Mấy ngày nay cộng đồng mạng trên toàn Thế giới
đang xôn xao về việc Kaspersky Lab phát hiện ra một siêu vi rút mới có
tên Flame (còn được biết đến với những tên gọi khác như Flamer,
sKyWIper, Skywiper) có sức mạnh lớn hơn nhiều so với sâu khét tiếng
Stuxnet và Duqu.
Theo
thông báo từ Kaspersky Lab ngày 28/5/2012, Flame – “vi rút phức tạp
nhất” – cấu tạo từ một gói các mô-đun mà khi được triển khai đầy đủ sẽ
chiếm dung lượng khoảng 20 MB. Với cấu tạo như vậy, siêu vi rút mới này
trở nên khó phân tích với các phần mềm diệt virus hiện nay. Kích thước
lớn giúp siêu vi rút mới này có thể mang hàng loạt các thư viện, ví dụ
như ZLib, libbz2, PPMD để nén các tập tin và sqlite3 để làm việc với
các cơ sở dữ liệu. Theo nhận định của nhiều chuyên gia, đây là các công
cụ để tổ chức, xây dựng một cuộc tấn công hiệu quả.
Tính năng của siêu vi rút Flame có thể được mở rộng
nhờ tải thêm các mô-đun bổ sung khác. Số lượng các mô-đun bổ sung có
thể lên tới 20.
Theo Kaspersky Lab, Flame
được dùng cho các cuộc tấn công có mục tiêu. Xét mọi khía cạnh, Flame
này có nhiệm vụ làm gián điệp. Sau khi thâm nhập vào hệ thống, Flame có
thể tiến hành một loạt các hoạt động ngầm, ví dụ như chiếm lưu lượng
mạng, chụp ảnh màn hình, ghi âm các cuộc nói chuyện trực tuyến, theo
dõi các thao tác bàn phím, … Tất cả các dữ liệu bị đánh cắp sẽ được gửi
đến cho kẻ khai thác thông qua hàng loạt máy chủ.
Chính
vì mức độ nguy hiểm của siêu virus Flame này, Liên Hiệp Quốc sắp phát
đi một cảnh báo khẩn với lo ngại nó sẽ lây lan đến các quốc gia thành
viên.
Rất
nhiều hãng bảo mật hiện đang bắt tay vào nghiên cứu để tìm ra giải
pháp tiêu diệt siêu virus Flame mới này và BitDefender không phải là
một trường hợp ngoại lệ. Vừa qua, hãng bảo mật này đã cho ra mắt một
công cụ chuyên dụng mới, dùng để phát hiện và tiêu diệt siêu virus
Flamer này. Nếu bạn đang sử dụng một sản phẩm bảo mật của BitDefender
như Bitdefender Total Security 2012 hay Bitdefender Internet Security
2012 với bản cập nhật mới nhất, bạn sẽ không cần phải sử dụng công cụ
này
Tuy nhiên các bạn cũng nên lưu ý rằng, Bitdefender hiện vẫn chưa thực sự hiểu rõ hết về siêu virus máy tính này. Do đó không có gì đảm bảo rằng sau khi quét máy tính bằng công cụ diệt siêu vi rút Flame của Bitdefender này máy tính của bạn đã tuyệt đối an toàn. Malware đang ngày càng trở nên phức tạp. Không ai đoán biết được tương lai, có thể Flamer là một mối nguy hiểm tiềm ẩn, nó có thể ẩn náu đâu đó trong máy tính của bạn 1 – 2 năm rồi sau đó mới tấn công. Mọi chuyện đều có thể xảy ra!
Flame, loại sâu máy tính vừa được các chuyên gia bảo mật phát hiện ra vào cuối tháng 5 vừa qua mà hãng bảo mật danh tiếng Kaspersky Lab đã gọi là “vũ khí công nghệ tinh vi nhất chưa từng có”. Vậy Flame đáng sợ đến mức nào? Cùng tìm hiểu qua bài viết sau.
