[HVA News] – Hỏi đáp nhanh về siêu mã độc Flame


Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42604.hva

Giới nghiên cứu bảo mật trên thế giới đang dồn sự chý ý và quan tâm tới một “vũ khí tấn công trên không gian mạng” (cyber weapon) cực kỳ tinh vi mới được phát hiện gần đây bởi hãng Kaspersky. Nó được xem là bộ công cụ tấn công có chủ đích được thiết kế phức tạp và công phu hơn cả Stuxnet và Duqu. Đó chính là siêu mã độc Flame. Bài viết này sẽ cung cấp những thông tin cơ bản nhất liên quan tới Flame.

Flame là gì?

Nó là tên mã (code name) được đặt cho một phần mềm gián điệp được thiết kế rất phức tạp, hoạt động tinh vi và có tính mô-đun (modular) cao. Flame còn được biết đến với các tên gọi khác là Flamer và sKyWIper. Nó chỉ mới được phát hiện gần đây và người ta vẫn còn đang tiếp tục phân tích và làm rõ các thành phần chức năng và hoạt động của nó. Các hãng bảo mật ước tính có khoảng gần 1000 máy tính bị lây nhiễm bởi Flame và hầu hết nằm ở vùng Trung Đông.

Flame được tạo ra để làm gì?

Chương trình gián điệp này chuyên trách việc theo dõi và thu thập nhiều loại thông tin khác nhau. Nó không chỉ đánh cắp file và email, quay phim và chụp ảnh màn hình, ghi nhận các phím được gõ và các lưu lượng mạng từ các máy tính bị lây nhiễm mà còn có thể điều khiển được microphone và webcam để nghe lén và giám sát người dùng. Ngoài ra, nếu nhận được lệnh từ chủ nhân thì nó có thể tự sao chép để lây nhiễm sang các máy tính khác thông qua mạng cục bộ và các thiết bị lưu trữ di động. Như vậy, Flame là một công cụ tấn công phức tạp, có các đặc điểm và tính năng của cả backdoor, trojan, và worm.

Tất cả những chức năng trên đều có trong nhiều mã độc khác rồi. Vầy thì điểm mới lạ, độc đáo của Flame là gì?

Một tính năng hiếm thấy là Flame có thể điều khiển chức năng bluetooth của máy tính bị lây nhiễm để kết nối tới với các thiết bị bluetooth khác trong một khu vực giới hạn. Chưa rõ ràng để khẳng định điều gì sẽ xảy ra trong trường hợp này nhưng rất có thể là nhằm do thám âm thanh qua tai nghe và đánh cắp dữ liệu từ các smartphone. Các máy bị nhiễm Flame có thể quảng bá tín hiệu bluetooth nhằm thu hút các thiết bị khác kết nối tới nó. Sẽ cần thêm các phân tích kỹ hơn để bóc trần những chi tiết này.
Một tính năng độc nhất khác là trong thành phần của Flame có bao gồm trình thông dịch ngôn ngữ LUA mà có thể được dùng để dễ dàng mở rộng chức năng của nó bằng các script.

Khái niệm mô-đun cùng các tính năng gián điệp tinh vi thì chúng ta đều đã thấy có trong Zeus và SpyEye rồi. Vậy Flame có gì khác so với các trojan nhắm vào các giao dịch ngân hàng trực tuyến đó?

Không giống với Zeus và SpyEye, là các trojan nhằm nghe lén và đánh cắp các thông tin, giao dịch với ngân hàng qua mạng, những người đứng đằng sau Flame không có ý định lan truyền xa nó đi càng xa và nhanh nhất có thể mà trái lại việc cố gắng lan truyền bản thân nó không phải là trọng tâm đầu tiên. Vì sau quá trình phân tích bước đầu, nếu Flame nhận thấy không có bất kỳ thông tin gì hữu ích trên hệ thống nạn nhân thì Flame sẽ tự xóa bỏ nó. Còn nếu thông tin mà nó tìm thấy được cho là có giá trị thì chỉ khi nhận được mệnh lệnh để tự lan truyền thì nó mới cố gắng lây nhiễm sang các hệ thống khác bằng đường mạng nội bộ, thiết bị lưu trữ USB, hoặc các phương thức khác. Việc lan truyền có tính toán và chọn lọc này làm cho số lượng máy tính bị lây nhiễm ít đi rất nhiều. Qua vài năm thì tổng số hệ thống bị nhiễm bởi Flame là 1000, quá nhỏ nếu đem so với Zeus và SpyEye là những mã độc xuất hiện trên hàng triệu máy tính.

