GIT – Microsoft vừa phát hiện các máy tính mới bán tại Trung Quốc đã cài sẵn mã độc ẩn mình chờ lệnh xâm nhập máy tính người dùng, đánh cắp tài khoản ngân hàng và dữ liệu nhạy cảm, điều khiển máy tính tấn công web từ xa.

Dùng phần mềm lậu dễ bị nhiễm mã độc “cửa hậu”

Sự kiện này đã được tiết lộ trong các tài liệu tòa án niêm phong ngày 13-9 tại một tòa án liên bang ở Virginia (Hoa Kỳ). Các thông tin trong tài liệu mô tả về một chiến dịch của Microsoft chống lại tội phạm mạng đang nhắm vào hệ điều hành – mục tiêu tấn công lớn nhất của các loại virút. Trong đó, Microsoft đã phát hiện một loại mã cực độc mang tên Nitol.

“Cửa hậu” Trung Quốc

Tài liệu của Microsoft đã mô tả khả năng hoạt động của mã độc Nitol: “Ngay khi chúng tôi mở máy, nó bắt đầu dò tìm khắp Internet nhằm liên lạc với một máy tính khác”. Mức độ lây nhiễm đáng kinh ngạc, chỉ cần cắm ổ chứa Nitol vào máy lây nhiễm, nó sẽ tự nhân bản sang đó. Kế đến, ổ cắm vào bất kỳ máy tính nào khác, Nitol tiếp tục lây nhiễm nhanh chóng vào mục tiêu mới. Trong hồ sơ trình tòa án, Microsoft đã cung cấp vài ngàn mẫu mã độc Nitol gồm nhiều biến thể khác nhau.Các nhân viên trong nhóm điều tra của Microsoft tại Trung Quốc đã mua 20 máy tính mới từ các nhà bán lẻ và cho chúng kết nối Internet. Windows bản lậu được cài sẵn trên tất cả máy tính được mua và bốn trong số đó được “tặng thêm” mã độc cài sẵn. Một máy tính có Nitol được chú ý nhất vì mã độc này ngay lập tức thức giấc và hoạt động khi điều tra viên mở máy lần đầu tiên mà không cần bất cứ thao tác nào từ phía người dùng. Nitol có chức năng cài đặt các backdoor (“cửa hậu”) để tội phạm mạng có thể điều khiển máy tính từ xa thực hiện gửi thư rác, theo dõi người dùng máy tính, đánh cắp dữ liệu cá nhân hoặc tấn công các trang web trên mạng… Laptop chứa Nitol được sản xuất tại Công ty máy tính Hedy ở Quảng Châu, Trung Quốc.

Theo Microsoft, bất chấp khoảng cách địa lý, Nitol đã lây lan nhanh chóng trên nhiều máy tính tại Trung Quốc, Hoa Kỳ, Nga, Úc và Đức. Theo số lượng tăng dần, các máy tính lây nhiễm góp phần tạo ra mạng botnet Nitol (mạng máy tính “ma” chịu sự điều khiển từ xa của chủ nhân) – một công cụ hái ra tiền cho tội phạm mạng – có thể đe dọa bất cứ hệ thống máy tính nào trên thế giới khi chúng đạt đến số lượng vài trăm ngàn, vài triệu hoặc hơn các “máy tính ma” (máy tính bị lây nhiễm).

Trong quá trình điều tra, Microsoft còn phát hiện tất cả biến thể của Nitol trên các máy tính bị lây nhiễm đều luôn kết nối đến các máy chủ C&C (ra lệnh và điều khiển) liên quan đến tên miền 3322.org của một công ty Trung Quốc. Microsoft cáo buộc website này là trung tâm chính cho những hoạt động bất hợp pháp. Tên miền này là “ngôi nhà lớn” cho hoạt động của mã độc Nitol và hơn 560 loại mã độc khác, tạo thành kho lưu trữ các phần mềm “nhiễm mã độc” lớn nhất mà Microsoft chưa bao giờ gặp phải. Trước đó, các hãng bảo mật của Mỹ từng cảnh báo về việc tên miền 3322.org chiếm hơn 17% các giao dịch web độc hại của thế giới trong năm 2009. Năm 2008, Hãng bảo mật Kaspersky Lab (Nga) cũng đã công bố bản báo cáo bảo mật chỉ ra rằng 40% các chương trình phần mềm độc hại tại một thời điểm có kết nối đến 3322.org.

