Thông tin mới nhất từ công ty bảo mật kaspersky cho biết một loại mã độc mới có tên "Careto" sẽ tấn công người dùng một cách cực kì tinh vi nhằm thu thập hàng loạt các thông tin cá nhân từ nạn nhân. Hacker sẽ gửi các email lừa đảo nhắm vào đối tượng xác định (spear phishing), lừa họ tới các trang giả dạng là các tờ báo lớn như Washington Post và Guardian. Nếu người dùng click vào đường dẫn trong email phishing này, họ sẽ được dẫn tới một trang web có thể quét hệ thống để tìm các lỗ hổng và lây nhiễm mã độc.
Một khi đã lây nhiễm mã độc thành công, trang web độc nói trên sẽ đưa người dùng trở lại chính trang web thật (Washington Post, Guardian, YouTube…). Cách tấn công tinh vi này khiến cho nạn nhân khó có thể nhận biết rằng mình đã bị tấn công.
Theo Kaspersky, loại mã độc này có nhiều phiên bản nhắm vào cả Windows, Mac OS X, Linux và có thể là cả iOS lẫn Android.
Một khi đã lây nhiễm vào hệ thống, Careto sẽ thu thập các thông tin nhạy cảm. Mã độc này có thể " theo dõi thông tin gửi qua mạng, phím được gõ, nghe lén cuộc gọi Skype, phân tích dữ liệu Wi-Fi, thu thập chìa khóa PGP - một chương trình mã hóa tài liệu với chìa khóa công cộng (public key), thu thập tất cả các thông tin từ thiết bị Nokia, chụp màn hình và theo dõi quá trình xử lý file".
Mã độc này cũng sẽ thu thập tất cả các chìa khóa mã hóa có trên máy bị tấn công nhằm tiếp tục tấn công vào các thiết bị khác. Careto được thiết kế trên kiến trúc plugin cho phép tự mở rộng khả năng tấn công, ví dụ như thu thập email của nạn nhân hoặc keylog.
Bản đồ vị trí tấn công của Careto
Mặc dù đã dành rất nhiều thời gian nghiên cứu song Kaspersky vẫn chưa thực sự hiểu được tất cả các khía cạnh của Careto. Mã độc này bị phát hiện sau khi Kaspersky tiến hành nghiên cứu các vụ tấn công có biệt hiệu "The Mask". Các vụ tấn công này được nhằm vào các lỗ hổng trên phần mềm bảo mật cũ của Kaspersky và do đó không thể bị phát hiện bởi phần mềm này.
Sau khi nghiên cứu lỗ hổng trên, Kaspersky nhận ra rằng Careto đã tồn tại trong vòng… 5 năm trời. Công ty bảo mật này cho rằng loại mã độc rất tinh vi này đã tấn công được 380 nạn nhân, tương đương với hơn 1000 địa chỉ IP khác nhau.
Khác với các loại virus lây lan một cách tự động, Careto được sử dụng để tấn công vào các mục tiêu nhất định. Kaspersky đã không thể thu thập được đầy đủ thông tin thống kê số lượng các nạn nhân. Phần lớn trong số các mục tiêu được phát hiện là các tổ chức chính phủ, các tòa đại sứ, công ty khí đốt và dầu mỏ, các tổ chức nghiên cứu, các tổ chức đầu tư và các nhà hoạt động xã hội.
Nhiều quốc gia đã trở thành nạn nhân của Careto, và không có dấu hiệu nào cho thấy thủ phạm đang hoạt động theo một phương hướng cụ thể nào cả.
Vậy, ai đứng đằng sau Careto? Kaspersky khẳng định đã phát hiện "mức độ chuyên nghiệp rất cao trong hoạt động của nhóm thủ phạm đứng đằng sau vụ tấn công này: từ quản lý hạ tầng, ngừng các vụ tấn công, tránh các con mắt dò tìm thông qua luật truy cập và sử dụng việc 'tẩy' thay vì xóa hẳn file log... Đây là một trong những mối đe dọa bảo mật nguy hiểm nhất vào thời điểm này".
Công ty bảo mật này khẳng định: "Mức độ tự bảo vệ khi hoạt động này thường không có ở các nhóm tội phạm số".
Danh sách các quốc gia bị Careto tấn công
Phần lớn các trang web giả dạng được sử dụng trong các vụ tấn công của Careto đều đã bị đóng cửa, và đội hacker đứng đằng sau mã độc này cũng đã dừng hoạt động vào tuần trước, ngay sau khi một số chi tiết về "The Mask" bị công bố. Tuy vậy, do các lỗ hổng bảo mật trên các hệ thống vẫn tồn tại, đội hacker này có thể dễ dàng tiếp tục hoạt động trong tương lai.
Theo Washington Post, chỉ có các cơ quan tình báo quốc gia mới có đủ tiềm lực để xây dựng ra những loại mã độc phức tạp và tinh vi như Careto. Trong file của Careto có chứa một vài dòng chữ bằng tiếng Tây Ban Nha, do đó có thể thủ phạm là người nói tiếng Tây Ban Nha. Tuy vậy, chưa rõ quốc gia nói tiếng Tây Ban Nha nào sẽ xây dựng ra một loại mã độc nguy hiểm đến như vậy. Thậm chí, các đoạn tiếng Tây Ban Nha này có thể chỉ là đòn đánh lạc hướng của hacker: có thể tác giả của Careto đã cố tình thêm tiếng Tây Ban Nha vào mã nguồn để che giấu danh tính thực sự của mình.
Sự kiện Careto bị phát hiện cho thấy tình báo số đã trở thành một thế lực mới. Năm ngoái, các văn bản do Edward Snowden tung ra cho thấy Cơ quan An ninh Quốc gia Hoa Kỳ NSA có hẳn một bộ phận "Điệp vụ Truy cập Được tùy chỉnh" nhằm gia tăng khả năng tấn công số. Nếu NSA không phải là tổ chức đã tạo ra Careto, rất có thể Cơ quan này đã tạo ra một loại mã độc tương tự. Và cũng có thể các tổ chức tình báo tại Trung Quốc, Nga và các thế lực khác đang tự phát triển các phiên bản Careto cho riêng mình.
Lê Hoàng
Theo Slashgear, Washington Post & Kaspersky
Có thể bạn quan tâm: