Mỹ nghi ngờ hệ thống máy tính của Bộ Quốc phòng Mỹ bị tấn công xuất phát từ Trung Quốc
Ngày 6-9, trang mạng “Hải đăng tự do Washington” (Washington Free Beacon) đã đăng tải bài viết của chuyên gia về quân sự Trung Quốc Bill Gertz đề cập đến thông báo của Cục thông tin quốc phòng Mỹ (DISA) về một loại virus phá hoại ẩn chứa trong các tập tin văn bản lây nhiễm ra toàn bộ hệ thống máy tính của Bộ Quốc phòng Mỹ.
Cũng trong ngày hôm đó, bộ phận chức năng của Cục thông tin quốc phòng Mỹ cho biết, gần đây, một hệ thống mạng cục bộ trong số hơn trăm mạng máy tính của Lầu năm góc đã xuất hiện vấn đề khi mở các tệp văn bản có định dạng Word hoặc Excel, và hiện tượng này đã lấy nhiễm rất nhanh. DISA kêu gọi, các nhà quản trị mạng sử dụng các phần mềm để đối phó với hiện tượng này, bảo vệ hệ thống mạng khỏi sự phá hoại của “mối đe dọa mới này”.
Người phát ngôn của Lầu năm góc cho biết, công ty phần mềm an ninh McAfee đã cung cấp thông tin chi tiết về loại virus này. Đây là một loại sâu độc có khả năng phát tán qua thư rác.
Phân tích mẫu virus Win32.XdocCrypt.1 của CMC internet Security
Chuyên gia bảo mật máy tính Dmitri Alperovitch tiết lộ với nhà báo, loại phần mềm tấn công mạng tiên tiến này có khả năng xuất xứ từ các chính phủ nước ngoài, phần nhiều là từ Trung Quốc. Alperovitch nói: “Tôi khẳng định sự cố này rất giống hành vi trước đây của một số quốc gia, nhưng trước khi có những phân tích sâu hơn, tôi chưa thể khẳng định chắc chắn có đúng là Trung Quốc hay không”.
Trong chuyến viếng thăm Trung Quốc hồi đầu tháng 9, ngoại trưởng Mỹ Hillary Clinton đã thảo luận với các quan chức Trung Quốc về vấn đề an ninh mạng trong các cuộc hội đàm. Sau một cuộc gặp với quan chức đồng cấp Trung Quốc Dương Khiết Trì, bà Hillary cho biết là đã đề cập đến nguy cơ ngày càng gia tăng do các cuộc tiến công mạng gây ra, trong đó cả Mỹ và Trung Quốc đều là kẻ bị hại, các thông tin về quyền sở hữu trí tuệ, số liệu thương mại và an ninh quốc gia đều là mục tiêu tấn công mạng. Bà cho biết thêm: “Đây là vấn đề mà chính phủ và giới doanh nghiệp Mỹ và rất nhiều nước ngày càng quan tâm, chúng ta cần chung tay ngăn chặn hoạt động nguy hiểm này”.
Theo cảnh báo của công ty phần mềm an ninh McAfee, loại sâu độc dạng phần mềm virus này có 2 dòng là: W32/XDocCrypt.a và W32/XDocCrypt.b, có thể lây nhiễm qua các văn bản có định dạng Word và Excel trong bộ phần mềm văn phòng Microsoft Office của hãng Microsoft và các tập tin chạy có liên quan. Loại sâu độc này dường như được viết với mục đích phá hoại hoặc không ngăn chặn sử dụng các loại văn bản. Đầu tiên, nó sử dụng các quy trình bảo mật để mã hóa nội dung các văn bản, sau đó dùng văn bản đã được phần mềm độc hại bổ sung dữ liệu này thay thế cho văn bản gốc. Nếu việc này không bị phát hiện hoặc không có biện pháp khôi phục dữ liệu kịp thời, các số liệu gốc sẽ bị xóa bỏ vĩnh viễn. Loại sâu độc này còn có khả năng tự nhân bản và phát tán sang các máy tính khác trong cùng một mạng. Nó tự động tìm kiếm các văn bản có đuôi định dạng “.Doc” (Word), “.Xls” (Excel) hoặc “.Exe” (tệp chạy) để xâm nhập và lây nhiễm.
