​Phát hiện mã độc xóa dữ liệu StoneDrill

So sánh điểm giống và khác nhau giữa mã độc StoneDrill và Shamoon. - Ảnh: Kaspersky

Mã độc này có tên là StoneDrill, do nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab vừa phát hiện. Nó có kĩ thuật chống phát hiện cao cấp và được tích hợp cả những công cụ gián điệp.

Nhiễm đến đâu, xóa đến đó

Một khi máy bị tấn công, StoneDrill sẽ tự đưa mình vào quá trình nhớ của trình duyệt ưa thích của người dùng. Trong quá trình này, nó sử dụng hai kĩ thuật chống làm giả tinh vi nhằm đánh lừa các giải pháp bảo mật được cài đặt trong máy của nạn nhân.

Lúc này mã độc bắt đầu phá hủy các tập tin trên máy tính. Tất nhiên mọi thứ dữ liệu quý giá trên máy tính bị lây nhiễm cũng sẽ bị xóa sạch. StoneDrill giống như một chiếc máy ủi phá nát mọi thứ dữ liệu trên đường đi của nó.

Bên cạnh module xóa dữ liệu, các nhà nghiên cứu của Kaspersky Lab cũng tìm thấy backdoor StoneDrill, vốn được phát triển bởi cùng các nhà lập trình và được sử dụng cho mục đích gián điệp.

Các chuyên gia đã phát hiện bốn bảng chỉ huy và điều khiển đã được các kẻ tấn công sử dụng để chạy các hoạt động gián điệp với sự giúp đỡ của backdoor StoneDrill chống lại một số mục tiêu không rõ.

Cho đến thời điểm này, ít nhất hai đối tượng của mã độc xóa dữ liệu StoneDrill đã được xác định, một ở Trung Đông và một ở Châu Âu. Các nhà nghiên cứu vẫn chưa tìm ra cách thức phát tán của loại mã độc này.

Có động cơ chính trị?

Năm 2012, một loại mã độc xóa dữ liệu vô cùng khét tiếng khác là Shamoon (còn được biết đến là Disttrack) đã từng tấn công hơn 35.000 máy tính của một công ty dầu khí ở Trung Đông. Cuộc tấn công này đã khiến 10% nguồn cung cấp dầu mỏ của thế giới có nguy cơ bị nguy hiểm.

Sự cố đó được xem là khởi đầu cho những chuyện càng trở nên nghiêm trọng hơn sau này. Chẳng hạn StoneDrill được xem là sự trở lại của Shamoon khi các nhà nghiên cứu của Kaspersky Lab vô tình phát hiện ra nhiều điểm tương đồng giữa hai mã độc này. Thậm chí, StoneDrill còn được xem là Shamoon 2.0 bởi nó rất khác biệt và tinh vi hơn cả Shamoon.

“Chúng tôi đã bị thu hút bởi sự tương đồng và sự so sánh giữa hoạt động của ba nhóm mã độc nguy hiểm này. Liệu StoneDrill có phải là một mã độc xóa dữ liệu khác được triển khai bởi nhân tố Shamoon?" 

"Hay StoneDrill và Shamoon thuộc hai nhóm khác nhau và hoàn toàn tách biệt nhưng lại vô tình nhằm vào các tổ chức Saudi cùng lúc? Hoặc hai nhóm tách biệt nhưng lại được sắp xếp theo cùng mục tiêu của chúng?”, Mohamad Amin Hasbini, nhà nghiên cứu bảo mật cao cấp của bộ phận nghiên cứu và phân tích toàn cầu của Kaspersky, đưa ra các nghi vấn.

Cũng theo Mohamad Amin Hasbini: “Một giả thuyết có thể được đặt ra từ việc trong khi Shamoon gắn các phần ngôn ngữ có nguồn gốc Ả Rập thì StoneDrill lại gắn các phần ngôn ngữ có nguồn gốc Persian.

Điều này có thể khiến các nhà phân tích địa chính trị nhanh chóng chỉ ra rằng cả Iran và Yemen đều là những “tay chơi” trong cuộc xung đột ủy quyền giữa Iran và Ả rập Xê-út, và Ả rập Xê-út là nơi mà hầu hết nạn nhân của các hoạt động này được tìm thấy. Tuy nhiên, chúng tôi không loại trừ khả năng các đồ tạo tác này là giả”.