Một số mã độc điển hình năm 2014

09:32 | 12/03/2015

Theo số liệu nghiên cứu của các chuyên gia bảo mật của Kaspersky đã có sự gia tăng đáng kể về số lượng mã độc trong năm 2014. Cụ thể lượng mã độc trong năm 2014 đã tăng gấp hơn 10 lần so với cả giai đoạn từ năm 2004 đến năm 2013 (295.539/200.000 phần mềm độc hại). Bài báo này điểm lại một số mã độc điển hình trong năm vừa qua.

Tháng 2/2014, chiến dịch tình báo mạng phức tạp gọi là “Careto” hay “The Mask” đã bị phát hiện. Các nạn nhân bị đánh cắp dữ liệu nhạy cảm bao gồm: các cơ quan chính phủ, các đại sứ quán, các công ty năng lượng, các tổ chức nghiên cứu, các nhà hoạt động chính trị - xã hội… của 31 quốc gia trên thế giới. Công cụ trong chiến dịch Careto là các mã độc dạng Trojan chứa cổng hậu phức tạp, có khả năng chặn tất cả các kênh truyền thông và đánh cắp các loại dữ liệu từ các máy tính bị nhiễm như là: các khóa mã, khóa SSH và một số loại tập tin được mã hóa bằng các công cụ đặc biệt. Các hệ điều hành bị ảnh hưởng gồm: Windows, Mac OS X, Linux, iOS và Android. Đứng sau cuộc tấn công Careto (đã hoạt động trong thế giới mạng từ năm 2007) là nhóm tội phạm mạng có tính chuyên nghiệp nên chiến dịch này được nghi là có nhà nước bảo trợ.

Tháng 3/2014, đã có ý kiến của nhiều chuyên gia bảo mật về chiến dịch tình báo mạng mang tên “Epic Turla”. Các nhà nghiên cứu tại G-DATA cho rằng, các phần mềm độc hại có thể đã được tạo ra bởi các dịch vụ đặc biệt của Nga; trong nghiên cứu của BAE Systems thì liên kết “Epic Turla” với phần mềm độc hại có tên là “Agent.btz” có từ năm 2007. Mã độc “Agent.btz” đã được sử dụng vào năm 2008 để lây nhiễm cho các máy tính trong các mạng quân sự nội bộ của Mỹ hoạt động ở Trung Đông. Trong chiến dịch Epic Turla, tội phạm mạng đã sử dụng các phần mềm độc hại (mã độc Epic Turla) ẩn trong các thiết bị USB để đánh cắp và dữ liệu trên các máy tính cô lập với Internet. Giống như mã độc “USB Stealer module” trong chiến dịch Tháng Mười Đỏ (Red Octorber), Gauss và miniFlame… mã độc Epic Turla sử dụng tệp “thumb.dd” để tìm kiếm và lấy cắp các dữ liệu trên ổ đĩa flash USB. Mã độc Epic Turla đã ảnh hưởng đến các phần mềm như: Adobe Acrobat Reader, Adobe Flash Player, Windows XP, Windows Server 2003, Java, Internet Explorer, Microsoft Security Essentials…. 

Tháng 5/2014, đã phát hiện được Trojan có tên là “Koler”. Mã độc này sử dụng phương pháp chặn truy cập của người dùng vào các thiết bị và yêu cầu thanh toán khoản tiền chuộc từ 100 đến 300 USD để mở khóa truy cập. Giống như đối với trường hợp mã độc Svpeng, máy tính bị nhiễm Trojan này hiển thị thông điệp giả danh cơ quan thực thi pháp luật. Mã độc này đã ảnh hưởng tới hơn 30 quốc gia trên toàn thế giới.

Tháng 6/2014, đã có báo cáo nghiên cứu về cuộc tấn công mang tên “Luuuk”. Cuộc tấn công này nhằm vào các khách hàng của một ngân hàng lớn ở châu Âu. Các chuyên gia cho rằng, tội phạm mạng đã sử dụng một Trojan thiết kế riêng cho lĩnh vực ngân hàng, áp dụng dạng tấn công “Man-in-the-Browser” để ăn cắp thông tin người dùng và mật khẩu sử dụng một lần (OTP). Tội phạm mạng sử dụng các thông tin đánh cắp được để kiểm tra số dư tài khoản và thực hiện các giao dịch ngân hàng tự động với danh nghĩa của nạn nhân. Cuộc tấn công này ảnh hưởng đến các nước gồm: Nga, Anh, Belarus, Ucraina, Lithuania, Georgia, Cyprus, Mỹ và Ấn Độ.



