From:
Date: Sun, 16 Sep 2012 09:09:35 +0800
Subject: Máy tính xuất xứ Trung Quốc cài sẵn “mă
độc”
To:
Máy
tính xuất xứ Trung Quốc cài sẵn “mă độc”
TT
- Microsoft vừa phát hiện các máy tính mới bán tại
Trung Quốc đă cài sẵn mă độc ẩn ḿnh
chờ đợi lệnh xâm nhập máy tính người
dùng, đánh cắp tài khoản ngân hàng và dữ liệu
nhạy cảm, điều khiển máy tính tấn công web
từ xa.
|
|
|
Dùng phần mềm lậu dễ bị nhiễm
mă độc “cửa hậu” - Ảnh: Đức
Thiện |
Sự kiện này đă
được tiết lộ trong các tài liệu ṭa án niêm
phong ngày 13-9 tại một ṭa án liên bang ở Virginia (Hoa
Kỳ). Các thông tin trong tài liệu mô tả về một
chiến dịch của Microsoft chống lại tội
phạm mạng đang nhắm vào hệ điều hành
Windows - mục tiêu tấn công lớn nhất của các
loại virút. Trong đó, Microsoft đă phát hiện một
loại mă cực độc mang tên Nitol.
“Cửa hậu”
Trung Quốc
|
Các nhân viên trong nhóm điều tra của Microsoft tại Trung Quốc đă mua 20 máy tính mới từ các nhà bán lẻ và cho chúng kết nối Internet. Windows bản lậu được cài sẵn trên tất cả máy tính được mua và bốn trong số đó được “tặng thêm” mă độc cài sẵn. Một máy tính có Nitol được chú ư nhất v́ mă độc này ngay lập tức thức giấc và hoạt động khi điều tra viên mở máy lần đầu tiên mà không cần bất cứ thao tác nào từ phía người dùng. Nitol có chức năng cài đặt các backdoor (“cửa hậu”) để tội phạm mạng có thể điều khiển máy tính từ xa thực hiện gửi thư rác, theo dơi người dùng máy tính, đánh cắp dữ liệu cá nhân hoặc tấn công các trang web trên mạng... Laptop chứa Nitol được sản xuất tại Công ty máy tính Hedy ở Quảng Châu, Trung Quốc.
Tài liệu của Microsoft
đă mô tả khả năng hoạt động của mă
độc Nitol: “Ngay khi chúng tôi mở máy, nó bắt
đầu ḍ t́m khắp Internet nhằm liên lạc với
một máy tính khác”. Mức độ lây nhiễm đáng
kinh ngạc, chỉ cần cắm ổ USB chứa Nitol vào
máy lây nhiễm, nó sẽ tự nhân bản sang đó. Kế
đến, ổ USB cắm vào bất kỳ máy tính nào khác,
Nitol tiếp tục lây nhiễm nhanh chóng vào mục tiêu
mới. Trong hồ sơ tŕnh ṭa án, Microsoft đă cung
cấp vài ngàn mẫu mă độc Nitol gồm nhiều
biến thể khác nhau.
Theo Microsoft, bất chấp
khoảng cách địa lư, Nitol đă lây lan nhanh chóng trên
nhiều máy tính tại Trung Quốc, Hoa Kỳ, Nga, Úc và
Đức. Theo số lượng tăng dần, các máy
tính lây nhiễm góp phần tạo ra mạng botnet Nitol
(mạng máy tính “ma” chịu sự điều khiển
từ xa của chủ nhân) - một công cụ hái ra
tiền cho tội phạm mạng - có thể đe dọa
bất cứ hệ thống máy tính nào trên thế giới
khi chúng đạt đến số lượng vài trăm
ngàn, vài triệu hoặc hơn các “máy tính ma” (máy tính bị
lây nhiễm).