Việt Nam cũng có thể xuất hiện các dạng virus này
Ngày 13-8, Công ty cổ phần An ninh, An toàn thông tin CMC (CMC InfoSec) của Việt Nam đã đưa ra cảnh báo đối với người sử dụng trong nước về một loại virus có cấu trúc cùng một nhánh, hơn nữa cách thức phát tán và lây nhiễm cũng giống 2 loại virus mới này (có khả năng cùng một nguồn tạo ra và phát tán?) có tên gọi là Win32.XdocCrypt.1, được các hacker sử dụng nhằm đánh cắp thông tin tài khoản ngân hàng trực tuyến.
Mẫu virus này đã được hãng cập nhật vào 2 phiên bản CMC Antivirus/CMC Internet Security với tên gọi Virus.Win32.XdocCrypt.1. Theo chuyên gia bảo mật của CMC, sau khi xâm nhập vào máy tính, XdocCrypt sẽ mã hóa các file có định dạng đuôi .Doc, .Xls, .Exe và biến các file nói trên thành file thực thi nhằm phát tán rộng rãi.
Nếu file bị nhiễm là file Microsoft Word thì tên file sẽ được đổi thành thành <tên file gốc> cod.scr, file Microsoft Excel sẽ được đổi tên thành <tên file gốc>slx.scr. Bằng mắt thường, người dùng có thể nhận thấy dung lượng file sẽ tăng lên 140 – 150 KB. XdocCrypt vô hiệu hóa phần mềm chống virus trên máy tính nạn nhân rồi thực hiện mở “cửa sau” cho hacker nhập vào máy tính của nạn nhân mà không cần sự cho phép. Đồng thời, XdocCrypt ăn cắp các thông tin đăng nhập tài khoản ngân hàng điện tử khi nạn nhân thực hiện giao dịch trực tuyến.
Với XdocCrypt, hacker có thể điều khiển, chiếm đoạt và ăn cắp các thông tin như mật khẩu, chạy các mã độc mới trên máy tính của nạn nhân v.v.. chỉ trong vòng 2 ngày số lượng máy tính bị nhiễm lên hơn 4.000 máy, Hà Lan đang là quốc gia bị ảnh hưởng nặng nhất, chỉ trong vòng 1 đêm XdocCrypt đã lây tới 2.200 máy tại quốc gia này.
Với XdocCrypt, hacker có thể điều khiển, chiếm đoạt và ăn cắp các thông tin như mật khẩu, chạy các mã độc mới trên máy tính của nạn nhân v.v.. chỉ trong vòng 2 ngày số lượng máy tính bị nhiễm lên hơn 4.000 máy, Hà Lan đang là quốc gia bị ảnh hưởng nặng nhất, chỉ trong vòng 1 đêm XdocCrypt đã lây tới 2.200 máy tại quốc gia này.
CMC khuyến cáo người dùng cần cẩn trọng khi duyệt web và tránh mở file đính kèm trong email không rõ nguồn gốc, tải về các phần mềm miễn phí trên mạng thông qua internet. Để có thể nhận biết được sự thay đổi của đuôi tệp tin, người dùng cần bật tính năng hiện phần mở rộng tên file (Tools-> Folder Options -> View-> bỏ chọn Hide extensions for known file types), đồng thời cập nhật phiên bản Java, Flash Player và các bản cập nhật Windows mới nhất.
Đại diện CMC InfoSec cho biết, hiện đơn vị này đã cập nhật mẫu mã nhận diện và công cụ giải mã virus để lấy lại các file Office bị mã hóa.
Trở lại với 2 loại virus mới này, công ty phần mềm an ninh McAfee kiến nghị, để phòng ngừa lây nhiễm và phát tán, đề nghị chính phủ Mỹ dỡ bỏ hoặc ngăn chặn 5 địa chỉ Internet sau: forum.perfectprivacy.com, attow.com.br, 184.82.162.163 và 184.22.103.202.
