Những điều cần biết về Flame, sâu máy tính nguy hiểm nhất lịch sử
(Dân trí)- Flame, loại sâu máy tính vừa được các chuyên gia bảo mật phát hiện ra vào cuối tháng 5 vừa qua mà hãng bảo mật danh tiếng Kaspersky Lab đã gọi là “vũ khí công nghệ tinh vi nhất chưa từng có”. Vậy Flame đáng sợ đến mức nào? Cùng tìm hiểu qua bài viết sau.
Flame là loại sâu máy tính đã bị hãng bảo mật Kaspersky Lab phát hiện ra vào những ngày cuối tháng 5 vừa qua.
Flame có thể ẩn nấp trên các máy tính ít nhất trong vòng 5 năm, phần mềm độc hại này sẽ ăn cắp dữ liệu, nghe trộm các cuộc đàm thoại, chụp ảnh màn hình các phần mềm chat… khiến cho nó thực sự nguy hiểm với bất kỳ ai sử dụng máy tính và Internet.
Vậy Flame thực sự nguy hiểm đến mức nào và ai đứng đằng sau sâu máy tính nguy hiểm nhất trong lịch sử này? Với mục đích là gì? Cùng tìm hiểu qua bài viết sau đây.
Flame là gì và nguy hiểm đến mức nào?
Flame là một vũ khí công nghệ tấn công tinh vi, sẽ để lại một cửa sau (backdoor) hoặc Trojan trên máy tính của nạn nhân và có thể lây truyền chính nó trên hệ thống mạng nội bộ, tương tự như cách thức hoạt động của các loại sâu máy tính khác.
Flame có thể theo dõi thông tin kết nối Internet, chụp ảnh màn hình, ghi lại âm thanh các cuộc đàm thoại, bí mật ghi lại thông tin gõ trên bàn phím và thu thập thông tin về các thiết bị sử dụng Bluetooth ở gần thiết bị lây nhiễm Flame và biến máy tính của nạn nhân thành một thiết bị phát hiện Bluetooth.
Chưa dừng lại ở đó, các hacker còn có thể cập nhật các mô-đun để bổ sung thêm nhiều chức năng cho Flame ngay trên máy tính của nạn nhân. Hiện có khoảng 20 mô-đun khác nhau của sâu máy tính này đã bị phát hiện và các nhà nghiên cứu bảo mật đang tìm hiểu xem chức năng thực sự của các mô-đun này là gì.
Tên của loại phần mềm độc hại này (Flame) được đặt dựa theo tên của một mô-đun chính, thực hiện nhiệm vụ tấn công và phát tán trên nhiều máy tính. Hiện các nhà nghiên cứu bảo mật đã phát hiện ra nhiều biến thể của Flame và phát hiện ra chúng đang có kết nối với 80 máy chủ khác nhau.
“Flame là một khối kết cấu nhiều mô-đun. Về cơ bản mục tiêu sẽ bị lây nhiễm bằng các mô-đun chính và sau đó những kẻ tấn công sẽ tải lên các mô-đun phụ thực hiện các chức năng cần thiết”, Roel Schouwenberg, chuyên gia bảo mật của Kaspersky cho biết. “Chúng tôi cho rằng hiện vẫn chưa thể nắm rõ được có bao nhiêu mô-đun mà các hacker có thể sử dụng cho Flame”.
Kaspersky Lab dự đoán rằng Flame sử dụng một lỗ hổng bảo mật nghiêm trọng trên Windows để phát tán, tuy nhiên thông tin này chưa được Microsoft xác nhận.
Flame lây lan như thế nào?
Flame có thể lây lan thông qua ổ đĩa gắn ngoài như USB, ổ cứng di động, hệ thống mạng chia sẻ hoặc máy in được chia sẻ.. tuy nhiên, hiện các chuyên gia bảo mật vẫn chưa thể tìm ra nguồn gốc lây lan ban đầu của loại malware nguy hiểm này.
Kaspersky Lab dự đoạn một email lừa đảo có chứa mã độc chính là nguồn gốc lây lan của Flame.
Flame đã xuất hiện trong bao lâu?
