Hãng bảo mật nổi tiếng Kaspersky Lab của Nga đã khám phá tổ chức gián điệp mạng lớn nhất trong lịch sử đã tấn công máy tính ở mấy chục quốc gia. Các
chuyên gia Nga dã gọi đây là đấu thủ mạnh nhất cho đến thời điểm hiện
nay trong thế giới gián điệp mạng. Theo các chuyên gia nước ngoài, phần
mềm này là “đồ” của NSA. Không có chứng cớ trực tiếp khẳng định điều đó,
nhưng người ta biết chắc chắn rằng, những kẻ tạo ra mạng gián điệp mới
này có liên hệ mật thiết với những kẻ tạo ra các mạng gián điệp cũ được
cho là của NSA.
Đây là chương trình gián điệp mà nhờ đó Cục An ninh quốc gia Mỹ (NSA) đã chặn thu được thông tin trao đổi của đa số các máy tính trên thế giới.
Theo công trình nghiên cứu do Kaspersky Lab công bố, NSA đã tìm cách cài đặt một chương trình gián điệp đặc biệt lên các ổ cứng được sản xuất bởi các công ty Western Digital, Seagate, Toshiba và các nhà sản xuất hàng đầu khác, qua đó mà có được khả năng chặn thu thông tin của các máy tính.
Các chuyên gia của Kaspersky Lab đã phát hiện các máy tính cá nhân ở 30 quốc gia bị nhiễm một hoặc mấy phần mềm gián điệp như vậy. Các nước có số máy tính bị nhiễm nhiều nhất là Iran, tiếp đó là Nga, Pakistan, Afghanistan, Trung Quốc, Mali, Syria, Yemen và Algeria. Mục tiêu bị tấn công nhiều nhất của tin tặc là các máy tính trong các cơ quan chính phủ và quân đội, các công ty viễn thông, năng lượng, các công ty nghiên cứu hạt nhân, các công ty truyền thông và các nhà hoạt động Hồi giáo.
Kaspersky Lab đã từ chối nêu tên quốc gia đứng sau chiến dịch gián điệp mạng khủng khiếp này, nhưng đã chỉ ra mối quan hệ chặt chẽ với chương trình gián điệp mạng Stuxnet vốn được phát triển theo đơn đặt hàng của NSA để tấn công các cơ sở làm giàu Uranium của Iran.
“Mạnh nhất cho đến thời điểm hiện tại”Theo tiết lộ của các chuyên gia Kaspersky Lab, họ đã phát hiện được “đấu thủ mạnh nhất cho đến nay trong thế giới gián điệp mạng”.
“Trong nhiều năm, chúng tôi đã nghiên cứu hơn 60 chiến dịch gián điệp mạng khác nhau trên toàn thế giới, nhưng điều mà các chuyên gia của công ty đã phát hiện được chỉ mới đây vượt qua tất cả các cuộc tấn công độc hại được biết đến cho đến hôm nay về quy mô, các công cụ và hiệu quả. Nhóm tin tặc có tên Equation Group đang tiến hành hoạt động của mình trong vòng gần 20 năm, và các hành động của nó đụng chạm đến hàng ngàn, mà có thể là hàng chục ngàn người dùng ở hơn 30 nước trên thế giới. Số lượng nạn nhân lớn nhất của Equation Group được ghi nhận ở Nga và Iran”, các chuyên gia nói.
Khác với các công cụ, các mục tiêu của tin tặc lại rất quen thuộc - đó là các chính phủ, cơ quan ngoại giao, quân sự, các thiết chế tài chính, doanh nghiệp viễn thông, hàng không vũ trụ, hạt nhân, năng lượng, dầu khí, giao thông vận tải, các công ty phát triển công nghệ mật mã và nano, các cơ quan báo chí, các nhà hoạt động Hồi giáo và các khoa học gia.
Hạ tầng của nhóm Equation Group gồm hơn 300 tên miền và 100 máy chủ điều khiển nằm rải rác ở nhiều nước như Mỹ, Anh, Italia, Đức, Hà Lan, Panama, Costa Rica, Malaysia, Colombia và Czech.
“Hiện nay, Kaspersky Lab đang kiểm soát gần 20 máy chủ của nhóm”, các chuyên gia chống virus thừa nhận.