Flame là loại sâu máy tính đã bị hãng bảo mật Kaspersky Lab phát hiện ra vào những ngày cuối tháng 5 vừa qua.
Flame có thể ẩn nấp trên các máy tính ít nhất trong vòng 5 năm, phần mềm độc hại này sẽ ăn cắp dữ liệu, nghe trộm các cuộc đàm thoại, chụp ảnh màn hình các phần mềm chat… khiến cho nó thực sự nguy hiểm với bất kỳ ai sử dụng máy tính và Internet.
Vậy Flame thực sự nguy hiểm đến mức nào và ai đứng đằng sau sâu máy tính nguy hiểm nhất trong lịch sử này? Với mục đích là gì? Cùng tìm hiểu qua bài viết sau đây.
Flame là gì và nguy hiểm đến mức nào?
Flame là một vũ khí công nghệ tấn công tinh vi, sẽ để lại một cửa sau (backdoor) hoặc Trojan trên máy tính của nạn nhân và có thể lây truyền chính nó trên hệ thống mạng nội bộ, tương tự như cách thức hoạt động của các loại sâu máy tính khác.
Flame có thể theo dõi thông tin kết nối Internet, chụp ảnh màn hình, ghi lại âm thanh các cuộc đàm thoại, bí mật ghi lại thông tin gõ trên bàn phím và thu thập thông tin về các thiết bị sử dụng Bluetooth ở gần thiết bị lây nhiễm Flame và biến máy tính của nạn nhân thành một thiết bị phát hiện Bluetooth.
Chưa dừng lại ở đó, các hacker còn có thể cập nhật các mô-đun để bổ sung thêm nhiều chức năng cho Flame ngay trên máy tính của nạn nhân. Hiện có khoảng 20 mô-đun khác nhau của sâu máy tính này đã bị phát hiện và các nhà nghiên cứu bảo mật đang tìm hiểu xem chức năng thực sự của các mô-đun này là gì.
Tên của loại phần mềm độc hại này (Flame) được đặt dựa theo tên của một mô-đun chính, thực hiện nhiệm vụ tấn công và phát tán trên nhiều máy tính. Hiện các nhà nghiên cứu bảo mật đã phát hiện ra nhiều biến thể của Flame và phát hiện ra chúng đang có kết nối với 80 máy chủ khác nhau.
“Flame là một khối kết cấu nhiều mô-đun. Về cơ bản mục tiêu sẽ bị lây nhiễm bằng các mô-đun chính và sau đó những kẻ tấn công sẽ tải lên các mô-đun phụ thực hiện các chức năng cần thiết”, Roel Schouwenberg, chuyên gia bảo mật của Kaspersky cho biết. “Chúng tôi cho rằng hiện vẫn chưa thể nắm rõ được có bao nhiêu mô-đun mà các hacker có thể sử dụng cho Flame”.
Kaspersky Lab dự đoán rằng Flame sử dụng một lỗ hổng bảo mật nghiêm trọng trên Windows để phát tán, tuy nhiên thông tin này chưa được Microsoft xác nhận.
Flame lây lan như thế nào?
Flame có thể lây lan thông qua ổ đĩa gắn ngoài như USB, ổ cứng di động, hệ thống mạng chia sẻ hoặc máy in được chia sẻ.. tuy nhiên, hiện các chuyên gia bảo mật vẫn chưa thể tìm ra nguồn gốc lây lan ban đầu của loại malware nguy hiểm này.
Flame đã xuất hiện trong bao lâu?
Trên thực tế, không phải đến tận tháng 5 năm nay, Flame mới được phát hiện, mà Kaspersky Lab cho biết những dấu hiệu xuất hiện Flame đã có từ năm 2010, thậm chí có những bằng chứng cho rằng Flame đã từng xuất hiện từ năm 2007 hoặc từ trước đó.
Tại sao Flame không bị phát hiện sớm hơn?
Theo đánh giá của các chuyên gia bảo mật, thì cho dù tác giả của Flame là ai thì thủ phạm đã cực kỳ nỗ lực để lập trình giúp cho sâu máy tính này có thể ẩn dấu và tránh bị phát hiện càng lâu càng tốt.