Tháng 7/2014, đã có phân tích chi tiết về một chiến dịch tấn công được gọi là “Craching Yeti” hay “Con Gấu Energetic”. Các nhà nghiên cứu từ CrowdStrike đã suy đoán tội phạm mạng xuất phát từ Nga. Chiến dịch này hoạt động bắt đầu từ cuối năm 2010 nhằm vào các lĩnh vực: công nghiệp, dược phẩm, xây dựng, giáo dục, công nghệ thông tin…. Tội phạm mạng đã sử dụng các loại phần mềm độc hại được thiết kế nhằm lây nhiễm cho hệ điều hành Windows để đánh cắp dữ liệu bí mật. Đã có hơn 2.800 nạn nhân trên toàn thế giới, trong đó có 101 nạn nhân được xác định là các tổ chức thuộc các nước như: Hoa Kỳ, Tây Ban Nha, Nhật Bản, Đức, Pháp, Ý, Thổ Nhĩ Kỳ, Ireland, Ba Lan và Trung Quốc.

Tháng 8/2014, đã có báo cáo của các chuyên gia về sự gia tăng trong hoạt động của mã độc Trojan điều khiển từ xa (Remote Administration Trojan Tools - RATs) đã xuất hiện từ đầu năm 2013 tại Syria, quốc gia điển hình của Trung Đông có các cuộc xung đột địa - chính trị, trong đó sử dụng các cuộc tấn công mạng. Qua theo dõi các máy chủ C&C, các chuyên gia phát hiện được các địa chỉ IP của tội phạm mạng xuất phát từ Syria, Nga, Lebanon, Mỹ và Brazil. Các mã độc đều chứa Trojan điều khiển từ xa, có tới 110 tập tin độc hại ở các dạng khác nhau.

Tháng 10/2014, mã độc “ZeroLocker” đã bị phát hiện. Mã độc này mã hóa gần như tất cả các tập tin (kích thước nhỏ hơn 20MB) trên máy tính của nạn nhân và cho thêm các phần mở rộng “.encrypt” vào các tập tin được mã hóa. Khi mã hóa các tập tin, tiện ích “Cipher.exe” cũng được kích hoạt để che phủ các dữ liệu trên ổ đĩa. Tội phạm mạng đứng sau ZeroLocker sẽ yêu cầu nạn nhân trả tiền để giải mã các tập tin. 

Tháng 11/2014, có bản phân tích của chuyên gia về tấn công APT đã hoạt động trong gần một thập kỷ, với tên là “Darkhotel”. Đầu tiên, tội phạm mạng sử dụng thư điện tử spear-phishing và khai thác lỗ hổng zero-day để thâm nhập vào các chi nhánh của các tổ chức. Tiếp đến, các phần mềm độc hại được lây lan thông qua các trang web chia sẻ tệp tin ngang cấp P2P (peer-to-peer). Sau đó, mã độc thực hiện đánh cắp dữ liệu bí mật từ các máy tính bị nhiễm của các nhà quản trị kinh doanh. 90% các nạn nhân của chiến dịch này đã được tìm thấy ở Nhật Bản, Nga, Trung Quốc, Đài Loan và Hồng Kông (Trung Quốc); các quốc gia có số ít nạn nhân hơn gồm: Đức, Mỹ, Indonesia, Ấn Độ và Ireland.

Tháng 12/2014, một mẫu bất thường từ các họ mã độc Destover đã bị phát hiện. Các trojan họ Destover đã được sử dụng trong các cuộc tấn công với quy mô rộng, được gọi là DarkSeoul, diễn ra hồi tháng 3/2013 và lại được tái sử dụng trong các cuộc tấn công vào hệ thống của Sony Pictures Entertainment (SPE) vào cuối tháng 11/2014. Các chuyên gia cũng cho biết, trojan Destover có liên kết chặt chẽ với các mã độc Shamoon đã xuất hiện trong các tấn công mạng từ năm 2012. Các mẫu mã độc không bình thường ở chỗ, nó được xác thực bởi các giấy chứng nhận vào ngày 05/12/2014 từ chính hãng Sony Pictures. 

Có thể đánh giá mã độc năm 2014 được tạo ra với chi phí lớn, phục vụ cho những cuộc tấn công mạng với các mục đích chính trị, xã hội và kinh tế. Điều nguy hiểm là, tiếp tục xu hướng kể từ năm 2013, tội phạm mạng tích cực sử dụng mạng Tor để che giấu nguồn mã độc, các hoạt động kinh doanh các phần mềm độc hại và các dữ liệu đánh cắp được.

Số liệu nghiên cứu cho thấy, đã có sự gia tăng đáng kể về số lượng mã độc trong những năm gần đây. Số lượng mã độc trong năm 2014 đã tăng gấp hơn 10 lần so với cả giai đoạn từ năm 2004 đến năm 2013 (295.539/200.000 phần mềm độc hại). 

Các nghiên cứu trong năm 2014 cũng chỉ ra rằng, nguồn lây lan mã độc bao gồm cả từ kẽ hở giữa lập trình ứng dụng và các giải pháp an ninh mạng, các thiết bị, ứng dụng lỗi thời không còn được các hãng sản xuất cung cấp bản vá.