Vault 8: WikiLeaks tiết lộ mã nguồn hệ thống kiểm soát malware của CIA

Lần đầu tiên, WikiLeaks phát hành mã nguồn cho các công cụ tấn công mạng của CIA.

Bộ mã nguồn được công bố hôm nay là tootkit có tên Hive, một hệ thống cho phép CIA kiểm soát malware triển khai trên máy bị nhiễm độc. Từ tháng 3 tới tháng 8 năm nay, WikiLeaks mới chỉ phát hành các tài liệu hỗ trợ cho hoạt động của CIA, được cho là hacker lấy cắp và giao cho họ.

WikiLeaks tuyên bố Vault 8

Ban đầu đây được cho là nằm trong chuỗi Vault 7 nhưng giờ WikiLeaks lại nói rằng Hive là phát súng mở màn cho một chuỗi những lần phát hành tương tự gọi là Vault 8, gồm mã nguồn cho những công cụ đã được nhắc tới trong Vault 7.

Tuyên bố của WikiLeaks khiến các chuyên gia bảo mật thông tin an ninh mạng phải lo lắng khi nó gợi nhớ tới hồi tháng 4, khi nhóm The Shadow Brokers phát hành các công cụ tấn công mạng được cho là của CIA. Những công cụ này sau đó được dùng cho nhiều họ malware, nổi bật là 3 vụ tấn công WannaCry, NotPetya và Bad Rabbit. Nhóm này còn phát hành 1 công cụ khá giống framework để cấy ghép và khai thác Hive là FuzzBunch.

Hive không gây nguy hiểm cho người dùng cuối cùng

Các công cụ này không nguy hiểm với người dùng cuối vì chúng không được dùng để hack máy mà chỉ là máy chủ C&C, thiết lập một cấu trúc xương sống để nhận và kiểm soát các lệnh thực thi nhiệm vụ trên máy nạn nhân.

Cấu trúc của Hive giúp ngăn tình trạng giao tiếp với website giả qua nhiều khâu. Thay vào đó, malware giao tiếp trực tiếp với website giả chạy VPS (Virtual Private Server) trông rất bình thường khi mở trực tiếp trên trình duyệt web.

Sơ đồ vận hành của Hive

Nhưng ở chế độ nền, sau khi được xác thực, malware giáo tiếp với máy chu web (host website giả) rồi chuyển tiếp traffic liên quan tới malware tới máy chủ CIA ẩn gọi là Blot qua VPN. Blot sẽ chuyển tới cổng quản lý vận hành gọi là Honeycomb.

Hive được phát hành rộng rãi, ai cũng có thể tải được. Nếu WikiLeaks phát hành mã nguồn của 23 công cụ hacking trong Vault 7 thì không biết sẽ có chuyện gì xảy ra.