“Rõ ràng đây là một dự án hàng triệu đô được tài trợ bởi một chính phủ nào đó”, Schouwenberg, chuyên gia bảo mật của Kaspersky dự đoán.
Không giống với việc lây lan mạnh mẽ như các sâu máy tính nguy hiểm trước đây, có vẻ như Flame chỉ lây lan nhằm vào những mục tiêu cụ thể mà các hacker nhắm tới. Flame cho thấy sự bất thường về kích cỡ và sử dụng một ngôn ngữ lập trình không phổ biến, ngôn ngữ lập trình Lua, do đó, ban đầu Flame có vẻ như không có gì quá nguy hiểm.
“Tác giả của Flame đã thực sự tài tình trong việc che dấu sự hiện diện của nó”, Schouwenberg cho biết thêm. “Bởi vì Flame không sử dụng những công nghệ xâm nhập và ẩn dấu mà các loại sâu máy tính khác thường sử dụng, do vậy các phần mềm bảo mật không thể phát hiện ra. Để phát hiện ra Flame là một điều không dễ dàng gì”.
Ai là tác giả của Flame?
Hiện chưa rõ ai là tác giả cũng như ai là người chịu trách nhiệm phát tán loại mã độc này, tuy nhiên Kaspersky Lab tin rằng một chính phủ nào đó, hoặc một tổ chức được chính phủ tài trợ đằng sau chính là tác giả của Flame vì bản chất tiên tiến của sâu máy tính này.
Khi được hỏi liệu có phải Mỹ hay Israel đứng sau Flame, với mục tiêu chính trị nhắm vào Iran hay không, Schouwenberg cho biết không dám chắc điều này.
"Mặc dù Flame được lập trình và chú thích bằng tiếng Anh, không có nghĩa rằng một quốc gia nói tiếng Anh đứng đằng sau phần mềm độc hại này", Schouwenberg suy luận.
Trong khi đó, nhiều trang công nghệ trích dẫn "nguồn tin cao cấp của Israel" xác nhận rằng các chuyên gia công nghệ của Israel đã tạo ra Flame để "xâm nhập các may tính của các cá nhân cao cấp ở Iran, Palestin và nhiều nơi khác, bao gồm cả Israel, những người được cho là tham gia vào các hoạt động tình báo".
Mức độ lây nhiễm của Flame nghiêm trọng đến mức nào?
Các chuyên gia bảo mật của Kaspersky tin rằng có nhiều biến thể của Flame hơn số lượng hiện tại mà họ đang biết, đặc biệt là số mô-đun mà các hacker có thể sử dụng. Ngoài ra, Kaspersky cũng cho rằng có một đội ngũ nhân lực hùng hậu đứng đằng sau Flame để giúp nó ngày càng trở nên nguy hiểm hơn.
Hiện Flame đang sử dụng hơn 80 máy chủ để điều khiển và kết nối, cho thấy một nguồn tài nguyên "hùng hậu" đứng đằng sau sâu máy tính này.
Mục tiêu của Flame là những ai?
Theo Kaspersky thì tỷ lệ lây lan Flame cao nhất là ở Israel, Palestine, Sudan, Syria, Li-băng, Ả-rập Saudi và Ai Cập.
Trong khi đó, hãng bảo mật danh tiếng khác là Symantec lại cho rằng mục tiêu chính mà Flame nhắm đến là Bờ tây Palestine, Hungary, Iran và Li-băng.
Tuy nhiên, hiện tại các chuyên gia bảo mật chưa biết chắc rằng đây chỉ là những mục tiêu duy nhất được nhắm đến, hay chỉ mới là sự lây lan trong một khu vực ở Trung Đông trước khi mã độc này lây lan rộng rãi ra toàn cầu.
Bao nhiêu người đã bị lây nhiễm Flame?
Như trên đã đề cập, có vẻ như Flame đang nhắm đến những mục tiêu nhất định, thay vì số lượng lây lan rầm rộ, nên hiện tại số người lây nhiễm Flame chưa lớn.
