Nỗ lực quốc tế truy tìm “dấu vết” mã độc
Cơ quan Cảnh sát châu Âu (Europol), trong một thông cáo báo chí vào cuối tháng 5, cho biết chiến dịch Endgame - chiến dịch quốc tế lớn nhất từ trước đến nay nhắm vào hệ sinh thái phần mềm độc hại - đã đem lại kết quả tích cực. Cơ quan thực thi pháp luật của Liên minh châu Âu (EU) cho biết: “Chiến dịch quy mô này tập trung vào việc ngăn chặn các dịch vụ tội phạm thông qua bắt giữ những đối tượng cộm cán, truy quét các mục tiêu có giá trị cao, phá hủy cơ sở hạ tầng tội phạm và đóng băng các khoản thu nhập bất hợp pháp”.
Lực lượng chức năng đã “đánh sập” các chương trình thả phần mềm độc hại (tiếng Anh: dropper) nổi tiếng như IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee, Trickbot. Các phần mềm “dropper” này là công cụ quan trọng để các đối tượng tội phạm thực hiện các cuộc tấn công mạng, phát tán mã độc tống tiền, đánh cắp thông tin. Đặc biệt, trong giai đoạn đầu tiên của cuộc tấn công mạng, các phần mềm trên cho phép đối tượng tội phạm vượt qua các biện pháp bảo mật và cài đặt vào hệ thống mục tiêu các chương trình có hại như virus, phần mềm tống tiền hoặc phần mềm gián điệp.
Cụ thể, SystemBC tạo điều kiện thuận lợi cho việc liên lạc ẩn danh giữa hệ thống bị nhiễm và máy chủ ra lệnh, kiểm soát. Bumblebee, thường ẩn trong các trang web hoặc chiến dịch lừa đảo, cho phép cài đặt và chạy các phần mềm độc hại khác trên hệ thống bị xâm nhập.
SmokeLoader chủ yếu được sử dụng làm trình tải xuống để cài đặt thêm phần mềm độc hại vào hệ thống bị nó lây nhiễm. IcedID (còn được gọi là BokBot) chủ yếu hướng tới lĩnh vực ngân hàng, hỗ trợ tội phạm mạng đánh cắp dữ liệu tài chính. Pikabot là một loại phần mềm độc hại để xâm nhập vào các máy tính và phân phối các loại mã độc, chiếm quyền điều khiển máy tính từ xa và đánh cắp dữ liệu.
Những phần mềm “dropper” kể trên có thể không gây hại trực tiếp nhưng lại đóng vai trò quan trọng trong việc truy cập và thả các phần mềm có hại khác trên hệ thống bị ảnh hưởng, tạo điều kiện cho các hoạt động tấn công tiếp theo. Ngày nay, các “dropper” có thể ẩn nấp ở khắp mọi nơi, thậm chí một việc đơn giản như mở nhầm ảnh trên Internet cũng có thể khiến thiết bị thông minh gặp rủi ro. Giai đoạn đầu tiên là xâm nhập, “dropper” có thể xâm nhập vào hệ thống thông minh thông qua nhiều kênh khác nhau, chẳng hạn như tệp đính kèm email, các trang web bị lây nhiễm. Thậm chí, các phần mềm hợp pháp cũng có nguy cơ bị chúng “bám theo”.
Ở giai đoạn tiếp theo, những phần mềm độc hại này sẽ cài đặt các mã độc, phần mềm có hại bổ sung vào máy tính của nạn nhân. Việc cài đặt này thường xảy ra khi người dùng không hề biết hoặc không đồng ý. Tiếp đó, “dropper” cũng được thiết kế để tránh bị các hệ thống bảo mật phát hiện. Chúng có thể tự làm xáo trộn mã của mình hoặc mạo danh các phần mềm hợp pháp. Sau khi triển khai cài đặt xong phần mềm độc hại bổ sung, các “dropper” có thể không hoạt động hoặc tự loại bỏ để tránh bị phát hiện, để lại các phần mềm có hại thực sự thực hiện các hoạt động độc hại đã định trên hệ thống mục tiêu.
 |
Chiến dịch Endgame là viên gạch mở đầu cho nhiều chiến dịch khác sau này. (Ảnh: Europol) |
Trong khuôn khổ chiến dịch Endgame, lực lượng chức năng đã bắt giữ 4 đối tượng (1 ở Armenia và 3 ở Ukraine), thực hiện 16 cuộc khám xét ở 4 quốc gia (1 ở Armenia, 1 ở Hà Lan, 3 ở Bồ Đào Nha và 11 ở Ukraine). Hơn 100 máy chủ bị đánh sập hoặc gián đoạn, chủ yếu ở các nước châu Âu, Mỹ và Canada. Ngoài 4 đối tượng bị bắt giữ nói trên, Europol đưa 8 nghi phạm liên quan đến các hoạt động tội phạm mạng nghiêm trọng vào danh sách truy nã gắt gao nhất châu Âu. Hơn 2000 tên miền bất hợp pháp đã nằm dưới sự kiểm soát của cơ quan thực thi pháp luật. Mặt khác, các cuộc điều tra cũng đã phát hiện một trong những nghi phạm chính đã kiếm được ít nhất 69 triệu euro (74,5 triệu USD) tiền điện tử bằng cách cho thuê các trang web, cơ sở hạ tầng để phát tán mã độc tống tiền. Các giao dịch của nghi phạm liên tục được cơ quan chức năng theo dõi và tài sản bất hợp pháp này cũng đã được thu giữ theo quy định pháp luật.
