Mã độc gián điệp máy tính: “Chiến dịch đỏ” tấn công toàn cầu

"Chiến dịch Đỏ" tấn công tổng cộng 69 quốc gia ngoài khu vực Đông Âu và châu Á, các nạn nhân khác còn bao gồm: Mỹ, Australia, Ireland, Thụy Sĩ, Bỉ, Brazil, Tây Ban Nha, Nam Phi, Nhật Bản và Các Tiểu vương quốc Arập thống nhất (UAE). Kaspersky chỉ tiết lộ các nạn nhân là các cơ quan chính quyền, đại sứ quán và các viện liên quan đến nghiên cứu hạt nhân và năng lượng, các công ty trong lĩnh vực khai thác dầu khí và ngành hàng không.

Vitaly Kamlyuk, chuyên gia chống virus của Kaspersky, giải thích trong cuộc phỏng vấn hôm 14/1 vừa qua: "Chúng tôi gọi virus là “Tháng 10 Đỏ” bởi vì nó được chúng tôi phát hiện vào tháng 10 và cũng do mã độc đòi hỏi phải có sự chú tâm nghiên cứu ở cấp độ báo động đỏ để xử lý".

Nhóm Nghiên cứu và Phân tích toàn cầu của công ty bảo mật máy tính hàng đầu thế giới Kaspersky - được thành lập vào năm 1997, với đội ngũ chuyên gia gồm 2.300 người - tiết lộ trong báo cáo ngày 14/1 vừa qua: "Mục đích chính của “Chiến dịch Đỏ” là thu thập thông tin mật và tình báo địa chính trị trên quy mô rất rộng. Trong vòng 5 năm qua, bọn hacker nỗ lực gom góp thông tin từ hàng trăm nạn nhân, và hiện chưa biết các thông tin này được sử dụng vào mục đích gì".

Nhóm hacker - được tin là những người nói tiếng Nga - thành lập một cơ sở hạ tầng quy mô và hết sức phức tạp gồm một chuỗi ít nhất 60 máy chủ kiểm soát - truyền lệnh cạnh tranh với cơ sở hạ tầng khổng lồ của các nhóm hacker (do nhà nước điều khiển) đằng sau mã độc Flame mà Kaspersky phát hiện vào năm 2011.

Không có dấu hiệu nào cho thấy “Tháng 10 Đỏ” là sản phẩm của một quốc gia nào đó, mà đúng ra nó là cuộc tấn công của bọn tội phạm mạng hay các điệp viên tự do tìm kiếm thông tin tình báo có giá trị để bán cho các chính quyền hay tổ chức trên thị trường đen - theo giải thích của Costin Raiu, chuyên gia an ninh mạng dày dạn kinh nghiệm của Kaspersky. Theo đánh giá của Kaspersky, tổ chức tội phạm tạo ra mã độc “Tháng 10 Đỏ” chắc hẳn đủ lớn để có khả năng sử dụng ít nhất 20 nhà lập trình giỏi.

Chuyên gia chống virus Vitaly Kamlyuk đang làm việc trong Công ty Kaspersky Lab ở Moskva.

Mã độc mà bọn hacker sử dụng có các module tinh vi và tùy biến theo mỗi nạn nhân khác nhau. Constin Raiu cho biết vào tháng 10/2012, một số khách hàng yêu cầu công ty của ông nghiên cứu một chiến dịch "spear-phishing" và một file độc hại đính kèm. Cuộc điều tra sau đó dẫn đến việc các chuyên gia Kaspersky phát hiện hơn 1.000 module độc hại được bọn hacker sử dụng trong “Tháng 10 Đỏ” kéo dài 5 năm của chúng.

