"Google của Nga" - Yandex tiết lộ bị hacker thuộc nhóm Five Eyes tấn công thu thập tình báo

Yandex - công ty được mệnh danh là Google của Nga vào cuối năm 2018 để triển khai một loại malware lạ nhằm thu thập thông tin người dùng. Thông tin này được 4 người nắm rõ vụ việc tiết lộ với Reuters.

​

Theo nguồn tin thì malware có tên Regin và nó được sử dụng bởi Five Eyes - tên gọi của một liên minh chia sẻ thông tin tình báo bao gồm Mỹ, Anh, Úc, New Zealand và Canada. Các cuộc tấn công mạng của phương Tây nhằm vào Nga hiếm khi được thừa nhận hoặc công bố đại chúng. Không rõ quốc gia nào trong số 5 nước thuộc Five Eyes đứng sau vụ tấn công Yandex, chỉ biết cuộc tấn công được thực hiện tầm giữa tháng 10 và tháng 11 năm ngoái.

Người phát ngôn của Yandex - Ilya Grabovsky xác nhận về cuộc tấn công với Reuters nhưng từ chối tiết lộ chi tiết. Ông nói: "Cuộc tấn công đặc biệt này được nhóm bảo mật của Yandex phát hiện rất sớm. Nó đã được vô hiệu hóa hoàn toàn trước khi gây ra bất cứ thiệt hại nào. Phản ứng của đội ngũ bảo mật Yandex đã đảm bảo dữ liệu người dùng không bị xâm phạm bởi cuộc tấn công."

​

Yandex được mệnh danh là Google của Nga bởi công ty cung cấp hàng loạt các dịch vụ tương tự Google từ trình tìm kiếm cho đến email, đặt taxi, bản đồ, ví điện tử … với hơn 108 triệu người dùng chủ động hàng tháng tại Nga và một số thị trường như Belarus, Kazakhstan và Thổ Nhĩ Kỳ.

Các nguồn tin tiết lộ về cuộc tấn công cho Reuters nói rằng các hacker có vẻ như muốn tìm thông tin kỹ thuật nhằm giải mã cơ chế xác thực tài khoản người dùng của Yandex. Những thông tin như vậy có thể giúp các tổ chức gián điệp giả mạo một người dùng Yandex và truy xuất các tin nhắn riêng tư của họ.

Hành động tấn công đơn vị nghiên cứu và phát triển của Yandex hoàn toàn có chủ đích thay vì phá hoại hay đánh cắp tài sản trí tuệ. Các hacker đã duy trì quyền truy cập vào Yandex trong ít nhất là nhiều tuần mà không bị phát hiện, nguồn tin cho hay.

Malware Regin được xác định là một công cụ của Five Eyes vào năm 2014 sau những tiết lộ của Edward Snowden - một cựu nhà thầu từng làm việc với Cơ quan an ninh quốc gia Hoa Kỳ (NSA). Trong khi đó theo nhiều báo cáo của The Intercept hợp tác cùng một tờ báo của Hà Lan và Bỉ thì công ty truyền thông Belgacom của Bỉ cũng từng bị tấn công bởi Regin vào năm 2013 và cáo buộc cuộc tấn công được thực hiện bởi Cơ quan gián điệp thuộc chính phủ Anh (GCHQ) và NSA. Tuy nhiên tại thời điểm đó GCHQ từ chối bình luận trong khi NSA phủ nhận có liên quan.

​

Các chuyên gia bảo mật cho rằng không dễ để quy kết các cuộc tấn công mạng cho một đơn vị nào đó bởi hacker luôn có nhiều biện pháp che giấu. Tuy nhiên, một vài đoạn mã nguồn của Regin được tìm thấy trên các hệ thống của Yandex cho thấy chúng chưa từng được triển khai trong bất kỳ cuộc tấn công nào trước đó. Như vậy, các hacker khả năng đã sử dụng một biến thể mới của Regin để tấn công thay vì các biến thể đã được biết. Yandex từng liên hệ với Kaspersky sau khi bị tấn công và hãng bảo mật hàng đầu của Nga cũng kết luận thủ phạm là Regin.

Người phát ngôn tại Kremlin - Dmitry Peskov nói rằng chính phủ Nga không biết về cuộc tấn công nhằm vào Yandex. Ông cho biết: "Yandex và nhiều công ty Nga khác bị tấn công mỗi ngày. Rất nhiều cuộc tấn công đến từ các nước phương Tây." Dù vậy, Yandex hiện đang chịu sự kiểm soát chặt chẽ hơn từ Moscow sau khi Nga thông qua đạo luật Internet mới.

​

Synmantec - công ty bảo mật của Mỹ cũng vừa phát hiện ra một phiên bản mới của Regin. Công ty từ chối trao đổi về mẫu biến thể vừa tìm được vì lý do bảo mật thông tin khách hàng. Vikram Thakur - giám đốc kỹ thuật tại đơn vị phản ứng bảo mật thuộc Symantec cho biết: "Regin được xem là công cụ tấn công tối cao sử dụng cho mục đích gián điệp. Bản thân nó rất phức tạp, kiến trúc tinh vi và ẩn chứa năng lực lớn. Chúng tôi đã tìm ra nhiều thành phần của Regin trong vài tháng qua. Dựa trên cơ sở nạn nhân cùng với sự đầu tư cần có để chế tạo, duy trì và vận hành Region thì chúng tôi tin rằng một vài quốc gia đứng đằng sau sự tồn tại của Regin. Loại malware này đã trở lại trong năm nay."

Theo: Reuters​