Endgame là sự khởi đầu
Những kết quả đạt được của chiến dịch Endgame không phải của riêng quốc gia nào mà là thành tựu của sự hợp tác quốc tế toàn diện, hiệu quả. Chiến dịch do lực lượng cảnh sát tại Pháp, Đức và Hà Lan khởi xướng và lãnh đạo, được Cơ quan Hợp tác tư pháp châu Âu (Eurojust) hỗ trợ và có sự tham gia của Đan Mạch, Vương quốc Anh và Hoa Kỳ. Ngoài ra, Armenia, Bulgaria, Lithuania, Bồ Đào Nha, Romania, Thụy Sĩ và Ukraine cũng hỗ trợ chiến dịch này bằng các hành động khác nhau, chẳng hạn như bắt giữ, thẩm vấn nghi phạm, khám xét và thu giữ hoặc gỡ bỏ máy chủ và miền. Ngoài ra, các tập đoàn, công ty tư nhân ở cấp quốc gia và quốc tế cũng hỗ trợ chiến dịch này như Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Compest, Northwave, Fox-IT, Spamhaus, DIVD, Zscaler…
Bộ chỉ huy Europol là cơ quan điều phối các hoạt động tác chiến, phối hợp với tất cả các quốc gia, tổ chức tư nhân cùng tham gia chiến dịch. Europol đã tạo điều kiện thuận lợi cho việc trao đổi thông tin tình báo trên các máy chủ, hỗ trợ phân tích các hoạt động tội phạm, truy tìm giao dịch tiền điện tử bất hợp pháp cũng như “giải phẫu” chứng cứ cho các cuộc điều tra, chuyển dữ liệu bị thu giữ. Hàng chục sĩ quan cảnh sát được tuyển chọn đến từ Đan Mạch, Pháp, Đức và Hoa Kỳ đã hỗ trợ trực tiếp các hoạt động tác chiến tại Sở chỉ huy Europol, phối hợp với hàng trăm sĩ quan khác hoạt động ở quốc gia sở tại. Các sở chỉ huy địa phương cũng được thành lập ở Đức, Hà Lan, Bồ Đào Nha, Hoa Kỳ và Ukraine. Một sở chỉ huy ảo cũng được thiết lập, cho phép phối hợp theo thời gian thực giữa các sĩ quan Armenia, Pháp, Bồ Đào Nha và Ukraine được triển khai tại chỗ trong các hoạt động thực địa.
Eurojust thành lập một trung tâm điều phối tại trụ sở chính để tạo điều kiện thuận lợi cho sự hợp tác tư pháp giữa tất cả các cơ quan tư pháp ở các quốc gia trong chiến dịch. Eurojust cũng hỗ trợ thực hiện Lệnh bắt giữ châu Âu và Lệnh Điều tra châu Âu.
 |
Lực lượng cảnh sát EU kết hợp với các lực lượng an ninh mạng ngoài liên minh trong chiến dịch Endgame. (Ảnh: Europol) |
Chiến dịch Endgame là viên gạch khởi đầu cho nhiều chiến dịch tiếp theo về nhận diện, ngăn chặn và phòng chống tội phạm mạng, theo thông tin chính thức trên trang web của chiến dịch. Lực lượng chức năng vẫn tiếp tục theo dõi, điều tra các nghi phạm liên quan, dự kiến sẽ có thêm nhiều người bị bắt giữ. Đồng thời, các cơ quan chức năng sẽ tiếp tục nhận diện và bắt giữ những tội phạm vẫn còn “lẩn trốn khỏi vòng pháp luật” bằng các biện pháp nghiệp vụ trên môi trường công nghệ cao. Sĩ quan Stan Duijf, thuộc Cảnh sát Quốc gia Hà Lan, khẳng định: “Chiến dịch Endgame cho thấy bạn luôn để lại dấu vết, không ai là không thể tìm thấy, ngay cả khi trực tuyến”.
Chiến dịch này cũng đóng vai trò như “cánh tay nối dài” của lực lượng cảnh sát quốc gia và quốc tế trong cuộc đấu tranh chống lại tội phạm mạng, tội phạm công nghệ cao, bảo vệ sự bình yên trên không gian mạng. Phó chủ tịch Văn phòng cảnh sát hình sự Liên bang Đức Martina Link cho biết trong một tuyên bố: “Với chiến dịch tác chiến an ninh mạng quốc tế lớn nhất cho đến nay, các cơ quan thực thi pháp luật đã giáng một đòn đáng kể vào các nhóm tội phạm mạng”. Bộ trưởng Nội vụ Đức Nancy Faeser cũng biểu dương nỗ lực của các cơ quan cảnh sát khi “giáng một đòn mạnh vào tội phạm trực tuyến”. Theo Faeser, các hệ sinh thái phần mềm độc hại đã phá huỷ nhiều cơ sở hạ tầng mạng thông qua các cuộc tấn công bằng mã độc và “đang gây thiệt hại kinh tế lớn cho các doanh nghiệp Đức”.