Kaspersky cho biết hiện có khoảng 300-400 người dùng các sản phẩm của hãng đã có thông báo về sự lây nhiễm Flame trên máy tính của họ. Tuy nhiên trên thực tế con số này có thể vượt quá 1.000 người trên toàn cầu. Phần lớn người bị nhiễm Flame đang sống tại Iran và Trung Đông, số ít còn lại ở Mỹ.
Tuy nhiên, điều này không có nghĩ rằng những người dùng còn lại "vô can" với Flame, đặc biệt khi đây được đánh giá là một sâu máy tính nguy hiểm và tinh vi.
Lời kết
Mặc dù Flame được xem là đại diện cho một cuộc tấn công gián điệp không gian mạng tinh vi, tuy nhiên các chuyên gia bảo mật không cho rằng đây là dấu hiệu của một cuộc chiến tranh mạng.
Trước Flame, nhiều quốc gia đã từng tiến hành các hoạt động gián điệp trên không gian mạng thông qua những loại sâu máy tính tinh vi, như sâu máy tính Stuxnet trước đây nhằm vào Iran và quốc gia này cáo buộc là có sự nhúng tay vào của các nước phương Tây, đặc biệt là Mỹ và Israel. Stuxnet được cho là thiết kế để phá hoại các chương trình hạt nhân của Iran sau khi các nỗ lực ngoại giao dần thất bại.
Tuy nhiên, ngược lại, đây cũng được xem là "tin tốt" với người dùng thông thường trên toàn thế giới, khi họ không phải là mục tiêu ưu tiên hàng đầu mà Flame nhắm vào, điều này đồng nghĩa với việc nguy cơ bị lây nhiễm Flame trên máy tính của họ thất hơn, nhưng không có nghĩa là nguy cơ này không hiện diện.
Vừa qua cộng đồng mạng đã xôn xao về việc Kaspersky Lab phát hiện ra một loại siêu virus máy tính mới mang tên Flame hay Flamer. Sau vài ngày được phát hiện, hãng sản xuất phần mềm bảo mật Bitdefender đã cho ra mắt công cụ diệt siêu virus Flame này của mình.
Sau khi nhận được tin và mẫu siêu virus Flame mới này, rất nhiều hãng bảo mật đã bắt tay vào nghiên cứu để tìm ra phương pháp diệt siêu virus Flame này và trong đó có cả gã khổng lồ phần mềm Microsoft.
Cách đây vài giờ, gã khổng lồ phần mềm Microsoft đã cho phát hành một bản vá bảo mật có liên quan đến siêu virus Flamer này. Về cơ bản, bản vá này không giúp diệt siêu virus Flame cho các máy tính đã bị nhiễm mà chỉ vá lỗ hổng bảo mật mà siêu virus Flame này đã lợi dụng để xâm nhập vào hệ thống máy tính Windows.
Theo một phân tích của Microsoft, một số thành phần của siêu virus máy tính Flamer này đã được chứng thực cho phép phần mềm xuất hiện như là một sản phẩm của Microsoft. Rõ ràng đây là một lỗ hổng của Windows và Microsoft đã mau chóng vá nó bằng bản vá cập nhật bảo mật mà hãng vừa tung ra.
Cũng theo Microsoft, các nhà phát triển của Flame đã khai thác “một thuật toán mật mã cũ” để đăng ký các mã code như là của Microsoft”. Terminal Server Licensing Server cho phép khách hàng cấp quyền các dịch vụ máy tính để bàn từ xa, sử dụng thuật toán này.
Bản vá bảo mật nhậy có sẵn cho các phiên bản máy khách và máy chủ của Windows, từ Windows XP và Windows Server 2003 cho đến Windows 7 và Windows Server 2008 R2. Bản vá này được phát hành và được đánh dấu là bản cập nhật quan trọng đồng nghĩa với việc người dùng Windows cần cập nhật bản vá này càng sớm càng tốt.