Trên thực tế, không phải đến tận tháng 5 năm nay, Flame mới được phát hiện, mà Kaspersky Lab cho biết những dấu hiệu xuất hiện Flame đã có từ năm 2010, thậm chí có những bằng chứng cho rằng Flame đã từng xuất hiện từ năm 2007 hoặc từ trước đó.
Tại sao Flame không bị phát hiện sớm hơn?
Theo đánh giá của các chuyên gia bảo mật, thì cho dù tác giả của Flame là ai thì thủ phạm đã cực kỳ nỗ lực để lập trình giúp cho sâu máy tính này có thể ẩn dấu và tránh bị phát hiện càng lâu càng tốt.
“Rõ ràng đây là một dự án hàng triệu đô được tài trợ bởi một chính phủ nào đó”, Schouwenberg, chuyên gia bảo mật của Kaspersky dự đoán.
Không giống với việc lây lan mạnh mẽ như các sâu máy tính nguy hiểm trước đây, có vẻ như Flame chỉ lây lan nhằm vào những mục tiêu cụ thể mà các hacker nhắm tới. Flame cho thấy sự bất thường về kích cỡ và sử dụng một ngôn ngữ lập trình không phổ biến, ngôn ngữ lập trình Lua, do đó, ban đầu Flame có vẻ như không có gì quá nguy hiểm.
“Tác giả của Flame đã thực sự tài tình trong việc che dấu sự hiện diện của nó”, Schouwenberg cho biết thêm. “Bởi vì Flame không sử dụng những công nghệ xâm nhập và ẩn dấu mà các loại sâu máy tính khác thường sử dụng, do vậy các phần mềm bảo mật không thể phát hiện ra. Để phát hiện ra Flame là một điều không dễ dàng gì”.
Ai là tác giả của Flame?
Hiện chưa rõ ai là tác giả cũng như ai là người chịu trách nhiệm phát tán loại mã độc này, tuy nhiên Kaspersky Lab tin rằng một chính phủ nào đó, hoặc một tổ chức được chính phủ tài trợ đằng sau chính là tác giả của Flame vì bản chất tiên tiến của sâu máy tính này.
Khi được hỏi liệu có phải Mỹ hay Israel đứng sau Flame, với mục tiêu chính trị nhắm vào Iran hay không, Schouwenberg cho biết không dám chắc điều này.
"Mặc dù Flame được lập trình và chú thích bằng tiếng Anh, không có nghĩa rằng một quốc gia nói tiếng Anh đứng đằng sau phần mềm độc hại này", Schouwenberg suy luận.
Trong khi đó, nhiều trang công nghệ trích dẫn "nguồn tin cao cấp của Israel" xác nhận rằng các chuyên gia công nghệ của Israel đã tạo ra Flame để "xâm nhập các may tính của các cá nhân cao cấp ở Iran, Palestin và nhiều nơi khác, bao gồm cả Israel, những người được cho là tham gia vào các hoạt động tình báo".
Mức độ lây nhiễm của Flame nghiêm trọng đến mức nào?
Các chuyên gia bảo mật của Kaspersky tin rằng có nhiều biến thể của Flame hơn số lượng hiện tại mà họ đang biết, đặc biệt là số mô-đun mà các hacker có thể sử dụng. Ngoài ra, Kaspersky cũng cho rằng có một đội ngũ nhân lực hùng hậu đứng đằng sau Flame để giúp nó ngày càng trở nên nguy hiểm hơn.
Hiện Flame đang sử dụng hơn 80 máy chủ để điều khiển và kết nối, cho thấy một nguồn tài nguyên "hùng hậu" đứng đằng sau sâu máy tính này.
Mục tiêu của Flame là những ai?
Theo Kaspersky thì tỷ lệ lây lan Flame cao nhất là ở Israel, Palestine, Sudan, Syria, Li-băng, Ả-rập Saudi và Ai Cập.
Trong khi đó, hãng bảo mật danh tiếng khác là Symantec lại cho rằng mục tiêu chính mà Flame nhắm đến là Bờ tây Palestine, Hungary, Iran và Li-băng.
Tuy nhiên, hiện tại các chuyên gia bảo mật chưa biết chắc rằng đây chỉ là những mục tiêu duy nhất được nhắm đến, hay chỉ mới là sự lây lan trong một khu vực ở Trung Đông trước khi mã độc này lây lan rộng rãi ra toàn cầu.
