Mã độc Duqu 2.0 sử dụng chứng thư số để thu thập thông tin

14:42 | 26/06/2015

Hãng bảo mật Kaspersky thông báo đã tìm thấy mã độc trong các thiết bị hội nghị truyền hình tại 3 khách sạn ở Châu âu, nơi sẽ diễn ra hội đàm hạt nhân của nhóm gồm 6 nước mạnh về hạt nhân Mỹ, Nga,Trung Quốc, Anh, Pháp và Đức – nhóm "P5+1".



Sau khi tiến hành phân tích, Kaspersky nhận thấy mã độc này sử dụng rất nhiều mã nguồn của mã độc Duqu và được gọi là Duqu 2.0, vốn bị nghi là do nhà nước Israel phát triển. Duqu được đặt tên xuất phát từ tiền tố “~DQ” của các tệp tin được tạo ra và sử dụng chứng thư số hợp pháp được đánh cắp từ hãng C-Media (Đài Loan). Nhiệm vụ của nó là thu thập thông tin để chuẩn bị cho các đợt tấn công trong tương lai. Cách thức hoạt động của nó rất giống Stuxnet.

Mã độc Duqu 2.0 sử dụng 3 lỗi bảo mật của Microsoft từng được công bố trước đây (chưa vá xong) để nhúng vào thiết bị viễn thông và thực hiện tấn công mà không để lại dấu vết. 

Ông Costin Raiu, Giám đốc Bộ phận Phân tích và nghiên cứu toàn cầu của Kaspersky cho biết, khách sạn đầu tiên phát hiện bị nhiễm Duqu 2.0 là nơi tổ chức những cuộc đàm phán hạt nhân giữa nhóm P5+1 và Iran. Không lâu sau đó, Kaspersky tiếp tục tìm thấy virus cùng loại trong mạng máy tính ở khách sạn thứ 2. Sau lần phát hiện mã độc này, Costin Raiu nhận định có mối liên quan chặt chẽ giữa khách sạn và những cuộc đàm phán hạt nhân với Iran diễn ra tại đây. Trong cả hai trường hợp, mạng máy tính khách sạn bị nhiễm virus khoảng 2 đến 3 tuần trước khi diễn ra những cuộc đàm phán.

Cuộc truy lùng mã độc của Kaspersky tiếp tục phát hiện thêm khách sạn thứ 3, cũng là nơi tổ chức đàm phán hạt nhân với Iran. Mặc dù khách sạn này được phát hiện cuối cùng song có khả năng đã bị nhiễm Duqu 2.0 đầu tiên, khoảng cuối năm 2014. Kaspersky từ chối tiết lộ tên của 3 khách sạn nạn nhân của Duqu 2.0.

Mã độc Duqu 2.0 bao gồm hơn 100 môđun riêng biệt giúp hacker chiếm quyền điều khiển các máy tính bị lây nhiễm. Các môđun thực hiện các chức năng riêng biệt như: module nén các tập tin video từ hệ thống camera an ninh trong khách sạn; môđun theo dõi các cuộc giao tiếp từ điện thoại đến các mạng Wifi… Điều này giúp cho những kẻ tấn công biết rõ những người nào kết nối với các hệ thống bị nhiễm, cho phép nghe lén những cuộc điện đàm và đánh cắp hồ sơ điện tử. Virus cũng giúp nhóm hacker được cho là của Israel điều khiển các microphone 2 chiều trong các mạng thang máy, máy tính và báo động của khách sạn.

Ngoài ra, có khả năng mạng máy tính tại bàn tiếp tân của các khách sạn cũng bị xâm nhập để đánh cắp thông tin về số phòng lưu trú của thành viên các phái đoàn đàm phán hạt nhân. Duqu 2.0 cũng được thiết kế tự động lưu lại những file do thám nhỏ hơn trong các máy tính để nhóm hacker có thể giám sát chúng và thu thập dữ liệu khi quay lại về sau.

Cục Điều tra liên bang Mỹ (FBI) đang xem xét báo cáo và chưa khẳng định về kết luận của Kaspersky Lab. Tuy vậy, Kaspersky đã thông báo cho hãng C-Media để tăng cường bảo mật.