Flame có thực sự là super-malware, cyber weapon?


“Flame is lame”

Khi các nhà nghiên cứu phát hiện ra Flame cách đây 2 tuần, nó được “ca ngợi” là “mã độc siêu hạng”, “vũ khí tấn công tân tiến trên không gian mạng”, “gián điệp tinh vi và lớn nhất trong lịch sử”, v.v.

Những ý kiến này ngay lập tức gặp phải sự “phản ứng” từ các chuyên gia khác, những người cho rằng cũng không có gì đặc biệt mới và thú vị trong thiết kế và hoạt động của Flame.

Một trong những điểm Flame tạo nên sự chú ý là ở kích thước lớn của nó (20MB) so với các loại mã độc khác. Nhưng điều này cũng được cho là không quá hấp dẫn và họ đã chỉ ra những ví dụ về những mã độc có kích thước còn lớn hơn nhiều (chẳng hạn, được nhúng trong các file video, film).

Những nghi vấn gợi lên rằng chính phủ hay tổ chức có tiềm lực mạnh nào đó đứng đằng sau Flame, giống như Stuxnet là sản phẩm của chính phủ Mỹ và lực lượng vũ trang của Israel cũng gặp phải những “phản ứng” khác nhau.

Nhưng qua 10 điểm dưới đây, hãy xem sau hơn 2 tuần mổ xẻ Flame, người ta đã kết luận những gì và học được gì từ nó. Để từ đó thấy rằng Flame có xứng đáng là “supermalware”, “cyber weapon” hay không.

  1. Flame có chức năng của keylogger (ghi nhận bàn phím) và screengrabber (chụp ảnh màn hình)
  2. Flame hỗ trợ sẵn các giao thức SSH, SSL và thư viện lập trình và trình thông dịch ngôn ngữ LUA
  3. Flame tìm kiếm tất cả các tài liệu Office (.doc, .ppt, .xls, v.v.), tập tin PDF, Autodesk, văn bản nằm trên các ổ đĩa cục bộ và ổ đĩa, thư mục được chia sẻ trên mạng. Nhằm tránh khả năng có quá nhiều thông tin không cần thiết bị thu thập, nó sử dụng IFilters để trích xuất một phần nội dung của tập tin. Sau đó lưu trữ chúng trong cơ sở dữ liệu SQLLite được cài đặt trên máy tính nạn nhân và đồng thời gửi về cho các máy chủ C&C điều khiển Flame. Bằng cách này chủ nhân có thể chỉ dẫn Flame chỉ đánh cắp các tư liệu có giá trị.
  4. Flame có thể kích hoạt và điều khiển microphone của máy tính nạn nhân để thu lại những thảo luận, âm thanh xung quanh. Sau đó lưu lại thành các tập tin và gửi tới chủ nhân của nó.
  5. Flame tìm kiếm trên máy tính nạn nhân và trên mạng các tập tin hình ảnh được chụp bằng các máy chụp hình kỹ thuật số. Sau đó trích xuất vị trí GPS từ những tập tin này và gửi tới chủ nhân của nó.
  6. Flame kiểm tra xem có bất kỳ điện thoại di động nào được đã được kết nối tới máy tính nạn nhân không. Nếu có thì nó kết nối tới các thiết bị này (iPhone, Android, Nokia, v.v.), thu thập các sổ địa chỉ, danh bạ, tin nhắn, tài liệu, v.v. và gửi tới chủ nhân của nó.
  7. Flame tự sao chép chính nó, các thông tin đánh cắp được và một cơ sở dữ liệu SQLLite đã mã hóa tới ổ USB được kết nối tới máy tính nạn nhân. Bằng cách này dữ liệu có thể bị tuồn ra khỏi các môi trường có mức độ an ninh cao và không có kết nối mạng với bên ngoài.
  8. Flame giờ đây đã bị phát hiện, kẻ tấn công đang bận rộn với việc tiêu hủy Flame và tất cả các dấu vết để lại trên các máy tính bị lây nhiễm.
  9. Nghiên cứu mới nhất [1] chứng minh rằng Flame thực sự có mối liên kết với Stuxnet. Và chỉ một tuần sau khi Flame được khám phá, chính phủ Mỹ đã thừa nhận rằng họ đã cùng với Lực lượng Vũ trang Israel phát triển Stuxnet [2].
  10. Flame lây lan sang các máy tính khác trong mạng cục bộ bằng cách tạo một bộ máy proxy trên máy bị nhiễm để chặn đứng các gói tin mạng từ máy nạn nhân tới máy chủ Windows Update. Và đồng thời gửi tới máy nạn nhân các gói cập nhật cho Windows giả mạo (chứa Flame) được ký bởi một chứng chỉ số giả. Đặc biệt nhóm người đứng đằng sau Flame đã nghiên cứu và ứng dụng kiểu tấn công MD5 hash collision hoàn toàn mới để giả mạo chứng chỉ này như thể nó được cấp phát bởi Root Certificate Authority của Microsoft [3]. Công việc này cần tới các siêu máy tính và được thực hiện một cách âm thầm từ năm 2010.

manthang
(Theo F-Secure)

Tham khảo:
[0] http://www.f-secure.com/weblog/archives/00002383.html
[1] http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link
[2] http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html
[3] http://trailofbits.files.wordpress.com/2012/06/flame-md5.pdf

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s