Ông David Anselmi, giám đốc cao cấp của bộ phận điều tra tội phạm máy tính Microsoft, chỉ ra sơ đồ phát tán mã độc Nitol – Ảnh: THOMPSON/AP

Máy tính VN có thể đã nhiễm

Hiểm họa “cửa hậu”Theo ông Võ Đỗ Thắng, máy tính khi bị “cửa hậu” có thể bị kiểm soát hoàn toàn từ bên ngoài, các hacker có thể xâm nhập trái phép máy tính của người sử dụng, theo dõi quá trình sử dụng máy tính của người dùng như lịch sử truy cập các trang web, có thể đánh cắp user/password của các giao dịch trên mạng, hoặc có thể biến máy tính trở thành công cụ để thực hiện phát tán botnet đến các máy tính khác…Những nguy hại này nếu xảy ra có thể dẫn đến hậu quả nghiêm trọng vì mọi hoạt động của người dùng bị kiểm soát, thông tin bị đánh cắp. Đặc biệt hơn, trong những trường hợp người dùng VN sử dụng máy tính để thực hiện mua bán trên mạng thì các thông tin như thẻ tín dụng, mật mã truy cập vào tài khoản ngân hàng… có thể bị hacker chiếm đoạt để đánh cắp tiền.

Theo số liệu từ Tổng cục Thống kê VN, trong tám tháng đầu năm nay mặt hàng điện tử, máy tính và linh kiện nhập khẩu có kim ngạch đạt 8 tỉ USD, tăng rất mạnh so với cùng kỳ năm trước, đến 88,7%. Mặt khác, Trung Quốc là thị trường lớn nhất của VN với kim ngạch nhập khẩu đạt 18,2 tỉ USD, tăng 17,9% so với cùng kỳ năm 2011. Điều này dễ dàng nhận thấy qua sự xuất hiện ồ ạt của máy tính xuất xứ từ Trung Quốc tại các cửa hàng bán lẻ ở VN.

Đại diện một nhà bán lẻ máy tính cho biết: hầu hết các thương hiệu máy tính đều có đặt hàng sản xuất tại Trung Quốc, các nhà phân phối tại VN cũng chủ yếu nhập hàng từ Trung Quốc về. Các sản phẩm máy tính có thể được cài đặt sẵn phần mềm hoặc chưa. Máy có cài đặt phần mềm bản quyền có giá bán cao hơn, tuy nhiên nhà bán lẻ không thể nào kiểm chứng bản quyền của phần mềm đã được cài đặt trong máy (!?).

Trong khi đó, theo tài liệu điều tra của Microsoft, nhiều nhà sản xuất máy tính không có thương hiệu và nhà bán lẻ kém uy tín đã không ngần ngại sử dụng những bản phần mềm lậu cài đặt sẵn lên các máy tính nhằm giảm giá thành. Người tiêu dùng sẽ không thể nào biết được sản phẩm mình vừa mới mua đã được cài sẵn mã độc với “cửa hậu” vô cùng nguy hiểm. Họ vô tình trở thành mục tiêu “rất thơm” cho tội phạm mạng.

Trao đổi với chúng tôi, ông Võ Đỗ Thắng, giám đốc Trung tâm đào tạo và an ninh mạng Athena, cho biết: “Đặc tính của botnet là khả năng lây lan và phát tán rất nhanh thông qua mạng Internet. Vì thế với sự phát hiện botnet và điều tra của các chuyên gia Microsoft, tôi tin rằng Nitol có thể đã có mặt tại VN”. Theo ông Thắng, Nitol này có thể tấn công người dùng VN bằng cách âm thầm mở các “cửa hậu” để tội phạm mạng từ xa có thể truy cập trái phép vào máy tính người sử dụng. Quá trình này diễn ra rất âm thầm nên đối với người dùng cuối không có kiến thức chuyên môn thì rất khó phát hiện.

Trước đây, Hãng bảo mật Kaspersky Lab đã có những khám phá chi tiết về các loại phần mềm gián điệp được cho là nguy hiểm nhất hiện nay như Flame, Madi – mã độc máy tính chuyên phục vụ những yêu cầu đánh cắp thông tin mật từ những hệ thống nhạy cảm gồm nhà máy hạt nhân, hệ thống máy tính của chính phủ. Ông Jimmy Low, chuyên gia bảo mật khu vực Đông Nam Á của Hãng bảo mật Kaspersky Lab, từng cảnh báo: “Do các trung tâm điều khiển của Flame (C&C server – máy chủ ra lệnh và điều khiển) được tìm thấy ở Trung Quốc và Ấn Độ – hai quốc gia lớn nhất nhì châu Á – nên tôi nghĩ rằng tội phạm mạng hoàn toàn có thể sử dụng các C&C server tương tự để tấn công các đối tượng ở VN hoặc Đông Nam Á nếu chúng muốn”.

