✨Moonlight Maze

Moonlight Maze là một cuộc điều tra của chính phủ Hoa Kỳ năm 1999 về một vụ rò rỉ thông tin mật lớn nhất của nước này. Vụ rò rỉ này bắt đầu vào năm 1996. Nó làm ảnh hưởng trực tiếp đến NASA, Lầu Năm Góc, nhà thầu quân sự, học giả dân sự, DOE, và nhiều cơ quan chính phủ khác của Hoa Kỳ. Do đó đến cuối năm 1999, lực lượng đặc nhiệm Moonlight Maze được thành lập bao gồm 40 chuyên gia đến từ các cơ quan thực thi pháp luật, quân đội và chính phủ. Các nhà điều tra cho biết nếu tất cả thông tin bị đánh cắp được in ra và xếp chồng lên nhau, thì nó sẽ cao gấp ba lần Đài tưởng niệm Washington, cao . Chính phủ Nga bị Hoa Kỳ cáo buộc đứng sau các cuộc tấn công, mặc dù ban đầu có rất ít bằng chứng xác thực để chứng minh cho các cáo buộc đó ngoài một địa chỉ IP của Nga được truy ra từ vụ hack. Moonlight Maze đại diện cho một trong những chiến dịch gián điệp mạng nổi tiếng đầu tiên trong lịch sử thế giới. Nó thậm chí còn được phân loại là Advanced persistent threat (một chỉ định cực kì nghiêm trọng đối với các tác nhân lén lút đe dọa mạng máy tính, thường là một quốc gia hoặc nhóm được nhà nước tài trợ) sau hai năm bị tấn công liên tục. Mặc dù được coi là một cuộc tấn công riêng lẻ trong nhiều năm nhưng các cuộc điều tra không liên quan đã tiết lộ rằng tác nhân đe dọa tham gia vào cuộc tấn công vẫn tiếp tục hoạt động và sử dụng các phương pháp tương tự cho đến tận năm 2016.

Các phương thức tấn công

Vụ tấn công bắt đầu từ việc tin tặc xây dựng "cửa sau" để qua đó họ có thể tùy ý vào lại hệ thống đã xâm nhập và lấy cắp thêm dữ liệu; họ cũng để lại các công cụ định tuyến lưu lượng truy cập mạng cụ thể thông qua Nga. Mọi thứ họ khai thác được trong các cuộc tấn công đều là các tài nguyên có sẵn công khai, không phải do họ tự tạo ra. Trong hầu hết các trường hợp, việc khai thác được quản trị viên hệ thống phát hiện với mục đích thông báo cho chủ sở hữu về các lỗ hổng có trong hệ thống của họ, nhưng thay vào đó những lỗ hổng ấy lại bị sử dụng cho mục đích xấu. Thông tin thu hồi được trong vụ hack có thể bao gồm các mã hải quân mật và dữ liệu về hệ thống dẫn đường tên lửa, cũng như các dữ liệu quân sự có giá trị cao khác. Tin tặc cũng đã đánh cắp hàng chục nghìn tệp chứa nghiên cứu kỹ thuật, bản đồ quân sự, sơ đồ tổ chức bộ máy quân đội Hoa Kỳ, thiết kế phần cứng quân sự, kỹ thuật mã hóa và nhiều dữ liệu quan trọng khác nhưng chưa được phân loại liên quan đến kế hoạch chiến tranh của Lầu Năm Góc, tất cả đều có thể bị bán cho kẻ thù của Hoa Kỳ. Những cuộc tấn công này tác động rất nghiêm trọng đến khả năng phòng vệ của Hoa Kỳ. Với thông tin thu được từ cuộc tấn công, tin tặc có thể đã làm tê liệt hệ thống tên lửa phòng thủ của Mỹ và gây ra thiệt hại không thể tưởng tượng được. Juan Andres Guerrero-Saade, Nhà nghiên cứu bảo mật cấp cao tại Kaspersky Lab, đã tuyên bố "Việc phân tích các mẫu của Moonlight Maze không chỉ là một nghiên cứu hấp dẫn; nó còn là lời nhắc nhở đến những đối thủ đáng gờm rằng những điều họ cố gắng làm sẽ không có kết quả, mà tùy thuộc vào việc chúng tôi bảo vệ hệ thống với các kỹ năng phù hợp." Điều này cho thấy nhóm nổi lên vào khoảng năm 2006–2007, một vài năm trước Agent.BTZ và gần 10 năm sau các sự kiện của Moonlight Maze. Tuy nhiên, nhiều năm sau thông tin đó mới xuất hiện tạo mối liên kết giữa Turla với Moonlight Maze. Một nhóm bao gồm Kaspersky's Guerrero-Saade, Costin Raiu, King's College London's Thomas Rid và Danny Moore đã lần theo dấu vết của một quản trị viên CNTT đã nghỉ hưu, người này là chủ sở hữu của một máy chủ năm 1998 đã được sử dụng làm proxy cho Moonlight Maze. Đây là một bước đột phá lớn sau khoảng thời gian dài được cho là không hoạt động (gần 20 năm) của Turla. Sau đó, họ sử dụng máy chủ để theo dõi tác nhân đe dọa và từ đó họ có thể truy xuất nhật ký đầy đủ về mã của kẻ tấn công. Gần một năm sau khi phân tích kỹ lưỡng, họ có thể tìm thấy mối liên hệ giữa Các mẫu Linux ở Turla và Moonlight Maze đã sử dụng (mã mà họ chia sẻ có liên quan đến một cửa hậu được sử dụng trên LOKI 2, một chương trình tạo đường hầm thông tin được phát hành vào năm 1996).