Các nhà nghiên
cứu của Microsoft vừa phát hiện ra một sự thật khá sốc khi cho biết các máy
tính mới được xuất xưởng tại các nhà máy ở Trung Cộng được “khuyến mãi” cài đặt
sẵn thêm phần mềm độc hại và sẽ phát huy tác dụng ngay khi đến tay người dùng.
Các sản phẩm của
Trung Cộng một lần nữa bị đặt ra dấu hỏi về chất lượng và độ an toàn, tin cậy.
Các chuyên gia
nghiên cứu bảo mật của Microsoft tại Trung Cộng đã phát hiện ra phần mềm độc
hại trên những chiếc máy tính mới mà họ đặt mua tại các thành phố khác nhau ở Trung
Cộng, như một phần trong chiến dịch điều tra an ninh của chuỗi cung ứng sản
phẩm tại quốc gia này. Thông tin này vừa được đăng tải lên blog chính thức của
Microsoft vào ngày hôm qua.
Chiến dịch với tên gọi MARS
Cụ thể, chiến
dịch với tên gọi MARS được Microsoft bắt đầu tiến hành từ tháng 8 năm ngoái,
khi Microsoft quyết định sẽ kiểm tra xem có phần mềm gián điệp hay phần mềm độc
hại nào được cài đặt sẵn trên các máy tính được các nhà sản xuất Trung Cộng
cung cấp tại các cửa hàng bán lẻ hay không.
Các nhân viên
của Microsoft đã quyết định đặt mua 10 máy laptop và 10 máy tính để bàn tại các
cửa hàng bán lẻ khác nhau trên khắp Trung Cộng.
“Chúng tôi đã
mua những chiếc máy tính tại các trung tâm mà người Trung Cộng gọi là ‘Trung
tâm mua sắm PC’. Chúng tôi muốn có được những sản phẩm mà người tiêu dùng phổ
thông ở Trung Cộng sẽ sở hữu”, Richard Boscovich, Trợ lý giám đốc của Đơn vị
chống tội phạm kỹ thuật số của Microsoft cho biết. “Chúng tôi đã rất ngạc nhiên khi có thể
nhanh chóng phát hiện những gì mà chúng tôi đã nghi ngờ”.
Richard
Boscovich, thành viên nhóm nghiên cứu của Microsoft phát hiện ra sự thật gây sốc.
Các chuyên gia
của Microsoft đã phát hiện ra cả 20 máy tính đều được cài đặt phiên bản Windows
không có bản quyền, đặc biệt 4 trên tổng số 20 máy tính được cài đặt kèm theo
phần mềm độc hại, trong đó có một số phần mềm có khả năng lây lan thông qua ổ
đĩa USB.
Chiếc máy tính
đầu tiên cho thấy đã bị cài đặt sẵn loại virus với tên gọi Nitol, cho phép mở
cửa hậu (backdoor) trên máy tính khiến hacker có thể loại dụng máy tính vào các
mạng lưới botnet để phát tác thư rác hoặc tham gia vào các cuộc tấn công từ
chối dịch vụ (DDoS). Nguy hiểm hơn, loại virus này còn có thể giúp hacker dễ
dàng đánh cắp các thông tin cá nhân của người dùng như mật khẩu, thông tin ngân
hàng… Thậm chí, Nitol còn có thể bật micro và webcam trên máy tính để ghi âm
hoặc ghi hình lại các hoạt động của họ.
Một máy tính
khác có cài đặt sẵn loại mã độc có tên gọi Trafog backdoor, cho phép hacker dễ
dàng truy cập và điều khiển từ xa máy tính thông qua giao thức FTP (File
Transfer Protocol). Máy tính thứ 3 bị lây nhiễm loại backdoor trên phần mềm
chat IRC và chiếc máy tính thứ 4 bị lây nhiễm loại mã độc EggDrop.
Đáng chú ý, 3
trong tổng số 4 loại mã độc kể trên chưa được kích hoạt, ngoại trừ loại mã độc
Nitol, cũng là loại mã độc nguy hiểm nhất. Nitol đã được kích hoạt sẵn và sẽ
phát huy tác dụng khi đến tay người sử dụng, sẽ kết nối với máy chủ C&C (ra
lệnh và điều khiển), trên tên miền được sở hữu bởi một công ty Trung Cộng -
3322.org.