Bao nhiêu người đã bị lây nhiễm Flame?
Như trên đã đề cập, có vẻ như Flame đang nhắm đến những mục tiêu nhất định, thay vì số lượng lây lan rầm rộ, nên hiện tại số người lây nhiễm Flame chưa lớn.
Kaspersky cho biết hiện có khoảng 300-400 người dùng các sản phẩm của hãng đã có thông báo về sự lây nhiễm Flame trên máy tính của họ. Tuy nhiên trên thực tế con số này có thể vượt quá 1.000 người trên toàn cầu. Phần lớn người bị nhiễm Flame đang sống tại Iran và Trung Đông, số ít còn lại ở Mỹ.
Tuy nhiên, điều này không có nghĩ rằng những người dùng còn lại "vô can" với Flame, đặc biệt khi đây được đánh giá là một sâu máy tính nguy hiểm và tinh vi.
Lời kết
Mặc dù Flame được xem là đại diện cho một cuộc tấn công gián điệp không gian mạng tinh vi, tuy nhiên các chuyên gia bảo mật không cho rằng đây là dấu hiệu của một cuộc chiến tranh mạng.
Trước Flame, nhiều quốc gia đã từng tiến hành các hoạt động gián điệp trên không gian mạng thông qua những loại sâu máy tính tinh vi, như sâu máy tính Stuxnet trước đây nhằm vào Iran và quốc gia này cáo buộc là có sự nhúng tay vào của các nước phương Tây, đặc biệt là Mỹ và Israel. Stuxnet được cho là thiết kế để phá hoại các chương trình hạt nhân của Iran sau khi các nỗ lực ngoại giao dần thất bại.
Tuy nhiên, ngược lại, đây cũng được xem là "tin tốt" với người dùng thông thường trên toàn thế giới, khi họ không phải là mục tiêu ưu tiên hàng đầu mà Flame nhắm vào, điều này đồng nghĩa với việc nguy cơ bị lây nhiễm Flame trên máy tính của họ thất hơn, nhưng không có nghĩa là nguy cơ này không hiện diện.
Flame có thể ẩn nấp trên các máy tính ít nhất trong vòng 5 năm, phần mềm độc hại này sẽ ăn cắp dữ liệu, nghe trộm các cuộc đàm thoại, chụp ảnh màn hình các phần mềm chat… khiến cho nó thực sự nguy hiểm với bất kỳ ai sử dụng máy tính và Internet.
Vậy Flame thực sự nguy hiểm đến mức nào và ai đứng đằng sau sâu máy tính nguy hiểm nhất trong lịch sử này? Với mục đích là gì? Cùng tìm hiểu qua bài viết sau đây.
Flame là gì và nguy hiểm đến mức nào?
Flame là một vũ khí công nghệ tấn công tinh vi, sẽ để lại một cửa sau (backdoor) hoặc Trojan trên máy tính của nạn nhân và có thể lây truyền chính nó trên hệ thống mạng nội bộ, tương tự như cách thức hoạt động của các loại sâu máy tính khác.
Ảnh minh họa một đoạn mã nguồn của Flame, cho thấy mô-đun Flame là mô-đun chính, được sử dụng để làm tên gọi cho sâu máy tính này
Flame có thể theo dõi thông tin kết nối Internet, chụp ảnh màn hình, ghi lại âm thanh các cuộc đàm thoại, bí mật ghi lại thông tin gõ trên bàn phím và thu thập thông tin về các thiết bị sử dụng Bluetooth ở gần thiết bị lây nhiễm Flame và biến máy tính của nạn nhân thành một thiết bị phát hiện Bluetooth.
Chưa dừng lại ở đó, các hacker còn có thể cập nhật các mô-đun để bổ sung thêm nhiều chức năng cho Flame ngay trên máy tính của nạn nhân. Hiện có khoảng 20 mô-đun khác nhau của sâu máy tính này đã bị phát hiện và các nhà nghiên cứu bảo mật đang tìm hiểu xem chức năng thực sự của các mô-đun này là gì.
