Ông Vitaly Kamluk,ộcchiếngaycấngiữacácchuyêngiaATTTvàbảng xh premier league Giám đốc phụ trách nhóm Điều tra và phân tích (GReAT) khu vực châu Á Thái Bình Dương của Kaspersky Lab, cho biết các chuyên gia bảo mật hàng ngày vẫn "săn đuổi" hacker, những nhóm chịu trách nhiệm cho các cuộc tấn công toàn cầu nhắm vào các tổ chức, cá nhân, cơ quan chính phủ... Việc này tương tự với cách các nhà sinh vật học tra tìm các động vật cổ như khủng long hay những nền văn minh xưa, bằng cách xâu chuỗi các bằng chứng mới tìm thấy. Các chuyên gia tại Kaspersky Lab cũng làm các công việc tương tự, họ thu thập các mẫu malware sau đó phân tích, so sánh chúng với nhau, rồi chia sẻ với đồng nghiệp nhằm tìm ra hướng giải quyết cho những cuộc tấn công.

Đối với môn cổ sinh vật học, các nhà sinh vật thu thập từng mảnh xương khủng long để xác định tuổi và thời kỳ mà nó xuất hiện thì việc điều tra hacker cũng tương tự, ông Vitaly cho hay. Các chuyên gia bảo mật cũng thu thập thông tin, xác định các mẫu virus xuất hiện hàng loạt sau những cuộc tấn công cũng như trong cuộc sống thường ngày, sau đó xác định các mẫu đáng tin, các mẫu liên quan và không liên quan để tổng hợp thông tin.

Từ thông tin rút ra, các nhà bảo mật sẽ phải xác định nguồn gốc của mã độc, các nhóm hay cá nhân đã phát triển ra mã độc đó. Không chỉ vậy, dựa trên bằng chứng hiện có, các nhà bảo mật phải dự báo những cuộc tấn công trong tương lai.

Lấy ví dụ về cuộc tấn công vào Ngân hàng trung ương Bangladesh đầu năm ngoái, vị chuyên gia từ Kaspersky cho biết, anh và các đồng nghiệp đã làm việc cật lực nhằm tìm ra cách tấn công và nhóm chịu trách nhiệm cho vụ này. Trong vụ việc, hơn 100 triệu USD đã được rút ra thành công, trong khi hacker tìm cách chuyển thêm 850 triệu USD nhưng đã bị chặn lại. Các chuyên gia bảo mật lấy các mẫu virus từ cuộc tấn công, sau đó rà soát các đoạn mã có trong mẫu vật rồi so sánh nó với kho dữ liệu mã độc hiện có.

Với cách làm làm này kết hợp với nhiều phương pháp khác, các chuyên gia tìm thấy sự tương đồng với các nhóm tấn công của Triều Tiên, sau đó có một số bằng chứng cho thấy có những đoạn mã tiếng Nga. Tuy nhiên, cho đến hiện nay tác giả của vụ tấn công vẫn chưa tìm ra.