Microsoft vừa phát hiện các máy tính mới bán tại Trung Quốc đã cài sẵn mã độc ẩn mình chờ đợi lệnh xâm nhập máy tính người dùng, đánh cắp tài khoản ngân hàng và dữ liệu nhạy cảm, điều khiển máy tính tấn công web từ xa.
Dùng phần mềm lậu dễ bị nhiễm mã độc “cửa hậu”
|
Sự kiện này đã được tiết lộ trong các tài liệu tòa án
niêm phong ngày 13-9 tại một tòa án liên bang ở Virginia (Hoa Kỳ). Các
thông tin trong tài liệu mô tả về một chiến dịch của Microsoft chống lại
tội phạm mạng đang nhắm vào hệ điều hành Windows - mục tiêu tấn công
lớn nhất của các loại virút. Trong đó, Microsoft đã phát hiện một loại
mã cực độc mang tên Nitol.
“Cửa hậu” Trung Quốc
Các nhân viên trong nhóm điều tra của Microsoft tại
Trung Quốc đã mua 20 máy tính mới từ các nhà bán lẻ và cho chúng kết nối
Internet. Windows bản lậu được cài sẵn trên tất cả máy tính được mua và
bốn trong số đó được “tặng thêm” mã độc cài sẵn. Một máy tính có Nitol
được chú ý nhất vì mã độc này ngay lập tức thức giấc và hoạt động khi
điều tra viên mở máy lần đầu tiên mà không cần bất cứ thao tác nào từ
phía người dùng. Nitol có chức năng cài đặt các backdoor (“cửa hậu”) để
tội phạm mạng có thể điều khiển máy tính từ xa thực hiện gửi thư rác,
theo dõi người dùng máy tính, đánh cắp dữ liệu cá nhân hoặc tấn công các
trang web trên mạng... Laptop chứa Nitol được sản xuất tại Công ty máy
tính Hedy ở Quảng Châu, Trung Quốc.
Tài liệu của Microsoft đã mô tả khả năng hoạt động của
mã độc Nitol: “Ngay khi chúng tôi mở máy, nó bắt đầu dò tìm khắp
Internet nhằm liên lạc với một máy tính khác”. Mức độ lây nhiễm đáng
kinh ngạc, chỉ cần cắm ổ USB chứa Nitol vào máy lây nhiễm, nó sẽ tự nhân
bản sang đó. Kế đến, ổ USB cắm vào bất kỳ máy tính nào khác, Nitol tiếp
tục lây nhiễm nhanh chóng vào mục tiêu mới. Trong hồ sơ trình tòa án,
Microsoft đã cung cấp vài ngàn mẫu mã độc Nitol gồm nhiều biến thể khác
nhau.
Theo Microsoft, bất chấp khoảng cách địa lý, Nitol đã
lây lan nhanh chóng trên nhiều máy tính tại Trung Quốc, Hoa Kỳ, Nga, Úc
và Đức. Theo số lượng tăng dần, các máy tính lây nhiễm góp phần tạo ra
mạng botnet Nitol (mạng máy tính “ma” chịu sự điều khiển từ xa của chủ
nhân) - một công cụ hái ra tiền cho tội phạm mạng - có thể đe dọa bất cứ
hệ thống máy tính nào trên thế giới khi chúng đạt đến số lượng vài trăm
ngàn, vài triệu hoặc hơn các “máy tính ma” (máy tính bị lây nhiễm).
Trong quá trình điều tra, Microsoft còn phát hiện tất
cả biến thể của Nitol trên các máy tính bị lây nhiễm đều luôn kết nối
đến các máy chủ C&C (ra lệnh và điều khiển) liên quan đến tên miền
3322.org của một công ty Trung Quốc. Microsoft cáo buộc website này là
trung tâm chính cho những hoạt động bất hợp pháp. Tên miền này là “ngôi
nhà lớn” cho hoạt động của mã độc Nitol và hơn 560 loại mã độc khác, tạo
thành kho lưu trữ các phần mềm “nhiễm mã độc” lớn nhất mà Microsoft
chưa bao giờ gặp phải. Trước đó, các hãng bảo mật của Mỹ từng cảnh báo
về việc tên miền 3322.org chiếm hơn 17% các giao dịch web độc hại của
thế giới trong năm 2009. Năm 2008, Hãng bảo mật Kaspersky Lab (Nga) cũng
đã công bố bản báo cáo bảo mật chỉ ra rằng 40% các chương trình phần
mềm độc hại tại một thời điểm có kết nối đến 3322.org.
Ông David Anselmi, giám đốc cao cấp của bộ phận điều tra tội phạm máy tính Microsoft, chỉ ra sơ đồ phát tán mã độc Nitol
|
Máy tính VN có thể đã nhiễm
Theo số liệu từ Tổng cục Thống kê VN, trong tám tháng
đầu năm nay mặt hàng điện tử, máy tính và linh kiện nhập khẩu có kim
ngạch đạt 8 tỉ USD, tăng rất mạnh so với cùng kỳ năm trước, đến 88,7%.
Mặt khác, Trung Quốc là thị trường lớn nhất của VN với kim ngạch nhập
khẩu đạt 18,2 tỉ USD, tăng 17,9% so với cùng kỳ năm 2011. Điều này dễ
dàng nhận thấy qua sự xuất hiện ồ ạt của máy tính xuất xứ từ Trung Quốc
tại các cửa hàng bán lẻ ở VN.
