Trung Quốc bị cáo buộc đứng sau mã độc nguy hiểm mới

Mạng lưới phát tán mã độc vừa được các chuyên gia của hãng bảo mật danh tiếng Kaspersky Lab phát hiện ra. Các hacker đứng đằng sau mạng lưới này sử dụng một công cụ đánh cắp dữ liệu có tên gọi NetTraveler, một loại mã độc được thiết kế để đánh cắp dữ liệu nhạy cảm và các thông tin trên máy tính bị lây nhiễm.

Các hacker sử dụng loại mã độc này để đánh cắp tài liệu liên quan đến các chương trình thăm dò không gian, công nghệ nano, sản xuất năng lượng, y tế và thông tin liên lạc… của các tổ chức chính phủ, đại sự quán, trung tâm nghiên cứu, các nhà thầu quân sự và các mạng lưới của ngành công nghiệp năng lượng.

Theo dự đoán của các chuyên gia bảo mật thì loại mã độc này đã bắt đầu được phát tán từ năm 2004 và đến nay đã đánh cắp hơn 22GB dữ liệu từ máy tính bị nhiễm trên toàn cầu.

Các nhà nghiên cứu bảo mật của Kaspersky nhấn mạnh rằng NetTraveler là công cụ giống với loại mã độc được sử dụng để nhắm vào mục tiêu là các nhà hoạt động của Tây Tạng và Duy Ngô Nhĩ, 2 nhóm mục tiêu yêu thích của các hacker Trung Quốc.

Ngoài ra, trong báo cáo đầy đủ Kaspersky Lab cũng chỉ ra rằng có nhiều dấu hiệu cho thấy các hacker Trung Quốc đứng đằng sau loại mã độc này.

Các nhà nghiên cứu của Kaspersky kết luận rằng dựa trên các thông tin thu thập được, nhóm hacker đứng đằng sau NetTraveler gồm khoảng 50 thành viên, “hầu hết trong số đó nói tiếng Trung Quốc phổ thông, một số ít khác nói tiếng Anh”.

Trong khi đó, Claudio Guarnieri, một chuyên gia của hãng bảo mật Rapid7 cũng cho biết “có vẻ như loại mã độc này có nguồn gốc từ Trung Quốc”.

“Vẫn như cũ”, Guarnieri cho biết. “Mặc dù loại mã độc này không có sự đầu tư quá nhiều về kỹ thuật, tuy nhiên nó vẫn thực sự phát huy được hiệu quả”.

Trên thực tế, theo Guarnieri các tin tặc đứng đằng sau loại mã độc này chỉ lợi dụng các lỗ hổng nổi tiếng có sẵn và dễ dàng khai thác trên các hệ thống. Chiến thuật mà các hacker này sử dụng “rất cơ bản mà ai cũng có thể làm được”, theo như Guarnieri giải thích. “Thậm chí, các tin tặc này có thể hoạt động độc lập mà không cần sự trợ giúp của chính phủ đứng sau lưng”.

Loại mã độc này có cách thức lây nhiễm rất phổ biến, bằng cách tự nhúng mình vào những email lừa đảo, với các file dạng .doc của Microsoft Office bị nhúng mã độc. Tên của các tập tin có sự tùy chỉnh khác nhau, tùy thuộc vào mục tiêu của cuộc tấn công, chẳng hạn tập tin với tên “Báo cáo - Quốc phòng châu Á.doc” hay “Chuyến thăm của ngài Đạt-Lai Lạt-ma đến Thụy Sĩ.doc” hay “Chính sách quân đội an ninh mạng.doc”…. (tên của các file đã được dịch ra tiếng Việt).

Một khi những file bị nhiễm mã độc được mở ra, loại mã độc này sẽ tự động bí mật cài đặt lên máy tính của nạn nhân và bắt đầu thu thập toàn bộ các dạng dữ liệu, chẳng hạn file văn bản, bảng tính Excel và bí mật ghi lại hoạt động của người dùng. Loại mã độc này cũng cài đặt một cửa hậu lên máy tính của nạn nhân để “mở cửa” cho các loại mã độc khác xâm nhập.

Phần lớn các “nạn nhân” của NetTraveler nằm tại các quốc gia “lãng giềng” của Trung Quốc gồm Mông Cổ, Nga, Ấn Độ và Kazahstan… trong đó có nhiều nước ở khu vực Đông Nam Á cũng nằm trong danh sách “nạn nhân” như Thái Lan, Indonesia, Malaysia, Campuchia. Rất may Việt Nam chưa chịu sự ảnh hưởng của loại mã độc này.

Đáng chú ý, 6 trong số các mục tiêu nhắm đến của NetTraveler cũng là “nạn nhân” của Red October, loại mã độc được đánh giá là nguy hiểm nhất trong lịch sử cũng được phát hiện bởi Kaspersky vào tháng 1 vừa qua. Trung Quốc cũng được cho là tác giả của loại mã độc Red October, tuy nhiên hiện chưa có sự liên hệ nào giữa 2 loại mã độc này.

“NetTraveler được thiết kế cho các hoạt động phá hoại nhiều hơn so với Red October”, Kurrt Baumgartner, chuyên gia nghiên cứu cao cấp của Kaspersky cho biết. “Mặc dù chúng phát huy rất hiệu quả khả năng phá hoại của mình, tuy nhiên có vẻ như tác giả đứng đằng sau NetTraveler không đạt được trình độ kỹ thuật như đội ngũ đứng sau Red October”.

Các nhà nghiên cứu của Kaspersky đang có kế hoạch cảnh báo đến các nạn nhân bị nhiễm loại mã độc NetTraveler này đồng thời thông báo cho các nhà chức năng tại các nước để cung cấp thêm cho chọ thông tin về cuộc tấn công cũng như những dự đoán về tác hại của loại mã độc này.