VnReview
Hà Nội

Giải mã virus Flame

Tuần trước, nhiều nhóm nhân viên quốc hội Mĩ tập hợp tại các phòng họp ở thủ đô. Họ đến để nghe một vị đại diện từ Symantec nói về toàn cảnh các mối đe dọa hiện tại trong không gian ảo.

Giải mã Flame

Theo tường thuật của CNN, đây là sự kiện hàng năm đối người khổng lồ trong ngành phần mềm bảo mật, một sự kiện mà tại đó những nhân viên được được thông tin ngắn gọn về các mối đe dọa hiện hữu và đang nổi lên. Đến lượt mình, họ sẽ tóm lược trước những nhà làm luật là những người tìm cách theo sát cuộc chiến trong thế giới ảo.

Giống như những gì bạn mong; đợi trong một buổi trao đổi nhanh về an ninh mạng, có rất nhiều số liệu đưa ra: tỉ lệ số lượng các cuộc tấn công của malware tăng 81%, 5,5 tỉ các cuộc tấn công bị chặn đứng trên toàn thế giới và khoảng 403 triệu malware đặc biệt (nhiều trong số đó là biến thể của cùng loại tấn công tự động phát sinh) nhắm vào người dùng máy tính khắp thế giới.

Nhiều mối de dọa này quen thuộc với Symantec và đó là một lí do lớn khiến họ trở thành một công ty mạnh trong ngành công nghiệp bảo mật. Bảo vệ chống lại những virus cũ và phát hiện ra những loại mới là cách mà họ kiếm tiền. Việc làm ăn rõ ràng là tốt, với khoảng 200.000 malware được gửi đến để phân tích kĩ hơn trong mỗi tuần.

Đó là một trong những lí do mà công ty cho các nhân viên bám trụ 24 giờ mỗi ngày, 7 ngày trong tuần. Quả thật, một nhân viên trực cuối tuần đã may mắn khi anh ta bắt được ngọn gió đầu tiên của một nguy cơ mới vào ngày Memorial Day vừa rồi. Đó là malware mới do một nhà nghiên cứu Hung-ga-ri gửi đến, một đồng nghiệp đáng tin cậy, nên phải xem xét ở mức kĩ lưỡng cao nhất và những gì mà nhà nghiên cứu này thấy làm ông kinh ngạc.

Kevin Haley, giám đốc bộ phận phản ứng an ninh mạng của Symantec, người đã cảnh báo trong ngày nghỉ lễ cuối tuần vừa rồi rằng virus này khác, rất khác so với bất cứ điều gì mà công ty từng biết đến, cho biết: "Điều đầu tiên là kích thước của nó. Stuxnet thật sự độc đáo bởi vì kích thước của nó và loại này có kích thước lớn hơn Stuxnet 20 lần".

Loại virus mới phát hiện này, được gọi là "Flame" có khả năng kinh hồn khi theo dõi hộp thư đến, lưu hình ảnh trên màn hình thậm chí còn ghi lại các cuộc nói chuyện bằng âm thanh diễn ra gần máy tính. Ông Haley nói rằng nó có tất cả dấu hiệu rõ ràng của một nỗ lực mang tính quốc gia và các nhà nghiên cứu tại Symantec thâm nhập ngay vào phần mã, tìm kiếm các manh mối.

 "Khi bạn nhìn vào đó, rõ ràng là nó rất phức tạp, tinh vi. Nó đã cố gắng rất nhiều để làm cho mình trông có vẻ như là một chương trình thông thường. Ở đó có các mảnh được mã hóa và chúng có rất nhiều chức năng, cho nên chúng tôi thật sự bắt đầu thực hiện những điều tra nghiêm túc", Haley nói.

Những gì họ tìm thấy là một loạt các mô-đun. Toàn bộ virus được ghép lại với nhau như trò xếp hình LEGO, phần này được tạo ra trên phần kia. Những phần này thật sự có thể thêm vào các phần mềm gián điệp sau khi nó có mặt trong máy tính bị lây nhiễm, giúp cho người phát triển có thể tự do tung hoành.

