Phát hiện mã độc 'siêu nguy hiểm'

“Ngắm bắn” 4.500 websitesJoe Stewart – Giám đốc bộ phận nghiên cứu mã độc của SecureWorks – khẳng định: “Clampi là dòng mã độc ăn cắp thông tin chuyên nghiệp nhất mà tôi từng thấy. Rất hiếm có dòng mã độc nào có độ phức tạp cao và lây nhiễm rộng rãi như dòng mã độc này.”SecureWorks ước tính số lượng PC bị nhiễm Clampi nằm trong khoảng 100.000 đến hơn 1 triệu. Đây là dòng mã độc tấn công hệ điều hành Windows. “Hiện chúng tôi chưa có biện pháp hiệu quả nào để đếm chính xác số lượng...
Nội dung trích xuất từ tài liệu:
Phát hiện mã độc “siêu nguy hiểm” Phát hiện mã độc “siêu nguy hiểm”“Ngắm bắn” 4.500 websitesJoe Stewart – Giám đốc bộ phận nghiên cứu mã độc của SecureWorks – khẳngđịnh: “Clampi là dòng mã độc ăn cắp thông tin chuyên nghiệp nhất mà tôi từngthấy. Rất hiếm có dòng mã độc nào có độ phức tạp cao và lây nhiễm rộng rãi nhưdòng mã độc này.”SecureWorks ước tính số lượng PC bị nhiễm Clampi nằm trong khoảng 100.000đến hơn 1 triệu. Đây là dòng mã độc tấn công hệ điều hành Windows. “Hiệnchúng tôi chưa có biện pháp hiệu quả nào để đếm chính xác số lượng PC bịnhiễm”.Mục tiêu của Clampi là người dùng 4.500 trang web có sử dụng thông tin tài chínhcá nhân khác nhau như ngân hàng, môi giới chứng khoán, thẻ tín dụng, bảo hiểm,tìm việc làm, thương mại điện tử…Ông Steward khẳng định 4.500 là một con số “thực sự gây sốc”. “Có rất nhiều mãđộc ăn cắp thông tin tài chính cá nhân tồn tại trên mạng Internet nhưng thườngchúng chỉ nhắm đến khoảng 20 hoặc 30 website là cùng. Clampi nhắm tới 4.500trang web”.Tin tặc lây nhiễm Clampi vào PC người dùng bằng cách dụ họ mở một tệp tin đínhkèm theo email hoặc sử dụng các bộ công cụ tự động tấn công tích hợp đa mã tấncông lỗi hệ điều hành Windows.Khi đã lây nhiễm thành công vào PC, Clampi sẽ theo dõi sát sao quá trình duyệtweb của người. Nếu người dùng truy cập vào một trong số 4.500 trang web nhưnói trên thì Clampi sẽ ngay lập tức ghi lại thông tin tài khoản, tên đăng nhập, mãPIN và những thông tin cá nhân khác.Clampi sẽ chuyển mọi thông tin mà nó ăn cắp về một máy chủ của tin tặc. Nhữngkẻ này sau đó sẽ sử dụng những thông tin đó để ăn cắp hết tiền trong tài khoản củangười dùng, sử dụng thông tin thẻ tín dụng để mua hàng hoặc đơn giản chỉ là giữ ởđó khi cần có thể lôi ra sử dụng.…độc hạiThực sự nếu chỉ nhìn vào những đặc tính như trên thì Clampi cũng giống như hầuhết các dòng mã độc “keylogger” hoặc phần mềm gián điệp (spyware) chứ chưathấy được sự độc hại và nguy hiểm thực sự của dòng mã độc này.Chuyên gia Stewart cho biết Clampi khác các dòng mã độc khác ở quy mô hoạtđộng và mã hóa bảo mật. Mã độc này sử dụng giải pháp mã hóa đa lớp và nhiềuthủ đoạn che giấu mã nguồn khác nhau khiến các chuyên gia nghiên cứu bảo mậtgần như không thể điều tra chi tiết được phương thức hoạt động của nó.“Ngay cả phương thức đóng gói mã nguồn mà những kẻ đã phát triển Clampi sửdụng cũng rất phức tạp, rất khó có thể đảo ngược mã nguồn (reverse engineer) đểnghiên cứu,” ông Stewart cho biết. “Tôi có thể nói rằng đây là loại mã độc khó bịđảo ngược mã nguồn nhất tôi từng gặp từ trước đến nay”.Cụ thể, ông Stewart cho biết những kẻ phát triển Clampi đã sử dụng các công cụđóng gói mã nguồn chạy trên nền máy ảo. Mọi thông tin phục vụ việc đóng góiđều được lấy từ tập lệnh chip vi xử lý trên máy ảo. Chính vì thế mà mỗi lần đónggói mã nguồn lại một lần sử dụng thông tin khác nhau. “Chúng ta không thể sửdụng những công cụ đảo mã truyền thống để làm việc được với Clampi”.Clampi mã hóa toàn bộ luồng dữ liệu di chuyển qua lại giữa PC bị lây nhiễm vàmáy chủ của tin tặc. Luồng dữ liệu này được mã hóa theo nhiều lớp khác nhau. Cụthể, luồng dữ liệu liên lạc mạng được mã hóa 448-bit. Không những thế mỗi dòngmã lệnh tấn công Clampi cũng được mã hóa bằng phương pháp độc lập.Để tránh bị phần mềm diệt mã độc phát hiện, Clampi giấu những mô-đun hoạtđộng trong những khóa Windows Registry được mã hóa cẩn thận.Quy mô hoạt độngQuy mô hoạt động của Clampi cũng khác hẳn với các dòng mã độc chuyên ăn cắpthông tin tài chính. “Clampi không chỉ nhắm mục tiêu đến các trang web ngânhàng mà cả những trang web mà người dùng cung cấp những thông tin cá nhân cóthể bị lợi dụng để ăn cắp tiền của họ,” ông Stewart cho biết.Trong số 4.500 trang web được nói đến trên đây có cả cổng thông tin quân sự,casino trực tuyến, quảng cáo, tin tức, thế chấp tín dụng… Những trang web nàyđược lưu trữ ở các máy chủ nằm ở hơn 70 quốc gia khác nhau.Không những thế nền tảng đằng sau hậu thuẫn cho sự hoạt động của Clampi cũngrất lớn. Không thể khẳng định chắc chắn nhưng những dấu hiệu cho thấy có vẻnhư những kẻ đứng đằng sau giật giây điều khiển Clampi ở một nơi nào đó ở Ngahoặc Đông Âu. ...