Hiểm họa “cửa hậu”
Theo ông Võ Đỗ Thắng, máy tính khi bị “cửa
hậu” có thể bị kiểm soát hoàn toàn từ bên ngoài, các hacker có thể xâm
nhập trái phép máy tính của người sử dụng, theo dõi quá trình sử dụng
máy tính của người dùng như lịch sử truy cập các trang web, có thể đánh
cắp user/password của các giao dịch trên mạng, hoặc có thể biến máy tính
trở thành công cụ để thực hiện phát tán botnet đến các máy tính khác...
Những nguy hại này nếu xảy ra có thể dẫn
đến hậu quả nghiêm trọng vì mọi hoạt động của người dùng bị kiểm soát,
thông tin bị đánh cắp. Đặc biệt hơn, trong những trường hợp người dùng
VN sử dụng máy tính để thực hiện mua bán trên mạng thì các thông tin như
thẻ tín dụng, mật mã truy cập vào tài khoản ngân hàng... có thể bị
hacker chiếm đoạt để đánh cắp tiền.
|
Đại diện một nhà bán lẻ máy tính cho biết: hầu hết các
thương hiệu máy tính đều có đặt hàng sản xuất tại Trung Quốc, các nhà
phân phối tại VN cũng chủ yếu nhập hàng từ Trung Quốc về. Các sản phẩm
máy tính có thể được cài đặt sẵn phần mềm hoặc chưa. Máy có cài đặt phần
mềm bản quyền có giá bán cao hơn, tuy nhiên nhà bán lẻ không thể nào
kiểm chứng bản quyền của phần mềm đã được cài đặt trong máy (!?).
Trong khi đó, theo tài liệu điều tra của Microsoft,
nhiều nhà sản xuất máy tính không có thương hiệu và nhà bán lẻ kém uy
tín đã không ngần ngại sử dụng những bản phần mềm lậu cài đặt sẵn lên
các máy tính nhằm giảm giá thành. Người tiêu dùng sẽ không thể nào biết
được sản phẩm mình vừa mới mua đã được cài sẵn mã độc với “cửa hậu” vô
cùng nguy hiểm. Họ vô tình trở thành mục tiêu “rất thơm” cho tội phạm
mạng.
Trao đổi với chúng tôi, ông Võ Đỗ Thắng, giám đốc Trung
tâm đào tạo và an ninh mạng Athena, cho biết: “Đặc tính của botnet là
khả năng lây lan và phát tán rất nhanh thông qua mạng Internet. Vì thế
với sự phát hiện botnet và điều tra của các chuyên gia Microsoft, tôi
tin rằng Nitol có thể đã có mặt tại VN”. Theo ông Thắng, Nitol này có
thể tấn công người dùng VN bằng cách âm thầm mở các “cửa hậu” để tội
phạm mạng từ xa có thể truy cập trái phép vào máy tính người sử dụng.
Quá trình này diễn ra rất âm thầm nên đối với người dùng cuối không có
kiến thức chuyên môn thì rất khó phát hiện.
Trước đây, Hãng bảo mật Kaspersky Lab đã có những khám
phá chi tiết về các loại phần mềm gián điệp được cho là nguy hiểm nhất
hiện nay như Flame, Madi - mã độc máy tính chuyên phục vụ những yêu cầu
đánh cắp thông tin mật từ những hệ thống nhạy cảm gồm nhà máy hạt nhân,
hệ thống máy tính của chính phủ. Ông Jimmy Low, chuyên gia bảo mật khu
vực Đông Nam Á của Hãng bảo mật Kaspersky Lab, từng cảnh báo: “Do các
trung tâm điều khiển của Flame (C&C server - máy chủ ra lệnh và điều
khiển) được tìm thấy ở Trung Quốc và Ấn Độ - hai quốc gia lớn nhất nhì
châu Á - nên tôi nghĩ rằng tội phạm mạng hoàn toàn có thể sử dụng các
C&C server tương tự để tấn công các đối tượng ở VN hoặc Đông Nam Á
nếu chúng muốn”.
Cách phòng chống “cửa hậu”
Ông Võ Đỗ Thắng cho biết để ngăn ngừa việc
bị xâm nhập từ “cửa hậu”, người dùng không nên truy cập vào các website
hoặc không tải về và cài đặt các phần mềm trên mạng không rõ nguồn gốc.
Song song đó, người dùng nên thường xuyên cập nhật chương trình chống
virút, chương trình tường lửa (firewall) bảo vệ máy tính cá nhân và
chương trình phát hiện các website có cài mã độc, phần mềm gián điệp như
Mcafee SiteAdvisor... Chương trình này sẽ cảnh báo khi người dùng truy
cập vào website có cài mã độc, phần mềm gián điệp, “cửa hậu”..., đồng
thời ngăn chặn không cho truy cập tiếp để tránh cho máy tính bị lây
nhiễm.
Đối với mã độc Nitol, Microsoft cho biết
hãng đã điều chỉnh lưu lượng truy cập Internet từ tên miền 3322.org vào
một website đặc biệt. Từ đó, Microsoft sẽ tìm cách cảnh báo người dùng
máy tính bị lây nhiễm cần cập nhật chương trình chống virút cũng như
cách gỡ bỏ Nitol ra khỏi máy của họ. Hiện Microsoft đã ngăn chặn được 37
triệu kết nối mã độc từ tên miền 3322.org.
|
Tuổi trẻ