Dù chưa biết đích xác nguồn gốc của mã độc, Symantec cho biết danh sách cuối cùng có thể bao gồm Mỹ, Israel và Trung Quốc. Báo cáo của Symantec vừa được công bố hôm 23/12, là kết quả của nhóm từng phát hiện Stuxnet, vũ khí điện tử đầu tiên trên thế giới 4 năm về trước. Stuxnet được tin là sản phẩm của Mỹ và Israel hợp tác nhằm phá hoại chương trình nghiên cứu nguyên tử của Iran.
Trojan mới được các chuyên gia Symantec đặt tên “Regin”, là “mã độc phức tạp sở hữu cấu trúc hiếm gặp”. Nhóm nghiên cứu cho biết công cụ có năng lực phong phú, cho phép chủ nhân của nó gián điệp quy mô lớn. Regin được sử dụng cho mục đích theo dõi từ năm 2008, tạm dừng năm 2011 và tiếp tục vào năm 2013.
Chiến dịch lợi dụng Regin nhằm chống lại các tổ chức chính phủ, doanh nghiệp, nhà nghiên cứu và cá nhân. Khoảng 100 vụ tấn công có liên quan đến Regin đã bị phát hiện, 52% tại Nga và Ả-rập Xê-út, còn lại diễn ra ở Mexico, Ireland, Ấn Độ, Afghanistan, Iran, Bỉ, Áo và Pakistan. Chưa có trường hợp nào được tìm thấy tại Mỹ và Trung Quốc.
Symantec để ý đến Regin sau khi khách hàng phát hiện một phần của nó và gửi mã về để họ phân tích. Theo ông Liam O’Murchu, một trong nhóm chuyên gia, chất lượng trong thiết kế và đầu tư của Regin gợi ý công cụ này gần như chắc chắn phải được chính phủ hỗ trợ. Tuy nhiên, ông không nói rõ chính phủ nước nào mà chỉ cho biết đây là nước có tiến bộ kĩ thuật cao.
Vẫn còn nhiều điều về Regin chưa được làm rõ vì nhiều phần trong mã độc chưa tìm thấy và phân tích. Dù vậy, chúng ta có thể biết Regin chạy trên nền tảng Microsoft Windows, tấn công theo từng giai đoạn. Giai đoạn đầu mở cửa cho các giai đoạn tiếp theo để mã hóa và xử lí thông tin. Như vậy, cơ chế của Regin tương tự Stuxnet và Duqu, được thiết kế để thu thập thông tin tình báo bằng cách đánh cắp lượng dữ liệu khổng lồ.
Gần một nửa các ca nhiễm Regin xảy ra đối với các nhà cung cấp dịch vụ Internet, mục tiêu là khách hàng của những công ty này. Một số công ty khác cũng bị tấn công bao gồm nhà mạng, bệnh viện, năng lượng, hàng không, tổ chức nghiên cứu.
Làm thế nào mã độc bị phát tán cũng là một bí mật. Trong một trường hợp, lây nhiễm mã độc được thực hiện qua Yahoo Instant Messenger. Trong các trường hợp khác, Symantec tin rằng nạn nhân bị lừa truy cập vào website giả mạo những website nổi tiếng.
Sau khi máy tính nhiễm độc, kẻ điều khiển Regin có thể tải lên bất cứ thứ gì cần thiết để gián điệp, một số vô cùng hiện đại và đòi hỏi chuyên gia cao cấp trong lĩnh vực cụ thể. Một trong số này là công cụ truy cập từ xa (RAT), cho phép kẻ tấn công kiểm soát máy tính từ xa: sao chép tập tin từ ổ cứng, bật webcam/microphone. RAT cũng có thể ghi lại keystroke (động tác gõ phím) để đánh cắp mật khẩu.
Tác giả của Regin bỏ nhiều công sức để hoạt động của nó không bị phát hiện. Ngay cả khi lộ diện, cũng rất khó để biết được nó đang làm gì.
Theo ICTnews.
Bình luận