Trong kho vũ khí của Equation Group có nhiều loại mã đọc, một số loại trong đó là cực kỳ tân tiến. Ví dụ, người ta đã lần đầu tiên phát hiện các module cho phép lập trình lại hệ điều hành của các ổ đĩa cứng của 12 nhà sản xuất chính trên thế giới, trong đó có Western Digital, Seagate, Micron, Toshiba, IBM, Samsung.
“Một khi xâm nhập vào hệ điều hành của ổ cứng, mã độc này sẽ nằm lại đó mãi mãi, tga không thể phát hiện hay loại bỏ nó: nó không thể bị loại bỏ ngay cả bằng cách format ổ đĩa. Ngoài ra, những kẻ tấn công còn có khả năng tạo cho mình một nơi trú ẩn an toàn dưới dạng một kho chứa bí mật, nơi có thể tập hợp mọi thông tin cần thiết”, các chuyên gia bảo mật giải thích.
Equation Group đang sử dụng loại sâu máy tính Fanny cho phép nhận dữ liệu từ máy tính ngay cả khi nó được ngắt khỏi mạng toàn cầu. Để làm việc đó, thông qua máy tính đã bị nhiễm, những kẻ tấn công cài cắm sâu máy tính vào một đĩa USB, và nó tạo ra trên đĩa USB một sector bí mật trong đó tập hợp tất cả những thông tin về cấu trúc của mạng cách ly. Sau đó, khi lọt vào máy tính có kết nối Internet, sâu máy tính này từ USB truyền toàn bộ dữ liệu thu thập được về địa chỉ ấn định.
Các chuyên gia chống virus nói rằng, sản phẩm của họ cho phép đối phó thành công với “nhiều cuộc tấn công của Equation Group”.
Cục An ninh quốc gia Mỹ NSANgười ta không có thông tin tuyệt đối chính xác về kẻ đứng sau nhóm tin tặc nguy hiểm này.
Các chuyên gia Kaspersky Lab cho hay, họ đã chỉ xác định được rằng, Equation Group có hợp tác với các nhóm tin tặc khác, chẳng hạn với những kẻ đã tổ chức các chiến dịch tấn công mạng khét tiếng Stuxnet và Flame.
Virus Stuxnet vào năm 2010 đã phá hủy các máy ly tâm hạt nhân của Iran và trở thành sâu máy tính đầu tiên gây ra tổn hại cho các đối tượng vật chất. Các cơ quan tình báo Mỹ (NSA) và Israel được cho là đã tạo ra vũ khí mạng này. Cuộc tấn
công mạng vào nhà máy làm giàu Uranium ở Natanz, Iran đã làm chậm 1 năm
chương trình hạt nhân của Iran.
“Stuxnet đã lần đầu tiên trong lịch sử được sử dụng làm vũ khí mạng để
phá hoại các cơ sở công nghiệp. Người ta biết đến loại sâu máy tính này
vào tháng 6/2010 sau khi nó bị phát hiện trên các máy tính của người
dùng. Biến thể đầu tiên của Stuxnet mà người ta biết đến nay đã được chế
tạo khoảng 1 năm trước đó”, Kaspersky Lab cho hay.
Sâu máy tính Flame từng tàn phá các máy tính dùng hệ điều hành của Microsoft vào năm 2012 cũng được cho là của người Mỹ.
“Nhiều khả năng, Equation Group đã chia xẻ với “các đồng nghiệp” những loại exploit sử khai thác lỗi zero-day mà họ có. Ví dụ, năm 2008, sâu máy tính Fanny cũng đã chính những explot đã xuất hiện trong Stuxnet chỉ vào tháng 6/2009 và tháng 3/2010, đồng thời một trong các exploit này là module Flame”, các chuyên gia nói.
Ngay các chuyên gia nước ngoài cũng kết luận dứt khoát rằng, mạng lưới gián điệp mới cũng là sản phẩm của NSA. Một cựu nhân viên NSA đã xác nhận các kết luận của công ty bảo mật Nga
với hãng Reuters. Một cựu nhân viên tình báo khác, xác nhận rằng, NSA đã
phát triển công nghệ cho phép cài đặt các phần mềm gián điệp lên các ổ
đĩa cứng.
