TTO - Hãng bảo mật Symantec vừa phát
hiện trojan Duqu đã tìm ra cách khai thác một lỗ hổng trong nhân
(kernel) của hệ điều hành Windows, vốn cho phép việc kích hoạt vào máy
tính nạn nhân từ xa.
 |
| Người dùng Windows vẫn hoàn toàn bị động trong việc đối phó với Duqu, do Microsoft chưa có… bản vá – Ảnh minh họa: Internet |
Theo
đó, người ta phát hiện thấy trên Internet đã bắt đầu xuất hiện các
file dropper (là những file mà chỉ cần sơ ý click chuột, lập tức sẽ
“tuôn” các loại mã độc vào máy người dùng) chuyên để cài trojan Duqu
vào máy tính những ai không may trở thành nạn nhân. Hãng công nghệ
Hungary CrySys là đơn vị đầu tiên lên tiếng về phát hiện trên.
Cụ
thể, file dropper này ngụy trang dưới hình thức một file văn bản
Microsoft Word (.doc), được thiết kế để khai thác một lỗ hổng zero-day
bên trong lõi kernel của Windows (*). Theo đó, chỉ cần nhỡ tay mở file
này ra, nạn nhân không may đã “mời” Duqu vào bên trong hệ thống của
mình qua đường cài đặt.
Một
điểm nhấn đáng chú ý, Symantec phát hiện bộ file cài đặt trên có vẻ
như được thiết kế chỉ dành cho một số tổ chức và tập đoàn, công ty nhất
định, cũng như đảm bảo rằng nó chỉ tiến hành cài đặt trojan Duqu vào
một số ngày nhất định trong tháng Tám.
|
(*) Kernel:
là khái niệm điện toán, chỉ thành phần cấu tạo căn bản của hầu hết hệ
điều hành. Kernel có thể hiểu nôm na như một cầu nối giữa các ứng dụng
và quá trình xử lý dữ liệu thực tế được tiến hành ở cấp độ phần cứng.
Một trong những nhiệm vụ chính của Kernel bao gồm cả quản lý các tài
nguyên của toàn bộ hệ thống (tức sự giao tiếp dữ liệu giữa các thành
phần linh kiện phần cứng và phần mềm ứng dụng).
|
Duqu đã đến Việt Nam
Bất
chấp “tuổi đời” còn ngắn ngủi, song Duqu vẫn thu hút sự chú ý lớn từ
giới bảo mật quốc tế bởi loại trojan này lại chính là hậu duệ của sâu
Stuxnet, loại trojan rất nguy hiểm, được thiết kế để chuyên tấn công
vào hệ thống công nghiệp nặng, cụ thể là hệ thống máy ly tâm trong lò
phản ứng của Iran vào năm ngoái (2010). Sự tương đồng gần như y hệt
trong các đoạn mã thiết kế đã khiến hãng Symantec tin rằng tác giả của Stuxnet và Duqu thực chất chỉ là một.
 |
| Hãng bảo mật Symantec đã theo sát Duqu từ những ngày đầu trojan này xuất hiện trên Internet – Ảnh minh họa: Internet |
Symantec
cho hay hãng này đã xác nhận hệ thống điện toán của tổng cộng sáu tổ
chức và doanh nghiệp (không nêu tên) tại tám quốc gia, là Việt Nam,
Pháp, Hà Lan, Thụy Sĩ, Ukraine, Iran, Ấn Độ và Sudan đều đã bị nhiễm
Duqu. Ngoài ra, đã xuất hiện nhiều báo cáo chưa được xác nhận về sự có
mặt của trojan nguy hiểm này tại Hungary, Indonesia và Anh Quốc.
Trong
vài trường hợp, không phải máy tính nào bị lây nhiễm Duqu cũng được
kết nối với trung tâm điều khiển hoặc trạm máy chủ (nếu có), thế nên
tác giả của Duqu đã “khéo léo” gài vào trojan này một giao thức
(protocol) chia sẻ file, giúp nó có khả năng liên lạc với một máy tính
khác trong cùng hệ thống mạng, vốn có khả năng kết nối đến máy chủ, dĩ
nhiên là máy tính này cũng đã bị nhiễm Duqu. Đây là một cách đi đường
vòng nhằm đánh lạc hướng truy vết.
Mới
đây, các chuyên gia bảo mật cũng vừa phát hiện thêm hai trung tâm máy
chủ chuyên dùng để điều khiển các máy tính bị nhiễm Duqu. Hệ thống máy
chủ thứ nhất đặt tại Ấn Độ và vừa bị “hạ gục” cách đây hơn ít ngày, cụm
máy chủ thứ hai là ở Bỉ và cũng vừa bị vô hiệu hóa kịp thời.
Microsoft: hiện chưa có bản vá
Microsoft sẽ chưa thể phát hành kịp bản vá để khắc phục lỗ hổng nói trên vào ngày 8-11.
“Microsoft
đang hợp tác chặt chẽ với các đối tác để sớm phát hành biện pháp bảo
vệ dành cho một lỗ hổng đang bị khai thác để cài đặt trái phép malware
Duqu vào bên trong các thiết bị máy tính dùng hệ điều hành Windows.
Chúng tôi đang rất nỗ lực để tìm hiểu vấn đề, và sẽ tung ra bản cập
nhật an ninh đến khách hàng ngay khi có thể”, đây là nguyên văn phản
hồi từ “sếp” của Trung tâm Ứng phó An ninh của Microsoft (Microsoft
Security Response Center – MSRC).
http://nhipsongso.tuoitre.vn/Nhip-song-so/463539/Ma-doc-nguy-hiem-da-co-mat-tai-Viet-Nam.html
