29/12/2024

Bí ẩn siêu mã độc Regin

Regin là một loại phần mềm gián điệp giúp mở rộng cửa một máy tính để tin tặc dễ dàng xâm nhập. Một khi đã khống chế được mục tiêu, Regin kích hoạt chương trình “con”, chương trình này “đánh thức” một chương trình đính kèm khác. Cứ thế, các mã độc len lỏi vào máy tính…

 

Bí ẩn siêu mã độc Regin

 

 

Regin là một loại phần mềm gián điệp giúp mở rộng cửa một máy tính để tin tặc dễ dàng xâm nhập. Một khi đã khống chế được mục tiêu, Regin kích hoạt chương trình “con”, chương trình này “đánh thức” một chương trình đính kèm khác. Cứ thế, các mã độc len lỏi vào máy tính…

 
 


Cơ quan tình báo thông tin Anh (GCHQ) bị cho là đồng tác giả của Regin  - Ảnh: Bộ Quốc phòng Anh 

Tờ Le Monde ngày 26.11 dẫn báo cáo kết quả 1 năm nghiên cứu về mã độc Regin của Tập đoàn bảo mật Symantec (Mỹ) cho biết: “Trong vô số vi rút máy tính đang tồn tại, rất hiếm loại thật sự được xem là một cuộc cách mạng về công nghệ như Regin”.

Không riêng tập đoàn này, những hãng nổi tiếng về an ninh mạng như Kaspersky (Nga), F-Secure (Phần Lan) đều nhận định Regin thật sự là phần mềm mã độc tinh vi và phức tạp nhất từng được phát hiện từ trước tới nay. Theo Symantec, vi rút nói trên từng xuất hiện trong giai đoạn 2008 – 2011, sau đó được cải tiến thành phiên bản mới và hoạt động mạnh mẽ trở lại vào năm 2013. Mục tiêu tấn công chủ yếu của Regin là các máy tính sử dụng hệ điều hành Windows của Microsoft.

Theo báo Le Figaro, Regin là một loại phần mềm gián điệp giúp mở rộng cửa một máy tính để tin tặc dễ dàng xâm nhập. Một khi đã khống chế được mục tiêu, Regin bắt đầu kích hoạt chương trình “con”, chương trình này lại “đánh thức” một chương trình đính kèm khác… Cứ thế, các mã độc có thể len lỏi sâu rộng vào máy tính bị tấn công và do quá trình kích hoạt được chia thành nhiều giai đoạn rất tinh vi nên việc phát hiện cực kỳ khó khăn, ngay cả khi máy được bảo vệ bằng những phần mềm bảo mật mạnh.

Nhờ Regin, tin tặc có thể kiểm soát gần như hoàn toàn hệ thống máy tính đã bị nhiễm: chụp màn hình; lấy mật mã; sử dụng bàn phím hoặc con chuột của máy bị tấn công; lấy dữ liệu, kể cả những dữ liệu đã bị xóa; theo dõi các thông tin trao đổi qua mạng internet…

Nếu hệ thống máy tính bị “nhiễm độc” của một công ty viễn thông hoặc cung cấp dịch vụ điện thoại di động, tin tặc có thể theo dõi toàn bộ khách hàng của những công ty này. Trong trường hợp mục tiêu là máy tính của một hãng hàng không hoặc khách sạn, những kẻ đứng sau Regin có thể lấy thông tin khách hàng để truy ra lịch trình của một cá nhân cần theo dõi.

Tầm cỡ quốc gia

Các chuyên gia của Symantec và Kaspersky đều cho rằng để có thể đạt đến độ phức tạp và tinh vi nói trên, việc lập trình cho Regin phải mất nhiều tháng, thậm chí nhiều năm với nguồn nhân lực và tài chính hùng hậu. Như vậy, phần mềm mã độc này là một “công trình” tầm cỡ quốc gia, được tạo nên với mục đích trở thành công cụ tình báo mạng siêu hiện đại.