Trong quá tŕnh điều tra,
Microsoft c̣n phát hiện tất cả biến thể của
Nitol trên các máy tính bị lây nhiễm đều luôn kết
nối đến các máy chủ C&C (ra lệnh và
điều khiển) liên quan đến tên miền 3322.org của một công ty
Trung Quốc. Microsoft cáo buộc website này là trung tâm chính cho
những hoạt động bất hợp pháp. Tên miền
này là “ngôi nhà lớn” cho hoạt động của mă
độc Nitol và hơn 560 loại mă độc khác, tạo
thành kho lưu trữ các phần mềm “nhiễm mă
độc” lớn nhất mà Microsoft chưa bao giờ
gặp phải. Trước đó, các hăng bảo mật
của Mỹ từng cảnh báo về việc tên miền
3322.org chiếm hơn 17%
các giao dịch web độc hại của thế giới
trong năm 2009. Năm 2008, Hăng bảo mật Kaspersky Lab
(Nga) cũng đă công bố bản báo cáo bảo mật
chỉ ra rằng 40% các chương tŕnh phần mềm
độc hại tại một thời điểm có
kết nối đến 3322.org.
|
|
|
Ông David Anselmi, giám đốc cao cấp của
bộ phận điều tra tội phạm máy tính
Microsoft, chỉ ra sơ đồ phát tán mă độc
Nitol - Ảnh: THOMPSON/AP |
Máy tính VN có
thể đă nhiễm
|
Hiểm họa “cửa hậu” Theo ông Vơ Đỗ Thắng, máy tính khi
bị “cửa hậu” có thể bị kiểm soát hoàn
toàn từ bên ngoài, các hacker có thể xâm nhập trái phép máy
tính của người sử dụng, theo dơi quá tŕnh
sử dụng máy tính của người dùng như
lịch sử truy cập các trang web, có thể đánh
cắp user/password của các giao dịch trên mạng,
hoặc có thể biến máy tính trở thành công cụ
để thực hiện phát tán botnet đến các máy
tính khác... Những nguy hại này nếu xảy ra có
thể dẫn đến hậu quả nghiêm trọng v́
mọi hoạt động của người dùng bị
kiểm soát, thông tin bị đánh cắp. Đặc
biệt hơn, trong những trường hợp
người dùng VN sử dụng máy tính để
thực hiện mua bán trên mạng th́ các thông tin như
thẻ tín dụng, mật mă truy cập vào tài khoản
ngân hàng... có thể bị hacker chiếm đoạt
để đánh cắp tiền. |
Theo số liệu từ Tổng cục Thống kê VN, trong tám tháng đầu năm nay mặt hàng điện tử, máy tính và linh kiện nhập khẩu có kim ngạch đạt 8 tỉ USD, tăng rất mạnh so với cùng kỳ năm trước, đến 88,7%. Mặt khác, Trung Quốc là thị trường lớn nhất của VN với kim ngạch nhập khẩu đạt 18,2 tỉ USD, tăng 17,9% so với cùng kỳ năm 2011. Điều này dễ dàng nhận thấy qua sự xuất hiện ồ ạt của máy tính xuất xứ từ Trung Quốc tại các cửa hàng bán lẻ ở VN.
Đại diện một nhà
bán lẻ máy tính cho biết: hầu hết các thương
hiệu máy tính đều có đặt hàng sản xuất
tại Trung Quốc, các nhà phân phối tại VN cũng
chủ yếu nhập hàng từ Trung Quốc về. Các
sản phẩm máy tính có thể được cài
đặt sẵn phần mềm hoặc chưa. Máy có cài
đặt phần mềm bản quyền có giá bán cao
hơn, tuy nhiên nhà bán lẻ không thể nào kiểm chứng
bản quyền của phần mềm đă
được cài đặt trong máy (!?).
