Phát hiện mã độc nguy hiểm với những tính năng chưa từng có

(Dân trí) - Hãng bảo mật danh tiếng Kaspersky của Nga vừa phát hiện ra một loại mã độc nguy hiểm nhắm đến chính phủ nhiều nước nhằm đánh cắp các tài liệu mật, trong đó có những tính năng “độc” mà chưa từng xuất hiện trên bất kỳ loại mã độc nào khác từ trước đến nay.

Hãng bảo mật Kaspersky Labs cho biết loại mã độc này nhắm đến các cơ quan chính phủ tại nhiều nước, như các đại sứ quán, trung tâm nghiên cứu hạt nhân, các cơ quan dầu khí... Mã độc được thiết kế để đánh cắp mọi dữ liệu, bao gồm cả những dữ liệu đã được mã hóa và thậm chí có khả năng khôi phục và đánh cắp những dữ liệu đã bị xóa trên máy tính.

Kaspersky Labs đã gọi loại mã độc nguy hiểm này là Red Octorber, tên của một tàu ngầm trong cuốn tiểu thuyết của nhà văn Tom Clancy. Một chuyên gia bảo mật của Kaspersky Labs cho biết phát hiện của hãng bảo mật này là rất nghiêm trọng.

“Có vẻ như loại mã độc này đánh cắp tất cả mọi file bình thường trên máy tính nạn nhân, từ các tài liệu word, các file PDF và những dữ liệu khác mà người dùng không ngờ đến”, Giáo sư khoa học máy tính Alan Woodward của Trường đại học Surrey (Vương quốc Anh) nhận xét. “Có vẻ như chúng không bỏ qua cả những file đã được mã hóa”.

Theo thông tin từ Kaspersky Labs thì mục tiêu hàng đầu mà loại mã độc này nhắm đến là các quốc gia ở khu vực châu Âu, các nước thuộc Liên Xô cũ, các quốc gia ở Trung Đông. Một số ít các nạn nhân khác ở Úc, Mỹ, Nam Mỹ và khu vực Đông Nam Á.

Phạm vi ảnh hưởng của Red October tính cho đến thời điểm hiện tại
Phạm vi ảnh hưởng của Red October tính cho đến thời điểm hiện tại

“Mục tiêu chính của những kẻ tấn công là thu thập các tài liệu quan trọng và nhạy cảm của các tổ chức bị xâm nhập, trong đó bao gồm các tổ chức chính trị, các thông tin để truy cập vào hệ thống máy tính cũng như các thông tin cá nhân của người dùng”, Kaspersky Labs cho biết.

Trên thực tế, Kaspersky Labs đã phát hiện ra loại mã độc này từ tháng 10 năm ngoái, tuy nhiên hãng bảo mật này đã âm thầm theo dõi và phân tích chúng cho đến tận hôm nay mới công bố.

“Chúng tôi bắt đầu kiểm tra chúng và nhanh chóng phát hiện ra rằng đây là một chiến dịch tấn công có quy mô của tội phạm số”, Vitaly Kamluk, Giám đốc nghiên cứu của Kaspersky Labs chia sẻ. “Có vẻ như những thủ phạm đứng sau lựa chọn kỹ càng những mục tiêu mà chúng nhắm đến, chủ yếu là các cơ quan chính phủ và tổ chức có quy mô lớn”.

Những tính năng “độc” chưa từng có

Tương tự như những loại mã độc nguy hiểm khác đã từng bị phát hiện, Red October được xây dựng dưới dạng các module riêng biệt, mỗi module phụ trách những chức năng khác nhau.

“Trong đó có những module thực hiện thức năng khôi phục các dữ liệu đã bị xóa trên ổ cứng và thậm chí trên USB kết nối với máy tính”, Kamluk cho biết thêm. “Nó sẽ tự động phát hiện khi USB được kết nối vào máy tính, kiểm tra và cố gắng khôi phục những file đã bị xóa trên đó”.

Được biết đây là tính năng hết sức nguy hiểm mà chưa có loại mã độc nào được trang bị từ trước đến nay. Đặc biệt, sau khi khôi phục các file đã bị xóa, những file này sẽ bị ẩn đi trên hệ thống để người dùng không hay biết hoặc nhận ra sự thay đổi nào.

Ngoài ra, một vài module khác của loại mã độc này được thiết kế để nhắm đến những file đã được mã hóa bằng phương thức Cryptofiler, một phương thức mã hóa từng được sử dụng rộng rãi bởi các cơ quan tình báo, nhưng giờ đã ít phổ biến hơn.

Mặc dù phương thức mã hóa Cryptofiler ít được sử dụng ngày nay, tuy nhiên nhiều tổ chức lớn, trong đó bao gồm cả NATO vẫn đang sử dụng phương thức này để bảo vệ những thông tin riêng tư và quan trọng trên hệ thống của mình.

Red Octorber sau khi đánh cắp những dữ liệu bị mã hóa bởi Cryptofiler có thể gợi ý các phương thức để hacker có thể bẻ khóa những file này.

Cũng như những loại mã độc khác đã từng bị phát hiện trước đây, các chuyên gia bảo mật cũng đã có thể tìm được những dấu vết để lại trên loại mã độc này. Theo Kaspersky Labs, có nhiều khả năng loại mã độc này được phát tác bởi những hacker người Nga. 

Kaspersky Labs cũng cho biết cũng đã phát hiện ra 55 ngàn máy tính nạn nhân nhưng sử dụng chung trong phạm vi 250 địa chỉ IP, điều này có nhiều khả năng số lượng lớn máy tính trong cùng một hệ thống đã bị lây nhiễm loại mã độc này. Rất có thể đó là những máy tính trong cùng một tổ chức chính phủ hoặc các doanh nghiệp lớn.

Kaspersky Labs thừa nhận có thể còn rất nhiều máy tính bị lây nhiễm loại mã độc nguy hiểm này nhưng hiện họ vẫn chưa thể phát hiện ra.

Phạm Thế Quang Huy