Tên của loại phần mềm độc hại này (Flame) được đặt dựa theo tên của một mô-đun chính, thực hiện nhiệm vụ tấn công và phát tán trên nhiều máy tính. Hiện các nhà nghiên cứu bảo mật đã phát hiện ra nhiều biến thể của Flame và phát hiện ra chúng đang có kết nối với 80 máy chủ khác nhau.
“Flame là một khối kết cấu nhiều mô-đun. Về cơ bản mục tiêu sẽ bị lây nhiễm bằng các mô-đun chính và sau đó những kẻ tấn công sẽ tải lên các mô-đun phụ thực hiện các chức năng cần thiết”, Roel Schouwenberg, chuyên gia bảo mật của Kaspersky cho biết. “Chúng tôi cho rằng hiện vẫn chưa thể nắm rõ được có bao nhiêu mô-đun mà các hacker có thể sử dụng cho Flame”.
Kaspersky Lab dự đoán rằng Flame sử dụng một lỗ hổng bảo mật nghiêm trọng trên Windows để phát tán, tuy nhiên thông tin này chưa được Microsoft xác nhận.
Flame lây lan như thế nào?
Flame có thể lây lan thông qua ổ đĩa gắn ngoài như USB, ổ cứng di động, hệ thống mạng chia sẻ hoặc máy in được chia sẻ.. tuy nhiên, hiện các chuyên gia bảo mật vẫn chưa thể tìm ra nguồn gốc lây lan ban đầu của loại malware nguy hiểm này.
Các hình thức và nguồn gốc có thể lây nhiễm của Flame
Kaspersky Lab dự đoạn một email lừa đảo có chứa mã độc chính là nguồn gốc lây lan của Flame.
Flame đã xuất hiện trong bao lâu?
Trên thực tế, không phải đến tận tháng 5 năm nay, Flame mới được phát hiện, mà Kaspersky Lab cho biết những dấu hiệu xuất hiện Flame đã có từ năm 2010, thậm chí có những bằng chứng cho rằng Flame đã từng xuất hiện từ năm 2007 hoặc từ trước đó.
Tại sao Flame không bị phát hiện sớm hơn?
Theo đánh giá của các chuyên gia bảo mật, thì cho dù tác giả của Flame là ai thì thủ phạm đã cực kỳ nỗ lực để lập trình giúp cho sâu máy tính này có thể ẩn dấu và tránh bị phát hiện càng lâu càng tốt.
“Rõ ràng đây là một dự án hàng triệu đô được tài trợ bởi một chính phủ nào đó”, Schouwenberg, chuyên gia bảo mật của Kaspersky dự đoán.
Không giống với việc lây lan mạnh mẽ như các sâu máy tính nguy hiểm trước đây, có vẻ như Flame chỉ lây lan nhằm vào những mục tiêu cụ thể mà các hacker nhắm tới. Flame cho thấy sự bất thường về kích cỡ và sử dụng một ngôn ngữ lập trình không phổ biến, ngôn ngữ lập trình Lua, do đó, ban đầu Flame có vẻ như không có gì quá nguy hiểm.
“Tác giả của Flame đã thực sự tài tình trong việc che dấu sự hiện diện của nó”, Schouwenberg cho biết thêm. “Bởi vì Flame không sử dụng những công nghệ xâm nhập và ẩn dấu mà các loại sâu máy tính khác thường sử dụng, do vậy các phần mềm bảo mật không thể phát hiện ra. Để phát hiện ra Flame là một điều không dễ dàng gì”.
Ai là tác giả của Flame?
Hiện chưa rõ ai là tác giả cũng như ai là người chịu trách nhiệm phát tán loại mã độc này, tuy nhiên Kaspersky Lab tin rằng một chính phủ nào đó, hoặc một tổ chức được chính phủ tài trợ đằng sau chính là tác giả của Flame vì bản chất tiên tiến của sâu máy tính này.
Bản đồ phân bổ sự lây nhiễm của Flame, chủ yếu tập trung ở Trung Đông và Bắc Phi
Khi được hỏi liệu có phải Mỹ hay Israel đứng sau Flame, với mục tiêu chính trị nhắm vào Iran hay không, Schouwenberg cho biết không dám chắc điều này.
