Mã độc rình mò hệ thống máy tính quan trọng

Regin thâm nhập vào các máy tính của nhà cung cấp mạng Internet (ISP) và mạng viễn thông để tấn công vào các mục tiêu - Ảnh minh họa: Internet

Các chuyên gia an ninh mạng từ Symantec đã đưa Regin vào hạng "vũ khí mạng cấp cao" khi khám phá ra Regin. Nó có rất nhiều mô-đun chức năng, và âm thầm tiếp nhận thêm các mô-đun gia tăng sức mạnh trong nhiều tháng, thậm chí vài năm.

Các mô-đun chức năng giúp Regin "ẩn mình" trong hệ thống, đánh cắp dữ liệu có chủ đích, chụp ảnh màn hình máy tính ghi lại các thao tác đang diễn ra, đánh cắp mật khẩu, điều khiển được cả chuột máy tính lây nhiễm, theo dõi lưu lượng mạng và thậm chí khôi phục lại các tập tin đã được xóa.

Mỗi mô-đun nhắm tới một mục tiêu khác nhau. Có mô-đun chỉ nhằm thu gom dữ liệu trao đổi qua mạng từ máy chủ Microsoft IIS. Regin còn có khả năng bắt gói dữ liệu trao đổi trong mạng không dây giữa điện thoại di động.

Nhóm hệ thống mục tiêu của Regin theo tỉ lệ, gồm: các hệ thống máy tính ở những trung tâm, nhà máy năng lượng, những tổ chức nghiên cứu, y tế, hàng không, viễn thông, các doanh nghiệp vừa và nhỏ - Nguồn: Symantec

Theo Symantec, Regin có khả năng "tàng hình", được chia làm năm giai đoạn tấn công, một số giai đoạn được mã hóa "che chắn" kỹ lưỡng theo chuỗi domino. Giai đoạn sau giải mã và thực thi gói mô-đun hoạt động của giai đoạn trước, và cứ như vậy.

Regin như một "cỗ xe chiến đấu" với khung sườn chuẩn, mỗi mô-đun là một loại vũ khí được tích hợp thêm. Symantec tin rằng Regin đã được sử dụng trong nhiều chiến dịch tấn công do thám... từ năm 2008, hay thậm chí sớm hơn.

Năm bước tấn công cơ bản của Regin - Ảnh: Symantec

Nguy hiểm hơn, khám phá của Symantec cho thấy Regin đã lây nhiễm vào các máy tính của những nhà cung cấp dịch vụ Internet (ISP), qua đó theo dõi máy tính của những mục tiêu sử dụng mạng Internet do ISP đó cung cấp. Ngoài ISP, nạn nhân còn là các nhà cung cấp mạng viễn thông, cho thấy mức độ tinh vi của tổ chức thực hiện và quy mô triển khai tấn công rất lớn.

Symantec nhận định còn nhiều điều chưa khám phá hết về "vũ khí mạng" Regin. Số lượng hệ thống mục tiêu lây nhiễm Regin chưa nhiều, chỉ ở mức hàng trăm. Hiện chưa thể dò tìm ra nguồn gốc máy chủ điều khiển các hệ thống bị lây nhiễm. Regin đã "mất tích" vào năm 2011 chưa rõ lý do. 

10 quốc gia có dấu hiệu lây nhiễm Regin gồm: Liên bang Nga, Ả rập Saudi, Pakistan, Áo, Iran, Bỉ, Afghanistan, Ấn Độ, Ireland, Mexico - Nguồn: Symantec

Regin nhắc người ta nhớ đến các mã độc như Flame, Duqu và Stuxnet được xem là "vũ khí mạng" với sự hậu thuẫn từ các cơ quan chính phủ.

Lộ diện nạn nhân của sâu máy tính Stuxnet

Lộ tung tích vào tháng 6-2010, độ phức tạp và tinh vi của sâu máy tính Stuxnet gây sốc cho các cơ quan chính phủ về loại vũ khí trong không gian mạng. Stuxnet được lập trình với mục tiêu rõ rệt: phá hoại hệ thống điều khiển lò phản ứng hạt nhân của Iran, thay vì đánh cắp dữ liệu hay thông tin.

Nhóm phân tích từ Kaspersky Lab vừa qua đã công bố danh sách mục tiêu của Stuxnet sau nhiều năm nghiên cứu. Khám phá của Kaspersky Lab cho thấy Stuxnet trang bị mã khai thác các lỗ hổng bảo mật dạng 0-day (chưa có bản vá lỗi từ nhà sản xuất).

Năm "nạn nhân" của Stuxnet là các nhà máy, lò phản ứng hạt nhân của Iran, trong đó bao gồm một mục tiêu là nhà máy tạo ra các máy ly tâm làm giàu uranium. Cuộc tấn công lây nhiễm Stuxnet qua khâu trung gian, thay vì nhắm đến các mục tiêu, tổ chức tấn công lây nhiễm gián tiếp Stuxnet qua mạng lưới các đối tác có thể làm việc với mục tiêu.

Bên cạnh đó, việc lây nhiễm Stuxnet vào máy tính mục tiêu không chỉ qua thẻ nhớ USB mà qua những kỹ thuật phức tạp khác.

Các mục tiêu và cũng là "nạn nhân" của sâu máy tính Stuxnet, năm nhà máy làm giàu uranium của Iran - Ảnh: Kaspersky Lab