Theo các tài liệu mật do cựu nhân viên CIA và NSA Edward Snowden tiết lộ
trước đó, NSA đang chuẩn bị cho việc giành thế bá chủ trên không gian
mạng. Mỹ đang chuẩn bị cho các cuộc chiến tranh tương lai, trong đó họ
sẽ có khả năng thông qua Internet làm tê liệt hoạt động của các máy
tính, còn sau đó có thể là toàn bộ cơ sở hạ tầng, kể cả cá hệ thống
điện, nước, nhà máy, sân bay và các dòng tiền của đối phương tiềm
tàng, mà không phải dùng đến các loại vũ khí thông thường. Trên một tài liệu trình chiếu của NSA có nói rằng, “cuộc xung đột
lớn tiếp theo sẽ mở màn trên không gian mạng”, và họ cũng đã xin cấp 1
tỷ USD để đẩy mạnh các cuộc tấn công mạng máy tính.
Trong khi đó, bản thân các nhà sản xuất ổ đĩa cứng máy tính bị nghi ngờ tất cả đều bác bỏ sự liên can, hãng Reuters đưa tin.
Phát ngôn viên của hãng Seagate, ông Clive Over tuyên bố rằng, các ổ đĩa cứng của công ty đang được sản xuất theo cách mà họ cho là không thể cài cắm vào bên trong đĩa. Đại diện Micron, ông Daniel Francisco tuyên bố, công ty không có thông tin về loại mã lạ trong sản phẩm của họ. Đại diện Western Digital, ông Steve Shattuck nói rằng, công ty không cung cấp mã nguồn cho các cơ quan chính phủ. Các nhà sản xuất còn lại đã từ chối bình luận.
Tờ Vzglyad (Nga) cũng không nhận được bình luận từ các văn phòng đại diện của các công ty này tại Nga.
Sợ thì đã muộnTheo Trưởng Phòng Kỹ thuật và tiếp thị sản phẩm ESET Russia, ông Aleksei Oskin, hiện chưa thể hiểu hết phần mềm mã độc đã được cài đặt lên các ổ cứng như thế nào.
“Điều này khó có thể được thực hiện một cách tập trung tại các công ty sản xuất vì trong trường hợp có các chứng cớ hay thậm chí đơn giản là khi có những tin đồn như thế cũng gần như giết chết niềm tin của người dùng đối với các sản phẩm này, điều sẽ dẫn tới sự sụt giảm lớn về lợi nhuận của các công ty”, ông Oskin nói với tờ Vzglyad.
“Phần mềm độc hại này được ghi vào sector MBR của đĩa cứng vốn không chịu ảnh hưởng của thao tác format hay quét thông thường và có chức năng phục hồi sau khi format ổ cứng. Các sản phẩm của chúng tôi có các phương tiện phát hiện những virus như thế và sẽ có thể cảnh báo nguy hiểm cho người dùng”, ông Oskin bổ sung.
Còn Tổng biên tập tạp chí “Thế giới máy tính” (PC World) Sergey Vilyanov nói với Vzglyad rằng, các đĩa cứng bản thân chúng không phải là mối đe dọa, chúng chỉ là vật mang có thể ghi lên đó mọi thứ tùy thích.
“Chuyện này cũng giống như buộc tội đĩa mềm hay đĩa USB có lỗ hổng... Đúng là đĩa cứng có nhiều khả năng để cập nhật từ xa firmware. Nhưng tất cả những cái đó đã được tạo sẵn trong bản thân tiêu chuẩn hoạt động của chúng”, ông Vilyanov nói.
Ông Vilyanov cũng cho rằng, các cơ quan tình báo đã hoàn toàn có thể ghi lên các ổ chứng các phần mềm gián điệp của mình và “cả Mỹ, Nga, Israel và Trung Quốc đều phát triển những thứ như vậy”. Còn việc báo chí chỉ viết về người Mỹ chẳng nói lên điều gì vì “chúng ta chỉ biết những gián điệp đã bị lộ mà thôi”.
Ông Vilyanov kêu gọi những người dùng bình thường không quá lo sợ vì còn có những mối đe dọa còn đáng sợ hơn đối với máy tính và kết luận: “Việc mạng lưới gián điệp này đã hoạt động nhiều năm mà không lọt vào sự chú ý của ai có nghĩa là nó được ngụy trang quá khéo léo nên ta sẽ không thể phát hiện bằng kiểm tra bằng mắt nào đó. Mà tôi cũng không chắc NSA và các cơ quan tình báo khả kính khác lại quá quan tâm đến những gì nằm trong máy tính xách tay ở nhà của các vị”.