"Mặc dù Flame được lập trình và chú thích bằng tiếng Anh, không có nghĩa rằng một quốc gia nói tiếng Anh đứng đằng sau phần mềm độc hại này", Schouwenberg suy luận.
Trong khi đó, nhiều trang công nghệ trích dẫn "nguồn tin cao cấp của Israel" xác nhận rằng các chuyên gia công nghệ của Israel đã tạo ra Flame để "xâm nhập các may tính của các cá nhân cao cấp ở Iran, Palestin và nhiều nơi khác, bao gồm cả Israel, những người được cho là tham gia vào các hoạt động tình báo".
Mức độ lây nhiễm của Flame nghiêm trọng đến mức nào?
Các chuyên gia bảo mật của Kaspersky tin rằng có nhiều biến thể của Flame hơn số lượng hiện tại mà họ đang biết, đặc biệt là số mô-đun mà các hacker có thể sử dụng. Ngoài ra, Kaspersky cũng cho rằng có một đội ngũ nhân lực hùng hậu đứng đằng sau Flame để giúp nó ngày càng trở nên nguy hiểm hơn.
Hiện Flame đang sử dụng hơn 80 máy chủ để điều khiển và kết nối, cho thấy một nguồn tài nguyên "hùng hậu" đứng đằng sau sâu máy tính này.
Mục tiêu của Flame là những ai?
Theo Kaspersky thì tỷ lệ lây lan Flame cao nhất là ở Israel, Palestine, Sudan, Syria, Li-băng, Ả-rập Saudi và Ai Cập.
Trong khi đó, hãng bảo mật danh tiếng khác là Symantec lại cho rằng mục tiêu chính mà Flame nhắm đến là Bờ tây Palestine, Hungary, Iran và Li-băng.
Tuy nhiên, hiện tại các chuyên gia bảo mật chưa biết chắc rằng đây chỉ là những mục tiêu duy nhất được nhắm đến, hay chỉ mới là sự lây lan trong một khu vực ở Trung Đông trước khi mã độc này lây lan rộng rãi ra toàn cầu.
Bao nhiêu người đã bị lây nhiễm Flame?
Như trên đã đề cập, có vẻ như Flame đang nhắm đến những mục tiêu nhất định, thay vì số lượng lây lan rầm rộ, nên hiện tại số người lây nhiễm Flame chưa lớn.
Có những mục đích chính trị đứng đằng sau sự lây nhiễm của Flame?
Kaspersky cho biết hiện có khoảng 300-400 người dùng các sản phẩm của hãng đã có thông báo về sự lây nhiễm Flame trên máy tính của họ. Tuy nhiên trên thực tế con số này có thể vượt quá 1.000 người trên toàn cầu. Phần lớn người bị nhiễm Flame đang sống tại Iran và Trung Đông, số ít còn lại ở Mỹ.
Tuy nhiên, điều này không có nghĩ rằng những người dùng còn lại "vô can" với Flame, đặc biệt khi đây được đánh giá là một sâu máy tính nguy hiểm và tinh vi.
Lời kết
Mặc dù Flame được xem là đại diện cho một cuộc tấn công gián điệp không gian mạng tinh vi, tuy nhiên các chuyên gia bảo mật không cho rằng đây là dấu hiệu của một cuộc chiến tranh mạng.
Trước Flame, nhiều quốc gia đã từng tiến hành các hoạt động gián điệp trên không gian mạng thông qua những loại sâu máy tính tinh vi, như sâu máy tính Stuxnet trước đây nhằm vào Iran và quốc gia này cáo buộc là có sự nhúng tay vào của các nước phương Tây, đặc biệt là Mỹ và Israel. Stuxnet được cho là thiết kế để phá hoại các chương trình hạt nhân của Iran sau khi các nỗ lực ngoại giao dần thất bại.
Tuy nhiên, ngược lại, đây cũng được xem là "tin tốt" với người dùng thông thường trên toàn thế giới, khi họ không phải là mục tiêu ưu tiên hàng đầu mà Flame nhắm vào, điều này đồng nghĩa với việc nguy cơ bị lây nhiễm Flame trên máy tính của họ thất hơn, nhưng không có nghĩa là nguy cơ này không hiện diện.
Phạm Thế Quang Huy