Phát hiện loại virus độc hại tàng hình trên hệ thống ngân hàng của hơn 40 quốc gia

15:40, Thứ Năm, 09/02/2017 (GMT+7)

(XHTT) - Các ngân hàng, công ty viễn thông và thậm chí là các cơ quan chính phủ ở Mỹ, Nam Mỹ, Châu Âu, và châu Phi đang trở thành mục tiêu tấn công không ngừng nghỉ của tin tặc với một loại virus độc hại rất khó để phát hiện.

Theo một báo cáo mới nhất của Công ty Kaspersky Lab, có ít nhất là 140 ngân hàng và các doanh nghiệp khác đã bị nhiễm một loại virus độc hại vô hình. Đây có thể chưa phải là con số cuối cùng và theo công ty trên cảnh báo với tốc độ lây nhiễm này thì số lượng hệ thống bi lây nhiễm có thể còn tăng cao hơn nữa.

Đây cũng là một loại virus mà Kaspersky đã tìm thấy trên hệ thống mạng của mình vài năm trước đây, nhưng khả năng lây nhiễm của chúng thì họ chưa từng thấy. Với tên gọi Duqu 2.0, loại virus này được cho là có nguồn gốc từ Stuxnet – một loại sâu máy tính rất tinh vi và là sản phẩm được tạo ra trong quá trình hợp tác giữ Mỹ và Israel nhằm phá hoại chương trình hạt nhân của Iran. Duqu 2.0 xâm nhập vào hệ thống của Kaspersky mà không hề bị phát hiện trong khoảng thời gian ít nhất là 6 tháng.

Một hình thức tấn công mới

Hiện nay, loại virus này đã lây lan nhanh với tốc độ chóng mặt ở một số công ty, trong đó có rất nhiều ngân hàng. Quá trình lây nhiễm rất khó bị phát hiện khi tin tặc cố tình sử dụng quản trị hệ thống cũng như những công cụ bảo mật hợp pháp như PowerShell, Metasploit, và Mimikatz để tiêm mã độc vào bộ nhớ máy tính.

Kaspersky đã không liệt kê cụ thể tên các tổ chức, doanh nghiệp hiện đang bị tấn công mã độc vì những lý do ngẫu nhiên, nhưng có đến 40 quốc gia khác nhau đang bị ảnh hưởng vì sự lây nhiễm này, trong đó có Hoa Kỳ, Pháp, Ecuador, Kenya và Anh là năm quốc gia bị ảnh hưởng nhiều nhất.

Trên thực tế, điều khiến những đợt tấn công vào hệ thống của các tổ chức trở nên khó chịu đến vậy là do chúng khó bị phát hiện trong một thời gian khá dài và kẻ đứng đằng sau những sự vụ này cũng không hề bị bại lộ danh tính – dù đó là một cá nhân duy nhất hay nhiều nhóm hacker khác nhau. Dù có một ai đó đứng ra nhận trách nhiệm về các cuộc tấn công lây nhiễm virus độc hại thì cũng cần phải có sự xác nhận của các cơ quan an ninh thì chúng ta mới có thể tin tưởng được.

Quá trình lẫy nhiễm virus độc hại diễn ra như thế nào?

Vào cuối năm 2016, các chuyên gian bảo mật trên thế giới lần đầu tiên đã phát hiện ra sự tồn tại của virus chứa mã độc vô hình. Sau đó, các nhân viên bảo mật của một ngân hàng giấu tên là tìm thấy một bản sao của Meterpreter trên bộ nhớ vật lý của Microsoft, bộ điều khiển tên miền. Các chuyên gia kỹ thuật cho rằng mã Meterpreter đã được tải về và tiêm vào bộ nhớ thiết bị dưới sự giúp đỡ của các lệnh PowerShell.

Bên cạnh đó, công cụ quản trị hệ thống mạng NETSH của Microsoft cũng đã được đưa vào sử dụng bởi hệ thống máy nhiễm mã độc để truyền dữ liệu tới hệ thống máy chủ do tin tặc điều khiển. Công cụ bảo mật hợp pháp Mimikatz đã được tin tặc sử dụng nhằm mục đích dành được những quyền quản trị cần thiết. Để làm sạch các bản ghi nhớ, các lệnh trên PowerShell đã được ẩn trong mục đăng ký của Windows, do đó để phát hiện ra hoạt động của virus độc hại là vô cùng khó khăn.

Có vẻ như hình thức tấn công này đã được sử dụng để thu thập mật khẩu của hệ thống quản trị hệ thống và theo dõi từ xa các máy chủ bị lây nhiễm.

Trong khi số lượng các cuộc tấn công là khá lớn và tin tặc chỉ sử dụng một phương pháp duy nhất, từ đây chúng có thể theo dõi từ xa toàn bộ các máy chủ bị lây nhiễm.

Theo số liệu của Kaspersky Lab (khảo sát từ tháng 4/2014 đến tháng 3/2016), năm 2016, cứ 40 giây lại xuất hiện một cuộc tấn công vào doanh nghiệp, số lượng các cuộc tấn công từ mã độc tống tiền nhắm vào doanh nghiệp đã tăng lên gấp 3 lần. Cụ thể, các cuộc tấn công sử dụng mã độc tống tiền đã tăng từ 131.111 vụ trong giai đoạn 2014 -2015, lên 718.536 vụ trong giai đoạn 2015-2016.

Năm 2016, theo ghi nhận của các hãng bảo mật, số lượng mã độc mới đã gia tăng 36%, trong đó có 430 triệu mã độc không trùng lặp với các mã độc năm 2015. 

 

Hoàng Thanh (theo Msoft)

.
.
.
.

.
.
.