29/01/2015, 00:00Hà Nội

Tìm thấy mối liên hệ giữa NSA, Regin và trình theo dõi thao tác bàn phím Qwerty

Các nhà nghiên cứu vừa tìm ra bằng chứng mới cho thấy chương trình máy tính nguy hiểm được phát hiện năm ngoái Regin, có chức năng giống hệt một loại mã độc đang được Cơ quan An ninh Quốc gia Hoa kỳ (NSA) và Liên minh Ngũ nhãn sử dụng.

Regin là một loại mã độc cấp cao và cực kỳ tinh vi, theo các nhà nghiên cứu, được viết ra bởi một tổ chức nhà nước nhắm vào các mục tiêu quốc tế trong đó có chính phủ, công ty tư nhân và các cá nhân từ năm 2008.

Regin được phát hiện lần đầu tiên tháng 11/2014 bởi các nhà nghiên cứu của Symantec và được đánh giá là phức tạp hơn cả Stuxnet và Duqu.

Mã độc từng được sử dụng để tấn công các mục tiêu tại Algeria, Afghanistan, Bỉ, Brazil, Fiji, Đức, Iran, Ấn Độ, Indonesia, Kiribati, Malaysia, Pakistan, Nga và Syria.

Qwerty là một chương trình theo dõi bàn phím độc hại được thiết kế để bẻ khóa và ghi lại hoạt động bàn phím một cách lén lút. Chương trình bị phát hiện đầu tháng 1/2015 khi tạp chí Der Spiegel đăng bài báo nêu chi tiết cách thức hoạt động của cuộc tấn công không gian mạng vào NSA theo tài liệu cung cấp từ Edward Snowden.

Qwerty được tích hợp trong các sản phẩm độc hại được NSA và các cơ quan tình báo khác trên toàn thế giới thuộc Liên minh Ngũ nhãn (Five Eyes Alliance) (Hoa Kỳ, Úc, Canada, New Zealand và Anh Quốc) sử dụng để nghe trộm và tiến hành các hành vi tấn công mạng vào các tổ chức này.

Sau khi nghiên cứu code của Qwerty, các chuyên gia phân tích của Kaspersky kết luận mã nguồn của trình theo dõi bàn phím có liên quan đến mã độc Regin, và các bên viết 2 mã độc này thực chất là một bên hoặc làm việc cùng nhau.

Hơn nữa, các nhà nghiên cứu cũng phát hiện thấy cả Qwerty và plug-in 50251 đều phụ thuộc vào một module khác của nền Regin mang hiệu 50225 nằm trong các hàm hooking trong nhân hệ điều hành (kernel hooking functions). Điều này cho thấy rõ ràng là Qwerty chỉ có thể hoạt động như một phần của nền tảng Regin.

Theo báo cáo của Der Spiegel, có khả năng Qwerty là một plug-in của khung mã độc đồng nhất có tên WARRIORPRIDE đang được tất cả các đối tác của Ngũ nhãn sử dụng. Mã độc có tuổi thọ vài năm và dường như đã bị thay thế.

Tuy nhiên, liên kết giữa Qwerty và Regin cho thấy nền tảng mã độc thực hiện tấn công mạng chính là WARRIORPRIDE.

Theo WhiteHat.vn

Tìm thấy mối liên hệ giữa NSA, Regin và trình theo dõi thao tác bàn phím Qwerty

Chủ đề khác