Cách phòng chống “cửa hậu”Ông Võ Đỗ Thắng cho biết để ngăn ngừa việc bị xâm nhập từ “cửa hậu”, người dùng không nên truy cập vào các website hoặc không tải về và cài đặt các phần mềm trên mạng không rõ nguồn gốc. Song song đó, người dùng nên thường xuyên cập nhật chương trình chống virút, chương trình tường lửa (firewall) bảo vệ máy tính cá nhân và chương trình phát hiện các website có cài mã độc, phần mềm gián điệp như Mcafee SiteAdvisor… Chương trình này sẽ cảnh báo khi người dùng truy cập vào website có cài mã độc, phần mềm gián điệp, “cửa hậu”…, đồng thời ngăn chặn không cho truy cập tiếp để tránh cho máy tính bị lây nhiễm.Đối với mã độc Nitol, Microsoft cho biết hãng đã điều chỉnh lưu lượng truy cập Internet từ tên miền 3322.org vào một website đặc biệt. Từ đó, Microsoft sẽ tìm cách cảnh báo người dùng máy tính bị lây nhiễm cần cập nhật chương trình chống virút cũng như cách gỡ bỏ Nitol ra khỏi máy của họ. Hiện Microsoft đã ngăn chặn được 37 triệu kết nối mã độc từ tên miền 3322.org.
Hàng loạt trang báo của nhiều nước đăng tải vụ “mã độc” Nitol

2 tổ chức tin tặc lớn của Trung Quốc

Công ty an ninh mạng Symantec (Mỹ) vừa điểm mặt chỉ tên các tổ chức tin tặc Trung Quốc đã tấn công hàng loạt công ty Mỹ trong thời gian qua.

Google từ bỏ thị trường Trung Quốc sau các vụ tấn công trên mạng – Ảnh: CSmonitor

Theo báo Christian Science Monitor, Symantec cho biết  các tổ chức gián điệp mạng Trung Quốc có lượng thành viên lên đến hàng ngàn người chuyên thọc vòi vào các mạng máy tính Mỹ để hút những ý tưởng kinh doanh, thiết kế bí mật và các sản phẩm sở hữu trí tuệ khác.

Có khoảng 20 nhóm tin tặc như vậy, nhưng lớn nhất là hai nhóm Elderwood Gang và Comment Crew, chịu trách nhiệm 90% các vụ tấn công.

Nhóm Elderwood là thủ phạm đột nhập mạng máy tính của Tập đoàn công nghệ Google năm 2010, các công ty đường ống khí đốt, đánh cắp dữ liệu quốc phòng của Hãng Lockheed Martin.

Bằng cách cài mã độc vào email gửi vào nội bộ mạng của nạn nhân, nhóm này cũng tấn công các ngành vận tải, hàng không, năng lượng, sản xuất, điện tử, tài chính, phần mềm của Washington.

Nhóm thứ hai Comment Crew cũng có thành tích đáng nể với 72 nạn nhân là các công ty quốc phòng, Ủy ban Olympic quốc tế hay thậm chí cả Liên Hiệp Quốc. Comment Crew có địa chỉ được xác định tại Thượng Hải.

Các chuyên gia mạng Mỹ từ lâu đã cáo buộc Bắc Kinh tấn công tin tặc để đánh cắp sở hữu trí tuệ.

Chính quyền Washington mới đây cũng chính thức điều tra hai công ty Huwai và ZTE của Trung Quốc bị nghi hỗ trợ hoạt động gián điệp tại Mỹ.

ĐỨC THIỆN – THANH TRỰC ( tuoitre.vn )

‘Máy tính xuất xứ Trung Quốc ở VN có khả năng nhiễm mã độc’

Microsoft mới đây phát hiện một số PC của Trung Quốc chạy Windows lậu đã bị cài sẵn virus độc hại và đại diện Trung tâm ứng cứu khẩn cấp máy tính VNCERT đánh giá loại mã độc đó cũng xuất hiện ở Việt Nam.

