Bộ gõ Unikey bị nhúng mã độc, lây nhiễm lan rộng

Hack website, nhúng mã độc

Ngày 1-3, thành viên bolzano_1989 từ diễn đàn Hacker Vietnam (HVA Online) đã cảnh báo về website Unikey.org bị hacker chiếm quyền kiểm soát và chuyển hướng tải bộ gõ tiếng Việt Unikey sang một trang giả mạo do hacker này tạo ra.

Hacker đã rất tinh vi trong kỹ thuật đánh lừa các nạn nhân khiến họ không thể nào biết được mình đang truy cập vào một địa chỉ giả mạo gần giống với địa chỉ thật tại SourceForge.net, vô tư tải về bộ gõ Unikey đã có kèm mã độc. Cụ thể là hai địa chỉ: sourceforge.net/projects/unikey/ (thật) và sourceforge.net/projects/unjkey (giả), khác biệt ở chữ i và j.

Phóng to

Website Unikey.org bị chiếm quyền điều khiển và liên kết tải bộ gõ Unikey cũng bị đổi sang địa chỉ giả mạo sourceforge.net/projects/unjkey

Địa chỉ web giả mạo sourceforge.net/projects/unjkey, cung cấp bộ gõ Unikey có kèm mã độc

Unikey là bộ gõ tiếng Việt mã nguồn mở do tác giả Phạm Kim Long phát triển và cung cấp miễn phí sử dụng từ website Unikey.org. Unikey là một trong những phần mềm hỗ trợ gõ tiếng Việt trên máy tính dùng Windows được sử dụng rộng rãi nhất, bởi các tính năng như nhỏ gọn, tiện dụng, linh hoạt và không cần cài đặt.

Số lượt tải về mỗi ngày vào khoảng 3.000 lượt từ người dùng Việt khắp nơi trên thế giới (số liệu thống kê từ SourceForge, website cung cấp dịch vụ lưu trữ cho các phần mềm nguồn mở).

Ngay sau khi phát hiện vụ việc, nhóm quản trị HVA Online đã tích cực liên hệ tác giả Phạm Kim Long để xử lý. Ngày 2-3, SourceForge đã chính thức xóa sổ trang giả mạo và tác giả Phạm Kim Long cũng đã lấy lại được quyền điều khiển website Unikey.org. Tuy vậy, hậu quả của vụ tấn công có mục đích này rất nghiêm trọng.

Mối nguy hại rất lớn

Theo trao đổi với Nhịp Sống Số, từ phân tích của nhóm thành viên HVA Online cho thấy có thể xâu chuỗi đợt tấn công này với các đợt tấn công tương tự vào nhiều website Việt Nam trong năm 2011. Với cùng cách thức tương tự, chiếm website, rải mã độc, một nhóm hacker đang thu thập thêm số lượng "máy tính ma" (zombie), bổ sung vào đội quân botnet, phục vụ các chiến dịch tấn công từ chối dịch vụ DDoS.

Sau khi phân tích mã nguồn, nhóm điều tra từ HVA Online cũng cho biết loại mã độc được nhúng vào bộ gõ Unikey có cấu trúc tương tự loại mã độc được phát hiện trong các phần mềm lậu được phát tán trên nhiều website hay diễn đàn tại Việt Nam. Một số phần mềm lậu được nhiều người ưa chuộng tải về là IDM (Internet Download Manager) cũng bị "dính" mã độc trên và "rất khó bị phát hiện". Mã độc chỉ là một module nhỏ đóng vai trò downloader, sau khi lây nhiễm vào hệ thống sẽ chịu trách nhiệm tải thêm các module gây hại khác về máy tính nạn nhân tùy thuộc chủ đích của chủ nhân.

Trong năm 2011, các thành viên của HVA Online cũng phát hiện một số mã độc, tình nghi cùng một nhóm tội phạm phát tán, đã biến rất nhiều máy tính người dùng ở Việt Nam thành công cụ để tấn công DDoS vào các website có chủ đích. Thông tin ban đầu cho thấy tổ chức tội phạm này rất tinh vi và chuyên nghiệp. Hiện vẫn chưa thể truy vết được cụ thể.

Đáng lo ngại hơn, hầu hết người dùng đã tải về bộ gõ Unikey có nhiễm mã độc trên sourceforge.net trong khoảng thời gian từ ngày 30-1 đến 2-3-2012 đều không biết máy tính của mình đã nhiễm mã độc. Hơn nữa, do cấu trúc phân mảnh phức tạp của loại mã độc mới này chưa được các chương trình anti-virus phổ biến hiện nay nhận diện nên chúng vẫn ung dung sống trên máy nạn nhân.

Ngoài ra, bộ gõ Unikey nhiễm độc sẽ tiếp tục được phát tán một cách vô ý thông qua các chủ nhân của những website hay diễn đàn, họ đóng góp file đã tải về và đưa lên website của mình để những thành viên có thể tải về dùng. Trong khi đó, các kỹ thuật viên đã tải bộ Unikey nhiễm bẩn đưa chúng vào các phiên bản ghost để cài đặt nhanh nhiều máy tính (bản sao lưu Norton Ghost). Mức độ lây nhiễm sẽ phủ rộng hơn, phạm vi lan tỏa ở con số nhiều triệu máy tính.