Shadow Brokers, nhóm hacker từng làm rò rỉ loạt công cụ tấn công mạng được cho là của Cơ quan An ninh quốc gia Mỹ, đến nay vẫn được xem là một trong những bí ẩn lớn nhất của ngành an ninh mạng.
Trong lịch sử các vụ tấn công mạng, nhiều vụ rò rỉ dữ liệu dù xảy ra từ nhiều năm trước nhưng vẫn chưa xác định được thủ phạm. Tuy nhiên, các nhóm hacker hoạt động thường xuyên thường vẫn bị phát hiện, như nhóm tống tiền mạng LAPSUS$ từng tấn công Microsoft và Nvidia, hoặc các nhóm bị cáo buộc có liên hệ với Nga và Trung Quốc.
Trường hợp của Shadow Brokers được đánh giá đặc biệt hơn. Nhóm này xuất hiện trên mạng vào mùa hè năm 2016, trong bối cảnh Mỹ đối mặt với nhiều vụ tấn công mạng liên quan đến cuộc bầu cử Tổng thống. Shadow Brokers khi đó đăng tải liên kết tới tài liệu mang tên “Equation Group Cyber Weapons Auction - Invitation”, trong đó đề cập tới Equation Group - nhóm tấn công mạng bí mật được nhiều chuyên gia cho là có liên quan tới NSA.
Nhóm hacker này tuyên bố đã xâm nhập Equation Group và rao bán các “vũ khí mạng”. Đây là cách gọi những phần mềm hoặc mã khai thác có khả năng xâm nhập hệ thống máy tính. Shadow Brokers yêu cầu mức giá tối thiểu 1 triệu Bitcoin, tuy nhiên sau đó nhiều công cụ đã bị công khai.
Khi tiến hành phân tích, các chuyên gia nhận định đây là những công cụ có mức độ tinh vi rất cao và nhiều khả năng đã bị đánh cắp từ NSA. Một số tên gọi trong kho công cụ cũng trùng khớp với các chương trình từng được người tiết lộ Edward Snowden công bố trước đó.
Cho đến nay, chưa có cá nhân nào bị bắt hoặc truy tố trực tiếp liên quan tới vụ rò rỉ này. Một nghi phạm từng được nhắc tới là Harold T. Martin III, nhà thầu của NSA bị bắt vì đánh cắp thông tin mật. Tuy nhiên, giả thuyết này chưa thực sự thuyết phục do Shadow Brokers vẫn tiếp tục hoạt động trực tuyến trong thời gian ông Martin bị giam giữ. Một giả thuyết khác được nhắc đến nhiều hơn cho rằng Shadow Brokers có thể là sản phẩm của một nhóm gián điệp mạng Nga nhằm phục vụ mục đích tuyên truyền.
Tác động từ vụ rò rỉ được đánh giá là rất nghiêm trọng. Trong số các công cụ bị công bố có EternalBlue - bộ công cụ khai thác lỗ hổng trên hệ điều hành Windows. Đây là dạng lỗ hổng zero-day, tức lỗi bảo mật chưa được nhà phát triển phát hiện nên chưa có bản vá.
Sau đó, EternalBlue bị tin tặc Triều Tiên sử dụng để phát tán mã độc tống tiền WannaCry, trong khi tin tặc Nga tích hợp công cụ này vào mã độc NotPetya, gây thiệt hại toàn cầu ước tính khoảng 10 tỷ USD.
Vụ việc liên quan đến Shadow Brokers cho thấy những lỗ hổng bảo mật do các cơ quan tình báo nắm giữ không phải lúc nào cũng có thể được giữ kín tuyệt đối. Khi các công cụ này bị rò rỉ, hậu quả có thể lan rộng và ảnh hưởng trực tiếp tới doanh nghiệp cũng như người dùng trên toàn thế giới.
Bình luận
0