Trong khi đó, theo tài liệu
điều tra của Microsoft, nhiều nhà sản xuất
máy tính không có thương hiệu và nhà bán lẻ kém uy tín
đă không ngần ngại sử dụng những bản
phần mềm lậu cài đặt sẵn lên các máy tính
nhằm giảm giá thành. Người tiêu dùng sẽ không
thể nào biết được sản phẩm ḿnh
vừa mới mua đă được cài sẵn mă
độc với “cửa hậu” vô cùng nguy hiểm.
Họ vô t́nh trở thành mục tiêu “rất thơm” cho
tội phạm mạng.
Trao đổi với chúng
tôi, ông Vơ Đỗ Thắng, giám đốc Trung tâm đào
tạo và an ninh mạng Athena, cho biết: “Đặc tính
của botnet là khả năng lây lan và phát tán rất nhanh
thông qua mạng Internet. V́ thế với sự phát hiện
botnet và điều tra của các chuyên gia Microsoft, tôi tin
rằng Nitol có thể đă có mặt tại VN”. Theo ông
Thắng, Nitol này có thể tấn công người dùng VN
bằng cách âm thầm mở các “cửa hậu” để
tội phạm mạng từ xa có thể truy cập trái
phép vào máy tính người sử dụng. Quá tŕnh này
diễn ra rất âm thầm nên đối với
người dùng cuối không có kiến thức chuyên môn th́
rất khó phát hiện.
Trước đây, Hăng
bảo mật Kaspersky Lab đă có những khám phá chi
tiết về các loại phần mềm gián điệp
được cho là nguy hiểm nhất hiện nay như
Flame, Madi - mă độc máy tính chuyên phục vụ những
yêu cầu đánh cắp thông tin mật từ những
hệ thống nhạy cảm gồm nhà máy hạt nhân,
hệ thống máy tính của chính phủ. Ông Jimmy Low, chuyên
gia bảo mật khu vực Đông Nam Á của Hăng bảo
mật Kaspersky Lab, từng cảnh báo: “Do các trung tâm
điều khiển của Flame (C&C server - máy chủ ra
lệnh và điều khiển) được t́m thấy
ở Trung Quốc và Ấn Độ - hai quốc gia
lớn nhất nh́ châu Á - nên tôi nghĩ rằng tội
phạm mạng hoàn toàn có thể sử dụng các C&C
server tương tự để tấn công các đối
tượng ở VN hoặc Đông Nam Á nếu chúng
muốn”.
|
Cách pḥng chống “cửa hậu” Ông Vơ Đỗ Thắng cho biết
để ngăn ngừa việc bị xâm nhập
từ “cửa hậu”, người dùng không nên truy
cập vào các website hoặc không tải về và cài
đặt các phần mềm trên mạng không rơ nguồn
gốc. Song song đó, người dùng nên thường
xuyên cập nhật chương tŕnh chống virút,
chương tŕnh tường lửa (firewall) bảo
vệ máy tính cá nhân và chương tŕnh phát hiện các
website có cài mă độc, phần mềm gián điệp
như Mcafee SiteAdvisor... Chương tŕnh này sẽ cảnh
báo khi người dùng truy cập vào website có cài mă
độc, phần mềm gián điệp, “cửa
hậu”..., đồng thời ngăn chặn không cho truy
cập tiếp để tránh cho máy tính bị lây
nhiễm. Đối với mă độc Nitol,
Microsoft cho biết hăng đă điều chỉnh lưu
lượng truy cập Internet từ tên miền 3322.org vào một website
đặc biệt. Từ đó, Microsoft sẽ t́m cách
cảnh báo người dùng máy tính bị lây nhiễm
cần cập nhật chương tŕnh chống virút
cũng như cách gỡ bỏ Nitol ra khỏi máy của
họ. Hiện Microsoft đă ngăn chặn
được 37 triệu kết nối mă độc
từ tên miền 3322.org. |
|
|
|
|
|
|
|
Hàng loạt trang báo của nhiều
nước đăng tải vụ “mă độc” Nitol |