Microsoft cho
biết tên miền 3322.org này đã chứa các loại mã độc từ năm 2008 cho đến nay.
Hiện tại máy chủ thuộc sở hữu của công ty Trung Cộng này chứa 564 loại phần mềm
độc hại khác nhau và gần 70.000 tên miền con (sub-domain) liên quan đến các
trang web có mã độc. Microsoft cho biết đây là “kho lưu trữ” phần mềm độc hại
lớn nhất mà hãng từng gặp phải.
Đây không phải
là lần đầu tiên 3322.org bị các chuyên gia bảo mật nhắc đến. Trước đó, vào năm
2009, theo hãng bảo mật Zscaler, có trụ sở tại San Jose (Mỹ), 3322.org chiếm
đến 17% lưu lượng các trang web mã độc trên toàn cầu. Trong khi đó, vào năm
2008, hãng bảo mật danh tiếng Kaspersky của Nga cũng đã cho biết 40% phần mềm
độc hại trên toàn thế giới có kết nối đến 3322.org.
Được biết,
3322.org thuộc sở hữu của một công ty dịch vụ Internet tại Trung Cộng, thuộc
quyền sở hữu của doanh nhân Peng Yong. Tuy nhiên Peng đã lên tiếng phủ nhận sự
liên quan của tên miền 3322.org và công ty của mình đến việc phát tác và chứa
phần mềm độc hại, bất chấp sự thật nhiều hãng bảo mật đã lên tiếng khẳng định
điều này.
Trong khi đó
những chiếc máy tính có cài đặt sẵn phần mềm độc hại được sản xuất bởi Shady,
một công ty sản xuất máy tính có trụ sở tại Quảng Châu (Trung Cộng). Tuy nhiên
hiện phía công ty này từ chối đưa ra bình luận về phát hiện của Microsoft.
Các biện pháp khắc phục tạm thời của
Microsoft
Ngay sau khi
phát hiện của Microsoft được công bố, tòa án Liên bang ở Virginia (Mỹ) đã cho
phép Microsoft sử dụng công nghệ của mình để thiết lập một mạng ảo, cắt đứt mối
liên hệ giữa các máy tính bị nhiễm loại mã độc Nitol đến các máy chủ của
3322.org.
Microsoft cũng
đã yêu cầu một lệnh cấm tạm thời đối với chủ sở hữu của tên miền và tiến hành
một cụ kiện nhằm vào Peng Yong và công ty Trung Cộng về việc sở hữu tên miễn
chứa mã độc này.
Để đáp ứng yêu
cầu lệnh cấm tạm thời của Microsoft, cơ quan Đăng ký Internet công cộng, cơ
quan chịu trách nhiệm cho các đăng ký tên miền .org, đã bắt đầu chuyển tên miền
3322.org sang hệ thống máy chủ tền miền do Microsoft quản lý. Hệ thống này sẽ
cho phép Microsoft khóa lại mọi hoạt động của mạng lưới botnet do Nitol tạo ra
và 70 ngàn tên miền con chứa mã độc của 3322.org.
Dự kiến một
phiên tòa sẽ được diễn ra vào ngày 26/9 tới đây trong trường hợp Microsoft
không thể thuyết phục được chủ sở hữu của 3322.org tiết lộ danh tính của những
người tải mã độc lên máy chủ của trang web này.
Phát hiện của
Microsoft thực sự gây nên một sự lo lắng với người dùng trên toàn cầu, khi mà
hàng hóa Trung Cộng đang rất phổ biến ở thị trường thế giới. Microsoft cho rằng
các nhà hoạch định chính sách, đặc biệt tại Trung Cộng cần phải nhận ra các vấn
đề và cần phải có hành động để đảm bảo chuỗi cung ứng sản phẩm là an toàn.
Để kiểm tra
xem máy tính của bạn có chứa các loại mã độc có khả năng mở cửa hậu để hacker
xâm nhập hay không, đồng thời bịt lại các cửa hậu (nếu có), bạn có thể nhờ đến
phần mềm McAfee Stinger của hãng bảo mật danh tiếng McAfee, download
miễn phí.
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.