Tin tặc “chuyển vùng”

Trong báo cáo quý 3/2012, các chuyên gia của Kaspersky Lab đã kiểm tra và nhận thấy có thay đổi về sự phát triển của các mối đe dọa CNTT. Một điều đáng lưu ý trong báo cáo quý 3 chính là gián điệp mạng đã có sự thay đổi về vị trí hoạt động của mình và dẫn đến thay đổi của 10 sản phẩm hàng đầu dễ bị tấn công thông qua các lỗ hỗng bảo mật.

Trung bình 8 lỗ hỗng bảo mật khác nhau đã được phát hiện trên một máy tính có khả năng bị tấn công cao. Hai lỗ hỗng bảo mật phổ biến nằm trong các sản phẩm Oracle Java, được tìm thấy trên 35% và 21,7% các máy tính bị nhiễm bệnh. 10 sản phẩm dễ bị tấn công cũng bao gồm 5 sản phẩm của Adobe, hai sản phẩm của Apple (máy nghe nhạc QuickTime và iTunes), máy nghe nhạc Nullsoft Winamp. Cơ chế cập nhật tự động được đưa vào trong các phiên bản gần đây của Windows đã giúp cho Windows không còn nằm trong danh sách 10 sản phẩm dễ bị tấn công.

Biểu đồ những sản phẩm dễ bị tấn công trong quý 3/2012

Các sự cố quan trọng nhất được cập nhật trong quý 3 có liên quan đến hoạt động của các phần mềm độc hại như Madi, Gauss và Flame. Chiến dịch tấn công vào các hệ thống máy tính của Madi đã được triển khai gần một năm và mục tiêu là các cơ sở hạ tầng của các công ty kỹ thuật, các tổ chức chính phủ, ngân hàng và các trường đại học ở Trung Đông. Các thành phần độc hại được phát tán thông qua cuộc tấn công các công nghệ nổi tiếng, không quá phức tạp. Mặc dù sử dụng công nghệ đơn giản nhưng bọn tội phạm mạng vẫn tiến hành các hoạt động quản lý để giám sát nạn nhân trong một thời gian khá dài.

Phần mềm độc hại Gauss phức tạp hơn so với các loại khác và được các chuyên gia phân loại là vũ khí mạng. Phần mềm độc hại này được phát hiện trong một cuộc điều tra của Liên minh Viễn thông quốc tế (ITU) sau khi phát hiện phần mềm độc hại Flame. Chứa đựng các phần mềm độc hại khác, Gauss nhằm mục đích lấy cắp một loạt các thông tin khác nhau về tài khoản ngân hàng trực tuyến của người sử dụng các máy tính bị nhiễm ở Trung Đông. Gauss bí mật chuyển đến hệ thống máy chủ các thông tin về mật khẩu, chuyển hoặc lưu trữ dữ liệu trong trình duyệt, các tập tin cookie và các chi tiết cấu hình của hệ thống bị nhiễm bệnh. Gauss hoạt động dựa trên nền tảng của Flame và chia sẻ một số tính năng với phần mềm độc Flame như lây nhiễm bệnh thông qua USB.

Các chuyên gia của Kaspersky Lab có thể thu thập thông tin mới về việc ra lệnh và kiểm soát (C&C) các máy chủ của Flame. Mã C&C hỗ trợ 3 giao thức truyền thông và xử lý các yêu cầu được chuyển đi từ 4 chương trình độc hại như SP, SPE, FL và IP. Trong số 4 chương trình độc hại, chỉ có 2 chương trình được biết đến tại thời điểm này: Flame và SPE (hay còn được gọi là miniFlame).

Mối đe dọa đối với các vùng địa lý cũng có những thay đổi thú vị, số lượng phần mềm độc hại tại Nga (23.2%) nhiều hơn Mỹ (20,3%).Trong quý 2, danh sách 20 quốc gia hàng đầu có các máy tính bị nhiễm bệnh thông qua Internet bao gồm các nước Liên Xô cũ, châu Phi và Đông Nam Á. Trong quý 3, các quốc gia hàng đầu bị nhiễm bệnh bao gồm hai nước Nam Âu: Ý (36,5%) và Tây Ban Nha (37,4%). Tajikistan thay thế nước Nga và trở thành nơi nguy hiểm nhất trong quá trình lướt Web với 61,1% người sử dụng ở các quốc gia Trung Á nhận được cảnh báo phát hiện virus trong quá trình trực tuyến.

Mạnh Vỹ