Triều Tiên bị tố đứng sau loạt tấn công bảo mật mới

• Triều Tiên phủ nhận tấn công Sony Pictures
• Lại rộ tin Triều Tiên đứng sau vụ tấn công Sony Pictures
• Thiết bị y tế trước rủi ro bị tấn công bảo mật
• Trung Quốc siết chặt kiểm duyệt Internet trước lễ duyệt binh
• 12 back door nguy hiểm nhất mọi thời đại

Theo các tường thuật, Hangul Word Processor (HWP) là ứng dụng "độc quyền" được sử dụng như là trình xử lý văn bản chính thức tại hệ thống chính phủ, cơ quan nhà nước tại Hàn Quốc. 

Hãng nghiên cứu bảo mật FireEye cho biết lỗ hổng trên Hangul Word Processor được đặt tên là CVE-2015-6585 và cũng đã được chính hãng phát triển ứng dụng này là Hancom triển khai bản vá cách đây 3 ngày. 

Trang tin tức công nghệ PC World Mỹ nhận định, kết luận mới nhất này của FireEye thực sự là thông tin thú vị bởi đây không phải là lần đầu tiên mà Bình Nhưỡng bị cáo buộc đứng sau các hành động tấn công mạng trên diện rộng nhằm đánh cắp bí mật quốc gia, và các vụ tấn công đã phần nào cho thấy một năng lực chiến tranh trên không gian mạng mạnh mẽ của quốc gia châu Á này.

Ảnh minh họa.

Trong một động thái hiếm hoi, FBI cách đây vài tháng từng chính thức đổ lỗi cho phía Triều Tiên đối với vụ tấn công bảo mật nhằm vào hãng phim Sony Pictures hồi tháng 11/2014 vốn làm rò rỉ nhiều thông tin nhạy cảm, từ  email cá nhân , thông tin tài chính cho đến hàng tá chuyện nội bộ của hãng phim hàng đầu Hollywood.

Quay trở lại với vụ việc mới nhất, mặc dù không đưa ra bất kỳ kết luận đích danh nào, song các chuyên gia tại hãng bảo mật Mỹ cho rằng một khi ứng dụng nói trên kết hợp được với các mục tiêu khác tại Hàn Quốc sẽ dẫn đến tình trạng chúng có thể hiệp đồng với nhau để triển khai các hành động nhiều khả năng dính dáng đến các mối đe dọa an ninh mạng có nguồn gốc từ Triều Tiên.

Cụ thể, nếu một tập tin HWP độc hại nào đó được mở ra thì tập tin ấy sẽ cài đặt một cửa hậu ( backdoor ) mà FireEye đặt tên là "Hangman".

Các chuyên gia FireEye cho biết, Hamgman được hacker khai thác nhằm tải về trái phép các tập tin cũng như theo dõi, thăm dò các hệ thống tập tin.

Sau khi đã thu thập dữ liệu trên máy tính của người dùng, mã độc Hangman sẽ gửi tất cả về các máy chủ điều khiển từ xa thông qua một kết nối an toàn SSL (Secure Sockets Layer).

Địa chỉ IP của các máy chủ nói trên đã được "code cứng" vào Hangman và theo đánh giá thì chúng có liên kết đến các cuộc tấn công mạng được cho rằng do Triều Tiên thực hiện.

Ngoài ra, Hangman cũng được đánh giá là giống một mã độc dạng mở cửa hậu khác mà FireEye gọi tên là Peachpit, và nhiều khả năng cũng do Triều Tiên phát triển, trang PC World Mỹ dẫn báo cáo của hãng bảo mật Mỹ cho biết.