chiến tranh trong nghiên cứu an ninh mạng có nghĩa là các nhà phân tích ở các công ty khác nhau sẽ không bao giờ chắc chắn rằng họ đang nhìn vào các thực thể giống nhau—trừ khi tất cả đều đồng ý chia sẻ mỗi mảnh thông tin tình báo được bảo mật của họ.

Cho đến khi đó, vâng, chỉ cần cảnh báo với Periwinkle Tempest. Năm ngoái, Periwinkle Tempest đã phát động các cuộc tấn công ransomware gây tổn thất khủng khiếp trên toàn quốc Costa Rica, khiến chính phủ quốc gia này tuyên bố tình trạng khẩn cấp quốc gia. Periwinkle Tempest là một số tin tặc nguy hiểm nhất thế giới. Periwinkle Tempest. Thực sự.