Phát hiện phần mềm gián điệp cực kỳ tinh vi và giỏi ẩn mình
Regin là một đoạn của loại phần mềm gián điệp chuyên dụng cho việc “theo dõi hàng loạt”. Dù chưa chỉ đích xác nguồn gốc, nhưng Symantec đã đưa ra một danh sách các Chính phủ trong vòng nghi vấn. Trong đó chỉ có Mỹ, Israel và Trung Quốc.
Nhóm nghiên cứu bảo mật máy tính của Symantec mới đây cho biết họ đã tìm thấy phần nhỏ của một phần mềm gián điệp có cấu trúc rất tinh vi, được cấy vào để theo dõi các công ty viễn thông và công ty cung cấp dịch vụ Internet.
Điểm đặc biệt là phần mềm gián điệp này có thể được tạo ra bởi Chính phủ Quốc gia. Dù chưa chỉ đích xác nguồn gốc, nhưng Symantec đã đưa ra một danh sách các Chính phủ trong vòng nghi vấn. Trong đó chỉ có Mỹ, Israel và Trung Quốc.
Nhóm công bố nghiên cứu này chính là nhóm đã từng tìm ra Stuxnet – “vũ khí kỹ thuật số” đầu tiên trên thế giới cách đây 4 năm. Nhiều người tin rằng Stuxnet được tạo ra bởi chính phủ Mỹ và Israel để phá hoại các chương trình nghiên cứu hạt nhân của Iran.
Loại Trojan mới này được đặt tên là Regin. Regin được mô tả là “một đoạn của phần mềm gián điệp có kết cấu tinh vi, được xây dựng dựa trên một năng lực công nghệ hiếm thấy”. Symantec cho biết, Regin có rất nhiều tính năng chuyên phục vụ cho mục đích “theo dõi hàng loạt”.
Theo các nhà nghiên cứu, phần mềm độc hại này đã được sử dụng cho các hoạt động gián điệp liên tục kể từ năm 2008, sau đó đột ngột dừng lại vào năm 2011, rồi lại quay trở lại vào năm 2013.
Chiến dịch theo dõi này nhắm tới các tổ chức chính phủ, doanh nghiệp, nhóm nghiên cứu và cả các cá nhân. Khoảng 100 vụ lây nhiễm Regin đã được phát hiện, trong đó tới 52% là ở Nga và Ả rập Saudi. Phần còn lại được tìm thấy ở Mexico, Ireland, Ấn Độ, Afghanistan, Iran, Bỉ, Áo và Pakistan. Đáng chú ý, không tìm thấy máy tính nào bị lây nhiễm ở Mỹ hay Trung Quốc.
Symantec phát hiện ra Regin khi khách hàng của họ tình cờ tìm thấy một phần của nó và gửi đoạn mã tới cho các nhà phân tích. “Chúng tôi nhận thấy còn nhiều điều bí ẩn đằng sau những gì mình nhận được và quyết định tiến hành điều tra sâu hơn”, Liam O’Murchu, một thành viên của nhóm nghiên cứu cho biết. Hiện tại, phần mềm của Symantec đã có thể tìm ra loại Trojan này.
Mức độ tinh vi trong thiết kế Regin và quy mô đầu tư để tạo ra nó khiến các nhà nghiên cứu tin rằng Regin phải do một Chính phủ tạo ra. Không nhiều quốc gia có đủ năng lực để làm điều này. Tuy nhiên, Symantec không đưa ra một cái tên cụ thể.
“Những manh mối tốt nhất mà chúng ta có đó là nơi nào có máy tính bị lây nhiễm và nơi nào không. Quốc gia tạo ra phần mềm này chắc chắn phải là nơi có trình độ công nghệ rất phát triển… Đây là một chiến dịch do thám quy mô rất lớn, đã diễn ra từ năm 2008 hay thậm chí là từ năm 2006.
Nhìn vào danh sách các quốc gia mà Symantec đưa ra, nhiều người nghi rằng chính Mỹ (có thể kết hợp với Israel) đã tham gia để tạo ra phần mềm gián điệp nguy hiểm này. Tuy nhiên, Trung Quốc cũng nằm trong vòng nghi vấn.
Hiện tại, vẫn còn rất nhiều điều bí ẩn xung quanh Regin. Vẫn còn những đoạn mã trong phần mềm gián điệp này chưa được phát hiện và kiểm tra.
Dưới đây là một số đặc điểm của phần mềm nguy hiểm này:
- Regin nhắm vào máy tính chạy hệ điều hành Windows. Nó tấn công theo từng bước và qua 5 giai đoạn. Chỉ có bước đầu tiên là có thể bị phát hiện. Bước này có nhiệm vụ mở ra cho các bước tiếp theo. Cách thức hoạt động này cũng tượng tự Stuxnet và các loại Trojan cùng dòng. Chẳng hạn như loại Trojan Duqu được thiết kế chuyên để thu thập thông tin của mục tiêu bằng cách đánh cắp lượng lớn dữ liệu.
- Gần 1/2 máy nhiễm Regin nằm ở các nhà cung cấp dịch vụ Internet (ISP), với mục tiêu nhắm tới là các khách hàng sử dụng dịch vụ của công ty. Những nạn nhân khác của đợt tấn công này là các công ty viễn thông, công ty quản lý khách sạn, tập đoàn năng lượng, hàng không và các tổ chức nghiên cứu.
- Cách thức phát tán của phần mềm gián điệp này hiện vẫn là một bí ẩn. Hiện tại, một giả thiết được đưa ra đó có thể đã được phát tán qua Yahoo Instan Messenger. Một giả thiết khác mà Symantec đưa ra đó là có thể nạn nhân đã bị lừa đưa tới một website giả mạo – có bề ngoài y hệt như các website họ hay vào. Mặc dù vậy, tất cả mới chỉ là phỏng đoán.
Một khi máy tính bị xâm nhập, người điều khiển Regin có thể tải lên phần mềm chuyên dụng để phục vụ quá trình gián điệp. Theo Symantec, một số phần mềm rất tinh vi cho thấy người thiết kế phải là chuyên gia trong lĩnh vực họ theo dõi. Chẳng hạn để đưa ra công cụ gián điệp thích hợp ở công ty hàng không hay năng lượng, Regin cần tới các chuyên gia trong lĩnh vực này. Nó cũng là bằng chứng cho thấy nguồn lực khổng lồ từ những kẻ thiết kế ra Regin.
Có rất nhiều loại phần mềm chuyên dụng. Phổ biến nhất là công cụ điều khiển từ xa - RAT, cho phép kẻ tấn công nắm quyền kiểm soát máy tính từ xa, sao chép các dữ liệu trong ổ cứng, bật Webcam, bật microphone, ăn cắp mật khẩu,… Một số phần mềm tiên tiến hơn tìm thấy trong Regin đó là phần mềm theo dõi lưu lượng truy cập mạng và công cụ quản lý các trạm phát sóng di động.
Nhiều phương thức đặc biệt đã được thực hiện để che giấu sự tồn tại của Regins. “Kể cả khi sự hiện diện của nó bị phát hiện, vẫn rất khó để lần ra những gì nó đang làm”, đại diện Symantec cho biết.
>> Tin tặc dùng Tronjan để cướp ngân hàng như thế nào?
Trang Lam