"Spear-fishing" là hình thức tấn công tương tự như fishing lừa đảo trực tuyến nhằm thu thập thông tin cá nhân nhưng có điều khác là các nạn nhân được chọn lọc có chủ đích rõ ràng. Mỗi module được thiết kế riêng để thực hiện các nhiệm vụ khác nhau - đánh cắp mật khẩu, lịch sử duyệt web (trên các trình duyệt phổ biến như Google Chrome, Mozilla, Firefox, Internet Explorer và Opera), sao chép các thao tác trên bàn phím, chụp màn hình, lấy cắp dữ liệu từ thiết bị mạng Cisco, đánh cắp e-mail từ kho dữ liệu Outlook hay các máy chủ POP/IMAP từ xa và thu thập thông tin về phần cứng lẫn phần mềm của các máy tính bị nhiễm mã độc.

Một module được thiết kế để đánh cắp các file từ thiết bị di động USB kết nối với một máy tính bị nhiễm sử dụng chương trình tìm và phục hồi các file bị xóa trong USB. Một module di động riêng biệt khác bắt đầu hoạt động dò tìm và đánh cắp danh sách giao tiếp, nội dung tin nhắn SMS, các cuộc gọi và lịch sử duyệt web, thông tin niên lịch và mọi thông tin khác chứa trong điện thoại thông minh - iPhone, Nokia hay Windows phone - khi một nạn nhân vô tình kết nối thiết bị này với máy tính bị nhiễm mã độc "Chiến dịch Đỏ".

Mã độc Rocra hay "Tháng 10 Đỏ".

Tương tự như virus Flame đã bị Kaspersky tiêu diệt năm 2011, “Tháng 10 Đỏ” xâm nhập các máy tính thông qua một e-mail đính kèm giả vờ như một thông báo quảng cáo. Kaspersky nêu ví dụ: "Một đại sứ quán đang tìm mua một chiếc ôtô và vô tình bị nhiễm virus ẩn trong quảng cáo bán xe xuất hiện trong inbox (hộp thư đến) của cơ quan".

Chuyên gia Kamlyuk cho biết, bằng chứng kỹ thuật về “Tháng 10 Đỏ” được thiết lập vào tháng 5/2007. Chương trình gián điệp nằm ẩn trong các tài liệu Microsoft Excel và Word giống như trường hợp từng được các hacker người Trung Quốc sử dụng để chống lại các công ty châu Á và các nhà hoạt động chính trị Tây Tạng.

“Tháng 10 Đỏ” nguy hiểm ở chỗ nó có thể ẩn trong các tập tin định dạng ".pdf", ".doc", ".docx", ".cvs" và đặc biệt là bất cứ tài liệu nào thuộc định dạng ".acid" để tái nhiễm máy tính nếu như bất cứ module độc nào bị các phần mềm diệt virus dò thấy và tiêu diệt. Các thông tin đánh cắp được bọn hacker mã hóa bằng Acid Cryptofiler - chương trình lập mã dữ liệu tin học được quân đội Pháp phát triển và sau đó được EU và NATO phê chuẩn sử dụng. Các dữ liệu đánh cắp được tải về máy chủ của bọn hacker bằng các module ".dll".

Sự bất ổn kéo dài hiện nay ở khu vực Trung Đông càng làm tăng mạnh thêm các chiến dịch gián điệp mạng và chiến tranh mạng. Ví dụ, từ cuối tháng 5/2012, Kaspersky thống kê được hơn 2.500 trường hợp bị lây nhiễm mã độc máy tính trong đó phần lớn diễn ra ở Trung Đông.

Theo đánh giá của Kaspersky, “Tháng 10 Đỏ” tinh vi hơn các chiến dịch gián điệp khác - như là Aurora (tấn công Google và hơn 20 công ty khác) hay Night Dragon (tấn công các công ty năng lượng) - trong những năm gần đây rất nhiều. Báo cáo của Kaspersky tuyên bố: "Nói chung, Aurora và Night Dragon sử dụng mã độc đơn giản hơn nhiều để đánh cắp thông tin mật. Bọn hacker khôn khéo giấu mình trong suốt hơn 5 năm và khéo léo tránh né được sự giám sát chặt chẽ của phần lớn các phần mềm diệt virus"