Các
chuyên gia nghiên cứu bảo mật lại mới phát hiện được một loại mã độc
cực kỳ độc hại đã lây nhiễm và ăn cắp thông tin cá nhân người dùng trên
hàng triệu PC.
“Ngắm bắn” 4.500 websites
Joe Stewart – Giám đốc bộ phận nghiên cứu mã độc của SecureWorks – khẳng định: “Clampi
là dòng mã độc ăn cắp thông tin chuyên nghiệp nhất mà tôi từng thấy.
Rất hiếm có dòng mã độc nào có độ phức tạp cao và lây nhiễm rộng rãi
như dòng mã độc này.”
SecureWorks ước tính số lượng PC bị nhiễm Clampi nằm trong khoảng
100.000 đến hơn 1 triệu. Đây là dòng mã độc tấn công hệ điều hành
Windows. “Hiện chúng tôi chưa có biện pháp hiệu quả nào để đếm chính xác số lượng PC bị nhiễm”.
Mục tiêu của Clampi là người dùng 4.500 trang web có sử dụng thông tin
tài chính cá nhân khác nhau như ngân hàng, môi giới chứng khoán, thẻ
tín dụng, bảo hiểm, tìm việc làm, thương mại điện tử…
Ông Steward khẳng định 4.500 là một con số “thực sự gây sốc”. “Có
rất nhiều mã độc ăn cắp thông tin tài chính cá nhân tồn tại trên mạng
Internet nhưng thường chúng chỉ nhắm đến khoảng 20 hoặc 30 website là
cùng. Clampi nhắm tới 4.500 trang web”.
|
Nguồn: Flickr |
Tin tặc lây nhiễm Clampi vào PC người dùng bằng cách dụ họ mở một tệp
tin đính kèm theo email hoặc sử dụng các bộ công cụ tự động tấn công
tích hợp đa mã tấn công lỗi hệ điều hành Windows.
Khi đã lây nhiễm thành công vào PC, Clampi sẽ theo dõi sát sao quá
trình duyệt web của người. Nếu người dùng truy cập vào một trong số
4.500 trang web như nói trên thì Clampi sẽ ngay lập tức ghi lại thông
tin tài khoản, tên đăng nhập, mã PIN và những thông tin cá nhân khác.
Clampi sẽ chuyển mọi thông tin mà nó ăn cắp về một máy chủ của tin tặc.
Những kẻ này sau đó sẽ sử dụng những thông tin đó để ăn cắp hết tiền
trong tài khoản của người dùng, sử dụng thông tin thẻ tín dụng để mua
hàng hoặc đơn giản chỉ là giữ ở đó khi cần có thể lôi ra sử dụng.
…độc hại
Thực sự nếu chỉ nhìn vào những đặc tính như trên thì Clampi cũng giống
như hầu hết các dòng mã độc “keylogger” hoặc phần mềm gián điệp
(spyware) chứ chưa thấy được sự độc hại và nguy hiểm thực sự của dòng
mã độc này.
Chuyên gia Stewart cho biết Clampi khác các dòng mã độc khác ở quy mô
hoạt động và mã hóa bảo mật. Mã độc này sử dụng giải pháp mã hóa đa lớp
và nhiều thủ đoạn che giấu mã nguồn khác nhau khiến các chuyên gia
nghiên cứu bảo mật gần như không thể điều tra chi tiết được phương thức
hoạt động của nó.
“
Ngay cả phương thức đóng gói mã nguồn mà những kẻ đã phát
triển Clampi sử dụng cũng rất phức tạp, rất khó có thể đảo ngược mã
nguồn (reverse engineer) để nghiên cứu,” ông Stewart cho biết. “
Tôi có thể nói rằng đây là loại mã độc khó bị đảo ngược mã nguồn nhất tôi từng gặp từ trước đến nay”.
Cụ thể, ông Stewart cho biết những kẻ phát triển Clampi đã sử dụng các
công cụ đóng gói mã nguồn chạy trên nền máy ảo. Mọi thông tin phục vụ
việc đóng gói đều được lấy từ tập lệnh chip vi xử lý trên máy ảo. Chính
vì thế mà mỗi lần đóng gói mã nguồn lại một lần sử dụng thông tin khác
nhau. “
Chúng ta không thể sử dụng những công cụ đảo mã truyền thống để làm việc được với Clampi”.
Clampi mã hóa toàn bộ luồng dữ liệu di chuyển qua lại giữa PC bị lây
nhiễm và máy chủ của tin tặc. Luồng dữ liệu này được mã hóa theo nhiều
lớp khác nhau. Cụ thể, luồng dữ liệu liên lạc mạng được mã hóa 448-bit.
Không những thế mỗi dòng mã lệnh tấn công Clampi cũng được mã hóa bằng
phương pháp độc lập.
Để tránh bị phần mềm diệt mã độc phát hiện, Clampi giấu những mô-đun
hoạt động trong những khóa Windows Registry được mã hóa cẩn thận.
Quy mô hoạt động
Quy mô hoạt động của Clampi cũng khác hẳn với các dòng mã độc chuyên ăn cắp thông tin tài chính. “
Clampi
không chỉ nhắm mục tiêu đến các trang web ngân hàng mà cả những trang
web mà người dùng cung cấp những thông tin cá nhân có thể bị lợi dụng
để ăn cắp tiền của họ,” ông Stewart cho biết.
Trong số 4.500 trang web được nói đến trên đây có cả cổng thông tin
quân sự, casino trực tuyến, quảng cáo, tin tức, thế chấp tín dụng…
Những trang web này được lưu trữ ở các máy chủ nằm ở hơn 70 quốc gia
khác nhau.
Không những thế nền tảng đằng sau hậu thuẫn cho sự hoạt động của Clampi
cũng rất lớn. Không thể khẳng định chắc chắn nhưng những dấu hiệu cho
thấy có vẻ như những kẻ đứng đằng sau giật giây điều khiển Clampi ở một
nơi nào đó ở Nga hoặc Đông Âu.
“
Có vẻ như chỉ có một nhóm tin tặc duy nhất điều khiển Clampi,” ông Stewart nhận định. “
Không
hề có bất kỳ diễn đàn nào của tin tặc nói về Clampi. Chính vì thế mà
đến nay thông tin về dòng mã độc này gần như không có nhiều. Nhóm tin
tặc điều khiển Clampi cũng hoạt động rất bí mật”.
Stewart là người đã theo dõi Clampi suốt từ năm 2007 đến nay. Trước đây
dòng mã độc này rất im lìm và phải đến tận đầu năm nay nó mới bắt đầu
bùng phát mạnh mẽ.
Ông Stewart nhận định rất khó có thể lần ra được đầu mối cuối cùng giúp
tóm gọn băng nhóm tin tặc giật giây điều khiển Clampi. Một lý do đơn
giản là máy chủ được tin tặc sử dụng để điều khiển Clampi lại không
thuộc quyền quản lý của một nhà cung cấp dịch vụ thương mại nào mà nó
giấu mình trong số nhưng PC bị lây nhiễm.
“
Clampi hiện đang phát tán rộng rộng trên các hệ thống mạng
sử dụng công nghệ và hệ điều hành của Microsoft theo phương thức phát
tán tương tự như dòng sâu máy tính. Rõ ràng Clampi còn nguy hiểm hơn
rất nhiều Conficker”.