 

Regin là một loại phần mềm gián điệp giúp mở rộng cửa một máy tính để tin tặc dễ dàng xâm nhập – Ảnh minh hoạ: Reuters

Trên thế giới hiện không có nhiều nước có khả năng mở các chiến dịch tấn công mạng quy mô lớn và những quốc gia có thể tạo nên siêu mã độc như Regin lại càng hiếm. Trong số đó, Mỹ từng chứng tỏ “đẳng cấp” qua việc hợp tác với Israel để tạo nên vi rút Stuxnet giúp phá hoại chương trình hạt nhân của Iran. Trong khi đó, 2 cường quốc về công nghệ thông tin khác là Nga và Trung Quốc thì được hãng F-Secure khẳng định không liên quan đến Regin.

Theo báo mạng chuyên về điều tra The Intercept, Regin chính là “vũ khí bí mật” của Cơ quan An ninh quốc gia Mỹ (NSA) và Cơ quan tình báo thông tin Anh (GCHQ). The Intercept được sáng lập bởi nhà báo Glenn Greenwald – người đầu tiên công bố những thông tin do cựu nhân viên CIA Edward Snowden cung cấp về chiến dịch theo dõi toàn diện của NSA.

Báo này cho rằng các mục tiêu tấn công của Regin có thể phục vụ rất hiệu quả cho kế hoạch do thám hàng loạt của NSA: công ty cung cấp dịch vụ điện thoại di động, internet; cơ quan nhà nước; tập đoàn tài chính… Đáng chú ý là các vụ tấn công tập trung vào 10 nước: Nga, Ả Rập Xê Út, Mexico, Ireland, Ấn Độ, Afghanistan, Iran, Áo, Pakistan và Bỉ. Trong đó, Bỉ lọt vào “tầm ngắm” vì thủ đô nước này là nơi đặt tổng hành dinh của NATO và trụ sở nhiều cơ quan trọng yếu của EU.

Theo The Intercept, Regin chính là công cụ được GCHQ dùng để tấn công hệ thống máy tính Tập đoàn viễn thông Belgacom (Bỉ) từ năm 2010. Vụ việc được báo Der Spiegel công bố hồi năm ngoái nhờ vào tài liệu của NSA do Snowden cung cấp. Từ Belgacom, GCHQ có thể theo dõi hệ thống máy tính của nhiều cơ quan hành chính thuộc EU ở Brussels. Le Monde dẫn lời chuyên gia Ronald Prins của Công ty an ninh mạng

Fox-IT cho biết nhiều chức năng của Regin tương ứng với các phần mềm từng được đề cập trong tài liệu của ông Snowden. Ngoài ra, cấu trúc của Regin cũng được cho rằng có điểm tương đồng với vi rút Stuxnet của Mỹ và Israel.

 

Vũ trang mạng

Tờ Le Monde dẫn lời chuyên gia Michel Baud của lục quân Pháp nhận định: “Các chiến dịch tấn công mạng đang trở thành “chiến tranh mạng” thật sự vì khả năng gây thiệt hại cho đối phương ngày càng cao. Chính vì vậy, nhiều nước đang tiến hành chạy đua vũ trang mạng”. Báo The Washington Post cho biết Mỹ đã dự kiến chi 652 triệu USD cho kế hoạch GENIE để tăng cường khả năng xâm nhập và kiểm soát hệ thống máy tính của những mục tiêu nước ngoài. Qua GENIE, tình báo Mỹ đặt mục tiêu kiểm soát 85.000 phần mềm máy tính trên thế giới trong năm 2013, hơn đáng kể so với 21.000 phần mềm vào năm 2008. Ngoài ra, theo The Washington Post, năm 2011, các cơ quan tình báo của nước này đã thực hiện 231 đợt tấn công mạng, chủ yếu nhằm vào các nước như CHDCND Triều Tiên, Iran, Nga, Trung Quốc.

 

Nguyễn Ngọc Lan Chi