Flame đã có mặt trên các máy tính nạn nhân đầu tiên bằng cách nào?

Chúng ta không biết chắc điều này nhưng thường là bằng các con đường truyền thống mà các cuộc tấn công có chủ đích (targeted attack) đã sử dụng. Ví dụ, thủ phạm nhận diện một nhóm những người có quyền truy cập tới các thông tin có giá trị. Sau đó máy tính của những mục tiêu này bị nhiễm spyware thông qua các email giả mạo hoặc các thiết bị USB mà ai đó cố ý đánh mất (để nạn nhân nhặt được và đem về sử dụng), hoặc thậm chí là đột nhập vào nơi ở của nạn nhân và cài đặt các phần mềm độc hại lên máy tính của họ.

Ai đã chế tạo và chịu trách nhiệm về Flame? Có phải tình báo của Israeli không?

Hiện chúng ta không biết được nhưng cũng sẽ đặt nghi ngờ về khả năng này. Có một điều chắc chắn rằng Flame được phát triển bởi các chuyên gia siêu hạng, một nhóm làm việc chuyên tâm. Ngoài ra, có vẻ như Flame lập lại tình huống của Stuxnet khi nó xuất hiện chủ yếu ở vùng Trung Đông với trọng tâm là Iran.

Flame thường được nhắc tới là có cùng đặc điểm với Stuxnet. Vậy thực sự có một mối liên kết nào giữa chúng không?

Cả 2 chương trình này đều có xu hướng sử dụng là nhằm mục đích theo dõi và tình báo nhưng khi phân tích sâu về mặt kỹ thuật thì giữa chúng có rất ít điểm tương đồng. Mặc dù có nhiều chức năng nhưng Stuxnet nổi lên là một chương trình phá hoại có chủ đích nhắm vào các máy ly tâm hạt nhân của Iran. Còn Flame lại là một chương trình gián điệp rất mạnh, bao quát và hơi cồng kềnh khi kích thước của nó lên tới 20MB. Các chuyên gia về vi-rút máy tính mà đã phân tích Flame không tìm thấy bất cứ đoạn mã giống nhau nào giữa chúng và có nhiều lý giải cho việc tại sao hai chương trình này lan truyền thành công một phần là nhờ khai thác các lỗ hổng tương tự nhau.

Flame là điển hình của một “cyber weapon” tân tiến?

Công việc của Flame phải làm là gián điệp thay vì đi phá hoại. Vì vậy mà nên gán cho nó mác “cyber wiretap” hơn là một thứ vũ khí.

Đâu thực sự là điểm đặc biệt về Flame?

Chương trình gián điệp này dường như đã được sử dụng nhiều năm rồi mà không hề bị phát hiện. Tình huống này một lần nữa cho thấy các phần mềm diệt vi-rút thông thường là không thích hợp để bảo vệ các hệ thống quan trọng trước các mối đe dọa từ các cuộc tấn công có chủ đích. Các phần mềm diệt vi-rút thường chỉ tập trung vào việc bảo vệ máy tính chống lại các mã độc có tính lan tràn cao và hầu hết là bất lực trước các phần mềm chuyên sâu, cao cấp như Flame.

Ngoài ra, các nhà nghiên cứu bảo mật hôm 6/6 đã khám phá rằng một số thành phần của Flame được ký số bởi một chứng chỉ giả mạo được chính CA của Microsoft cấp phát. Có được chứng chỉ này, Flame có thể lây nhiễm một cách êm xuôi sang các máy tính khác thông qua tính năng Windows Update. Phương thức lan truyền qua các bản cập nhật cho hệ thống lẫn kỹ thuật giả mạo chứng chỉ này đều không mới nhưng nó thể hiện một điều rằng Flame được thiết kế bởi các chuyên gia giàu kiến thức và được hỗ trợ từ những nguồn lực mạnh.

manthang – HVA News
(Theo H-Online.com)

Tham khảo:
http://www.h-online.com/security/features/FAQ-Flame-the-super-spy-1587063.html

Xem thêm phân tích và nhận định từ chuyên gia tại Kaspersky Lab: 
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

4 comments

  1. hi anh chỉnh mã nguồn css trong wordpress như thế nào mà đẹp vậy em cũng dùng theme này nhưng không đẹp, anh có thể gửi cho em file đó không thank anh

    1. à, mình chỉ tải lên thêm các header image và chúng sẽ tự hiển thị ngẫu nhiên sau mỗi lần truy cập vào trang nào đó trong blog thôi. ngoài ra khi mình áp dụng theme này là mọi thứ đã được sắp đặt sẵn rồi, mình không chỉnh gì thêm cả :)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s