Tin tặc nhắm vào những người bất đồng chính kiến Việt Nam
George Kurtz
Tqvn2004 chuyển ngữ
Thứ Tư, 31/03/2010
Theo McAfee's Security Insight Blog
Những ai sử dụng bộ gõ VPSKeys xin nhanh chóng kiểm tra máy tính của mình, để xem có bị nhiễm mã độc hay không...
.
Cho đến thời điểm này, các bạn có thể đã đọc bài viết trên Google Blog nói về các vụ tấn công có chủ ý chống lại máy tính của những người bất đồng chính kiến Việt Nam. Mạng botnet, được McAfee phát hiện khi điều tra về Chiến dịch Aurora, đã sử dụng những máy tính bị nhiễm mã độc vào một chiến dịch được coi là có mưu đồ chính trị. McAfee đã chia sẻ kết quả điều tra của mình với Google trong quá trình tìm hiểu sự việc.
Những kẻ tấn công đã tạo ra mạng botnet nhằm vào những người bất đồng chính kiến Việt Nam bằng phần mềm độc hại giả dạng một chương trình gõ tiếng Việt trên Windows. Chương trình gõ tiếng Việt này có tên là VPSKeys, là một chương trình khá phổ biến trong cộng đồng người Việt sử dụng hệ điều hành Windows, và là chương trình cần thiết để gõ tiếng Việt trên nhiều phần mềm Windows khác.
Mã độc giả dạng chương trình gõ tiếng Việt này, sau khi được cài đặt vào máy tính, sẽ biến máy tính đó thành một phần của botnet, nhận lệnh từ những hệ thống điều khiển nằm ở trên toàn thế giới. Những hệ thống điều khiển này được điều khiển từ xa chủ yếu bằng IP xuất phát từ trong Việt Nam.
Chúng tôi nghi ngờ nỗ lực tạo dựng mạng botnet này bắt đầu từ cuối năm 2009, trùng hợp với vụ tấn công Chiến Dịch Aurora. Khi phòng nghiên cứu của McAfee tìm hiểu mã độc liên quan đến Chiến dịch Aurora, chúng tôi tin rằng hai vụ tấn công này không liên quan đến nhau. Mã đọc trong phần mềm VPSKeys đơn giản hơn nhiều so với mã độc của Chiến dịch Aurora. Đây chỉ là một mã bot thường thấy, được dùng để lây nhiễm các máy tính và tạo ra cuộc tấn công từ chối dịch vụ, giám sát máy tính bị lây nhiễm và dùng vào một số mục đích bất minh khác.
Chúng tôi tin rằng những kẻ tấn công đã đầu tiên chiếm quyền kiểm soát trang www.vps.org, trang web của Hội Chuyên Gia Việt Nam (Vietnamese Professionals Society - VPS), và thay bản cài đặt chính thống bằng bản có chứa mã độc (trojan). Những kẻ tấn công sau đó đã gửi email tới những người đã download chương trình VPSkeys, nhắc họ vào trang chủ của VPS để tải lại bản có chứa mã độc.
Chương trình gõ tiếng Việt có chứa mã độc, mà McAfee đặt tên là W32/VulcanBot, kết nối các máy tính bị nhiễm thành một mạng lưới. Trong quá trình điều tra của chúng tôi vào hệ thống botnet này, chúng tôi tìm thấy khoảng một tá các hệ thống điều khiển từ các mạng máy tính bị tin tặc tấn công. Những máy chủ điều khiển này ĐƯỢC TRUY CẬP CHỦ YẾU bằng IP xuất phát từ Việt Nam.
Mã độc sẽ cài những chương trình sau đây vào hệ thống bị lây nhiễm:
* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
* %UserDir%\Application Data\Java\jre6\bin\zf32.dll
* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
* %SysDir%\mscommon.inf
* %SysDir%\msconfig32.sys
* %SysDir%\zf32.dll
* %SysDir%\Setup\AdobeUpdateManager.exe
* %SysDir%\Setup\jucheck.exe
* %SysDir%\Setup\MPClient.exe
* %SysDir%\Setup\MPSvc.exe
* %SysDir%\Setup\OSA.exe
* %SysDir%\Setup\wuauclt.exe
* %SysDir%\Setup\zf32.dll
Những tập tin này, khi được thực thi, sẽ tạo ra những kết nối tới các domain sau đây:
* google.homeunix.com
* tyuqwer.dyndns.org
* blogspot.blogsite.org
* voanews.ath.cx
* ymail.ath.cx
Trong khi một số domain và tập tin nói trên được cho là có liên quan đến Chiến Dịch Aurora, chúng tôi sau này đã kết luận rằng mã độc này không lên quan đến Aurora và chúng sử dụng một nhóm máy chủ điều khiển hoàn toàn khác.
Chúng tôi tin rằng những kẻ tấn công có thể có mục đích chính trị và có thể có sự trung thành với chính phủ nước Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam. Mục tiêu của Hội Chuyên Gia Việt Nam (VPS) là để tăng cường kiến thức và hiểu biết về các vấn đề kinh tế xã hội trong các nước Đông Nam Á, theo như Wikipedia.
McAfee đã bổ sung khả năng phát hiện mã độc này vào tháng Một, cùng khoảng thời gian chúng tôi cung cấp sự bảo vệ chống lại mã độc của Chiến dịch Aurora. Mạng botnet này vẫn đang tiếp tục hoạt động và tấn công các trang mạng cho tới hôm nay.
Sự kiện này cho thấy không phải mọi cuộc tấn công đều liên quan đến ăn trộm dữ liệu hay vì tiền. Đây là ví dụ mới nhất về cuộc tấn công trên mạng có xu hướng chính trị, một trào lưu đang gia tăng và một chủ đề mà McAfee vẫn thường bàn đến trong các ấn phẩm của mình. Trong một bài báo trên Cybercrime and Hacktivism được xuất bản vào tháng này, nhà nghiên cứu Francois Paget sẽ thảo luận chủ đề này một cách chi tiết. Nó cũng được bàn đến trong bản Báo Cáo Các Mối Đe Dọa Trên Mạng Hàng Quý của chúng tôi.
Chúng tôi sẽ tiếp tục cập nhật thông tin, khi có những sự kiện mới được phát hiện.
.
.
.
No comments:
Post a Comment