Lật tẩy mạng lưới virus gián điệp “Tháng Mười Đỏ” nhắm vào các cơ quan chính phủ & ngoại giao

Đó là một virus máy tính có tên Rocra - hay còn biết đến với biệt danh “Red October” - chuyên nhắm vào các cơ quan chính phủ và ngoại giao để ăn cắp thông tin vừa được các nhà nghiên cứu tại Kaspersky Labs phát hiện sau nhiều tháng điều tra.

Sơ đồ các khu vực bị lây nhiễm virus Rocra.

Công bố ngày 14.1 của Kaspersky Labs cho thấy, Rocra là một loại virus cực kỳ nguy hiểm, có thể sánh ngang với “siêu virus” Flame từng một thời làm mưa làm gió trên mạng toàn cầu.

Điểm đáng chú ý là virus này nhắm mục tiêu chủ yếu vào các cơ quan chính phủ, ngoại giao của các quốc gia. Trong đó, đa phần là các quốc gia châu Âu, các nước thuộc Liên Xô cũ và khu vực Trung Đông. Mặc dù ít, nhưng Việt Nam vẫn có tên trong danh sách các nước bị nhiễm virus này.

Theo phân tích của Kaspersky, Rocra khởi động việc lây nhiễm vào máy tính nạn nhân thông qua 3 lỗ hổng bảo mật trong bộ ứng dụng văn phòng Microsoft Office gồm: VE-2009-3129 (MS Excel), CVE-2010-3333 và CVE-2012-0158 (MS Word).

Sau khi lây nhiễm, virus này sẽ tự liên lạc với máy chủ C&C (Command & Control) để nhận các lệnh điều khiển. Và để ẩn mình, việc liên hệ với máy chủ C&C được ngụy trang một cách tinh vi thông qua 2 lớp proxy trước khi kết nối đến máy chủ C&C thực thụ.

Mục tiêu của Rocra được xác định là thu thập tất cả mọi thông tin trên máy tính bị nhiễm, kể cả các tập tin có phần mở rộng .acid* - định dạng các tập tin đã được mã hóa Cryptofiler đang được Liên minh châu Âu và NATO sử dụng.

Một tính năng “chưa từng có” đã được tìm thấy ở virus này là nó thu thập dữ liệu trên ổ đĩa cứng, các thiết bị lưu trữ di động (như USB) ngay cả khi các tập tin này đã bị xóa. Trong trường hợp này, Rocra tiến hành một thủ tục tìm và cố gắng khôi phục các tập tin bị xóa. Sau khi đánh cắp dữ liệu, các tập tin này bị giấu đi nhằm che mắt người dùng. Chức năng này của Rocra được đánh giá là cực kỳ nguy hiểm và chưa hề có tiền lệ. Ngoài ra, virus này còn lây nhiễm để đánh cắp dữ liệu cả trên một số nền tảng di động phổ biến như iPhone, Windows Mobile và Nokia.

Theo Kaspersky, Rocra có thể đã âm thầm hoạt động từ năm 2007. Phần lớn các mẫu được tạo ra trong khoảng thời gian từ tháng 5.2010 – 10.2012. Mẫu mới nhất mà Kaspersky ghi nhận được tạo ra vào ngày 8.1.2013. Trong khoảng thời gian theo dõi (2.2012 – 10.1.2013), các nhà nghiên cứu đã ghi nhận được hơn 55.000 máy tính nạn nhân, nhưng chỉ đến từ 250 địa chỉ IP. Điều này cho thấy, có thể có nhiều máy tính trong cùng 1 tổ chức, doanh nghiệp đã bị nhiễm virus này.

Hiện các nhà phân tích vẫn chưa xác định các thông tin thu thập bởi Rocra sử dụng vào mục đích gì. Tuy nhiên, bên cạnh các tổ chức chính phủ và ngoại giao, virus này còn thu thập thông tin thuộc các lĩnh vực kinh doanh, dầu mỏ, năng lượng, vũ trụ và cả quân sự. Điều này cho thấy giá trị và mức độ “nhạy cảm” của những thông tin này là rất lớn và sẽ rất nguy hiểm nếu nó được sử dụng vào mục đích xấu.

Điểm đặc biệt là gần như tất cả các cường quốc như Mỹ, Nga, Nhật Bản, Australia, Pháp, Đức, Ý, Brazil, Ấn Độ đều bị ảnh hưởng, chỉ trừ 3 quốc gia Trung Quốc, Hàn Quốc và Anh. Kaspersky Lab cũng đưa ra thông tin thực tế rằng mã khai thác của mạng lưới này đã từng được sử dụng trong một đợt tấn công trước đó được xác định là có nguồn gốc tại Trung Quốc.

Chi tiết bản báo cáo của Kaspersky Lab có thể xem tại đâyđây.

(Theo Pandora.vn)

 

Tin mới

Các tin khác