Một ví dụ cụ thể là một mô-đun Bluetooth, vốn cho phép phần mềm gián điệp lan rộng ra các thiết bị khác. Đó mới chỉ là một trong 60 mô-đun được xác định trong tuần đầu tiên.

Cuộc săn lùng các manh mối khác được mong là sẽ mất vài tháng và các nhà nghiên cứu có thể sẽ vẫn không biết được ai đứng đằng sau virus này. Symantec nói rằng trong khi tác giả của những virus kiểu thế này hiếm khi để lại "dấu ấn" trong mã, họ đôi khi cũng cho vào vài thứ trông lạ lùng. Trong trường hợp này các nhà nghiên cứu đã tìm thấy nhiều tham khảo về một chuỗi gọi là "Jimmy".

Haley nói "Chúng tôi không biết đó có nghĩa là gì. Tuy nhiên, không bình thường khi tác giả malware để lại những thông điệp nhỏ như thế".

Những công ty an ninh mạng khác cũng nghiên cứu "Flame", tìm kiếm các đầu mối và chi tiết về nguồn gốc và các năng lực của nó.

Microsoft tuyên bố hồi cuối tuần rằng họ đã xác định một phần mã vốn đã để lại dấu hiệu theo một cách mà làm cho nó trông như thể nó có cùng nguồn gốc từ người khổng lồ phần mềm này.

Công ty này cũng cho biết thêm họ đã phát hành bản sửa lỗi virus, thông báo trong một khuyến cáo về an ninh rằng "phần đa số khách hàng không bị nguy cơ ảnh hưởng." Tuyên bố còn cho biết công ty đã làm các bước để chắc rằng những vấn đề dấu hiệu thế này sẽ không xảy ra nữa.

Symatec nói họ cũng đã có bản vá dành cho virus này. Đất nước Iran, mục tiêu chính của cuộc tấn công, tuyên bố họ cũng đã sửa lỗi. Nhưng theo Haley, người nói rằng nỗ lực để tìm ra mô-đun bổ sung sẽ tiếp tục trong vài tháng nữa, thì câu hỏi về ai đã khởi động "Flame" đầu tiên thì hơi khó trả lời.

"Đó là câu chuyện đang tiếp diễn đối với chúng tôi".

Nhưng quay trở lại cuộc họp ngắn tại đồi Capitol tuần trước. Hóa ra trong khi "Flame" đang là chủ đề chính không có nghĩa nó là điều nguy hiểm nhất đối với người dùng máy tính ở nhà. Vài cách tấn công cũ được ưa thích nhắm vào các máy tính dân dụng vẫn là cách hữu hiệu nhất. Theo Haley, đó là các quảng cáo pop-up cho bạn biết rằng máy tính của bạn đã bị lây nhiễm.

Haley cho biết "Hai cách phổ biến nhất là gửi đến bạn một thư điện tử với tập tin đính kèm và một phần tải xuống kèm theo hay dựa trên nền web vốn dẫn bạn đến website của malware". Các kẻ tấn công sau đó cố thuyết phục bạn mua các sản phẩm "an ninh" của chúng và "Bùm"! chúng bắt được bạn.

Một cách khác được ưa thích để bắt được bạn là thông qua các mạng xã hội. Những kẻ tấn công hiểu biết đến độ giờ đây chúng có thể lục lọi danh sách "bạn bè" của bạn và tạo ra các thư điện tử giống như do bạn gửi đi, nên có người bạn nào của bạn mà không bấm chuột vào đúng không?"Bùm". Thế là bạn bị lây nhiễm.

Đó không chính xác phải là sự bảo đảm ồn ào, nhưng nó mang đến cho các nhà làm luật một sự nắm bắt tốt hơn về cách mà mặt bằng không gian ảo trải rộng như thế nào trong những ngày này.

Công Anh

Chủ đề khác