Hacker Triều Tiên bị nghi đứng sau vụ mã độc tống tiền

Thông báo yêu cầu đòi tiền chuộc của mã độc Wannacry do hãng bảo mật Symantec cung cấp - Ảnh: Symantec/Reuters

Theo hãng tin AFP, một trong những chứng cứ đầu tiên do chuyên gia bảo mật Neel Mehta của tập đoàn Google đưa ra.

Ông Neel Mehta cung cấp đoạn mã máy tính cho thấy những điểm tương đồng giữa mã độc có tên WannaCry và một mã độc khác từng gây ra vụ tấn công mạng quy mô lớn đã bị quy kết cho hacker của Bình Nhưỡng trước đó.

Các nhà nghiên cứu thuộc hãng bảo mật Kaspersky có trụ sở tại Nga cho rằng đây là một manh mối quan trọng.

Giới nghiên cứu của Kaspersky nhận định: “Lúc này cần có thêm các nghiên cứu về những phiên bản cũ hơn của mã độc Wannacry. Chúng tôi tin rằng điều này có thể chứa thông tin chủ chốt để giải quyết một số vấn đề bí ẩn liên quan tới vụ tấn công.

Có một điều chắc chắn là phát hiện của ông Neel Mehta là manh mối quan trọng nhất cho tới nay liên quan tới nguồn gốc phát sinh của mã độc Wannacry”.

Theo Kaspersky, những điểm tương đồng trong đoạn mã đã khiến mọi sự nghi ngờ lúc này hướng vào một tổ chức hacker có tên Lazarus, nhóm tin tặc được nhiều hãng bảo mật tin là của hacker Triều Tiên.

Đây là nhóm hacker được cho là đứng sau vụ tấn công mạng năm 2014 nhằm vào hãng phim Sony Pictures.

Lazarus cũng là nhóm bị nghi ngờ đã tham gia các vụ tấn công mạng nhằm vào ngân hàng trung ương Bangladesh và nhiều tổ chức khác trong hệ thống tài chính toàn cầu.

Theo Kaspersky quy mô hoạt động của Lazarus rất khủng khiếp. Các nhà nghiên cứu bảo mật cho biết: “Tổ chức này đã hoạt động rất mạnh mẽ từ năm 2001…. Larazus hiện đang điều hành một xưởng sản xuất mã độc chuyên tạo ra những loại mã độc mới thông qua nhiều phương tiện phát tán độc lập”.

Cùng với Kaspersky, theo hãng tin Reuters, ngày 15-5 hãng bảo mật mạng Symantec cũng cho biết đang xem xét những manh mối cho thấy mã độc Wanncry có liên quan tới các mã độc tấn công trước đây của hacker Triều Tiên.

Hãng Symantec cũng phát hiện những liên quan tương tự về đoạn mã, tuy nhiên công ty này thận trọng cho rằng, rất khó để đi đến một kết luận nếu chỉ căn cứ vào một đoạn mã chung này.

Trang The Verge dẫn thông cáo của Symatec cho biết: “Mặc dù những liên quan là có, nhưng cho tới nay chúng mới cho thấy những liên quan yếu. Chúng tôi đang tiếp tục điều tra để tìm kiếm những liên quan chặt chẽ hơn”.

Hãng bảo mật Intezer Labs có trụ sở tại Israel nêu quan điểm tán thành với giả thuyết Triều Tiên đứng sau vụ tấn công mã độc tống tiền.

Giám đốc điều hành của Intezer Labs, ông  Itai Tevet viết trên Twitter: “@IntezerLabs xác nhận sự quy tội cho hacker Triều Tiên về vụ #WannaCry, không chỉ vì hoạt động của nhóm Lazarus. Sẽ có thêm những thông tin khác”.