Tuy nhiên, VNCERT cũng chỉ rõ rằng báo cáo của Microsoft chỉ nói tới việc các hệ thống bị nhiễm virus là do một số đại lý bán lẻ cài phần mềm lậu, chứ chưa đề cập tới chuyện các nhà sản xuất phần cứng có cố tình cài mã độc theo dõi người dùng nhằm phục vụ âm mưu nào đó khác hay không.

Bắt đầu từ tháng 8/2011, một nhóm nghiên cứu của Microsoft ở Trung Quốc đã tiến hành điều tra về hoạt động sử dụng phần mềm lậu ở nước này. Họ đã mua 20 máy tính mới (chưa mở hộp) của một công ty ở Quảng Đông và phát hiện tất cả các hệ thống đều được cài Windows không bản quyền. Bốn trong số đó chứa virus với các thể loại khác nhau, đáng chú ý nhất là sâu Nitol bởi nó được kích hoạt ngay khi người dùng mở máy lần đầu mà không đòi hỏi bất cứ thao tác nào khác.

Nitol lập tức tạo cổng hậu, dò tìm những máy tính khác thông qua kết nối Internet và qua thiết bị cắm ngoài (như ổ USB), nhân bản và lây nhiễm một cách nhanh chóng, tạo nên một mạng lưới máy tính ma (botnet) khổng lồ.

Với việc máy tính được phân phối ra nhiều nước, khoảng cách địa lý không còn là vấn đề. Microsoft đã phát hiện Nitol ở Trung Quốc, Nga, Australia và Đức. Trong khi đó, Trung tâm kỹ thuật của VNCERT đánh giá, nếu máy tính xuất xứ ở Trung Quốc được mua về các quốc gia khác gặp hiện tượng này thì Việt Nam sẽ không nằm ngoài khả năng đó bởi số lượng máy Trung Quốc ở Việt Nam khá nhiều, chưa kể tình trạng sử dụng Windows trái phép và các phần mềm lậu khác cũng thuộc hàng cao nhất thế giới.

Nitol-1-jpg-1347853668_480x0.jpg
Phần mềm lậu kèm virus có thể được cài sẵn trên các hệ thống máy tính mới toanh.

Microsoft đã báo cáo vụ việc lên tòa án liên bang ở Virginia (Mỹ). Trong hồ sơ cũng nhắc tới tên miền 3322.org do doanh nhân Trung Quốc Peng Yong đăng ký. Tập đoàn phần mềm Mỹ cho hay tên miền đó chứa tới hơn 500 loại mã độc khác nhau, bao gồm cả Nitol. Tên miền này từng bị một số công ty bảo mật cảnh báo trước đó, như 3322.org chiếm 17% các giao dịch web độc hại trên thế giới năm 2009.

Ông Peng cho hay ông không được báo trước về vụ kiện cũng như phủ nhận mọi cáo cuộc liên quan. Sự thật sẽ được tòa chứng minh, nhưng thông điệp mà Microsoft muốn cảnh báo là sự an toàn của người dùng Internet đang bị đe dọa vì sự lỏng lẻo trong nguồn cung ứng máy tính ở Trung Quốc. Để tăng lợi nhuận, một số nhà sản xuất và đại lý bán lẻ ít tên tuổi chọn cách cài phần mềm lậu, không có bản quyền vào trong máy để khiến giá bán rẻ hơn, thu hút được nhiều người mua máy hơn.

“Tội phạm công nghệ đang thay đổi cách họ tấn công người dùng”, Richard Boscovich, thành viên nhóm nghiên cứu của Microsoft cho hay. Có nghĩa, chúng đang lợi dụng sự thiếu chặt chẽ trong việc kiểm soát phần mềm không bản quyền để tìm kiếm nạn nhân ngay từ khi họ mua máy chứ không cần đợi tới lúc họ truy cập vào các trang web lừa đảo.

Tòa án Mỹ đã cho phép Microsoft thiết lập một mạng ảo để ngăn sự liên lạc giữa mã độc với máy chủ của 3322.org. Còn các chuyên gia bảo mật tại Việt Nam cho rằng để bảo vệ chính mình, người tiêu dùng nên thận trọng kiểm tra ngay từ khi mua máy để xem các chương trình cài sẵn đã có bản quyền chưa cũng như quét virus  phòng ngừa.

Châu An – VNExpress.net

Print Friendly

Comments

comments

Bài viết liên quan