Nhóm tin tặc đe dọa phát tán mã nguồn Symantec AV

Diễn đàn - Ngày đăng : 07:02, 04/11/2015

Symantec đang điều tra một nhóm tin tặc tuyên bố rằng họ đã truy cập vào mã nguồn được sử dụng trong chương trình Antivirus Norton hàng đầu của công ty.

Một phát ngôn viên của công ty cho biết rằng một tuyên bố của nhóm tin tặc là sai sự thật, trong khi lời tuyên bố khác vẫn còn đang được điều tra.

Trong khi đó, nhóm tin tặc tự xưng là Lords of Dharmaraja, đã đe dọa công khai tiết lộ mã nguồn trong thời gian ngắn.

Vào ngày thứ tư (4/1), nhóm tin tặc này đã đăng trên Pastebin tài liệu liên quan đến mã nguồn mở Norton AntiVirus. Dường như đó là một mô tả của một giao diện lập trình ứng dụng (API) cho sản phẩm AV của Symantec.

Nhóm cũng đăng tập tin mã nguồn đầy đủ cho Norton Antivirus. Tài liệu này sau đó đã được gỡ xuống.

“Yama Tough” là tin tặc đã đăng các văn bản, và đã phát hành ít nhất hai tài liệu liên quan đến mã nguồn của Symantec trên Google . Một trong các tài liệu dường như là một tổng quan về kỹ thuật chi tiết của Norton Anti-Virus, Quarantine Server Packaging API Specification phiên bản 1.0.

Bình luận được đăng bởi Yama Tough trên Google và trên Pastebin cho rằng thông tin của Symantec đã được truy cập từ các máy chủ của chính phủ Ấn Độ.

"Hiện tại chúng tôi bắt đầu chia sẻ với tất cả các anh em của chúng tôi và những người follow từ các máy chủ Indian Militaty Intelligence (Tình báo quân đội Ấn Độ), cho đến nay, chúng tôi đã khám phá được các mã nguồn Indian Spy Programme (Chương trình gián điệp Ấn Độ) của hàng chục công ty phần mềm đã ký thỏa thuận với chương trình TANCS Ấn Độ và CBI", Yama Tough cho biết trong một trong bình luận.

Bình luận khác cho thấy rằng nhóm tấn công đang chờ đợi để thiết lập các Mirror Site (các máy chứa bản sao) trước khi phát hành mã nguồn mở Symantec.

Vào ngày 6/1, một phát ngôn viên của Symantec cho biết rằng cho đến nay nhóm tin tặc đã có hai tuyên bố liên quan đến mã nguồn Symantec. Một tuyên bố ngày 5/1 đã được điều tra, phát ngôn viên cho biết. "Chúng tôi đã điều tra và thấy rằng nó không đúng", phát ngôn viên nói. "Đó không phải là mã nguồn. Đó là một tài liệu từ ngày 28 tháng 4 năm 1999 xác định giao diện lập trình ứng dụng (API) cho Definition Generation Service."

Tài liệu này giải thích cách phần mềm được thiết kế để làm việc, nhưng không có mã nguồn thực tế, phát ngôn viên cho biết.

"Tuy nhiên, nhóm tin tặc cũng có một lời tuyên bố thứ hai liên quan đến mã nguồn bổ sung và chúng tôi hiện đang điều tra", ông nói. "Và hiện tại chúng tôi vẫn chưa có bất kỳ thông tin nào để cung cấp".

Rob Rachwald, giám đốc chiến lược an ninh tại hãng bảo mật Imperva cho biết rất khó để biết phải làm gì với tuyên bố của nhóm tin tặc.

Theo Rob Rachwald , tập tin mã nguồn được đăng tải trên Pastebin cho thấy rằng nhóm tin tặc có một số thông tin hữu ích có khả năng liên quan đến sản phẩm AV của Symantec. "Đây là một thông tin tốt, nhưng không phải là hoàn hảo."

Ngay cả khi nhóm tin tặc cố gắng truy cập vào mã nguồn của Symantec thì cũng không hữu ích nếu đó là mã nguồn cũ, Rachwald. “Nó chỉ có thể có ích trong việc tìm hiểu những việc mà Symantec đã cố gắng thực hiện” với các sản phẩm AV của mình, ông nói.

Tuy nhiên, Symantec có thể sẽ phải đối mặt với các vấn đề nghiêm trọng nếu mã nguồn mà các tin tặc đã truy cập được là mới, Rachwald cho biết.

Trong trường hợp đó, “Symantec sẽ phải thực hiện một số thay đổi lớn” trong công nghệ chống virus của mình, Rachwald cho biết. Một bản vá lỗi đơn thuần sẽ không đủ để giải quyết các vấn đề được gây ra bởi một cuộc tấn công mã nguồn.

Và các đối thủ cạnh tranh cũng có thể hưởng lợi từ việc Symantec bị rò rỉ mã nguồn.

Thùy Linh

(Theo Computerworld)