Regin – Phần mềm gián điệp tinh vi và giỏi ẩn mình

Một phần mềm gián điệp có cấu trúc rất tinh vi, được cấy vào để theo dõi các công ty viễn thông và công ty cung cấp dịch vụ Internet đã bị phát hiện một phần, nhóm nghiên cứu bảo mật máy tính của Symantec cho biết.

Loại Trojan mới này có tên là Regin và là “một đoạn của phần mềm gián điệp có kết cấu tinh vi, được xây dựng dựa trên một năng lực công nghệ hiếm thấy”,  và có rất nhiều tính năng chuyên phục vụ việc “theo dõi hàng loạt”, Symantec cho biết.

Đặc biệt, phần mềm gián điệp này có thể do Chính phủ Quốc gia tạo ra. Dù chưa chỉ đích xác nguồn gốc, nhưng Symantec đã đưa ra danh sách Chính phủ trong vòng nghi vấn, trong đó chỉ có Mỹ, Israel và Trung Quốc.

Theo các nhà nghiên cứu, phần mềm độc hại này đã được sử dụng cho các hoạt động gián điệp liên tục kể từ năm 2008, sau đó đột ngột dừng lại vào năm 2011, rồi tái hoạt động vào năm 2013.

Chiến dịch theo dõi này nhắm tới các tổ chức chính phủ, doanh nghiệp, nhóm nghiên cứu và cả các cá nhân. Khoảng 100 vụ lây nhiễm Regin đã được phát hiện, trong đó tới 52% là ở Nga và Ả rập Saudi. Phần còn lại được tìm thấy ở Mexico, Ireland, Ấn Độ, Afghanistan, Iran, Bỉ, Áo và Pakistan. Đáng chú ý, không tìm thấy máy tính nào bị lây nhiễm ở Mỹ hay Trung Quốc.

Symantec phát hiện ra Regin khi khách hàng của họ tình cờ tìm thấy một phần của nó và gửi đoạn mã tới cho các nhà phân tích. Hiện tại, phần mềm của Symantec đã có thể tìm ra loại Trojan này.

Mức độ tinh vi trong thiết kế và quy mô đầu tư để tạo dựng phần mềm này khiến các nhà nghiên cứu tin rằng Regin phải do Chính phủ tạo ra. Tuy nhiên, Symantec không đưa ra một cái tên cụ thể.

Hiện tại, vẫn còn rất nhiều điều bí ẩn xung quanh Regin, trong đó có những đoạn mã chưa được phát hiện và kiểm tra.

Dưới đây là một số đặc điểm của phần mềm nguy hiểm này:

• Regin nhắm vào máy tính chạy hệ điều hành Windows và tấn công theo từng bước và qua 5 giai đoạn. Chỉ có bước đầu tiên là có thể bị phát hiện. Bước này có nhiệm vụ mở ra cho các bước tiếp theo. Cách thức hoạt động này cũng tượng tự Stuxnet và các loại Trojan cùng dòng.
• Gần 1/2 máy nhiễm Regin nằm ở các nhà cung cấp dịch vụ Internet (ISP), với mục tiêu nhắm tới là các khách hàng sử dụng dịch vụ của công ty. Những nạn nhân khác của đợt tấn công này là các công ty viễn thông, công ty quản lý khách sạn, tập đoàn năng lượng, hàng không và các tổ chức nghiên cứu.
• Cách thức phát tán của phần mềm gián điệp này hiện vẫn là một bí ẩn. Hiện tại, một giả thiết được đưa ra đó có thể đã được phát tán qua Yahoo Instant Messenger. Một giả thiết khác mà Symantec đưa ra đó là có thể nạn nhân đã bị lừa đưa tới một website giả mạo – có bề ngoài y hệt như các website họ hay vào. Mặc dù vậy, tất cả mới chỉ là phỏng đoán.

Một khi máy tính bị xâm nhập, người điều khiển Regin có thể tải lên phần mềm chuyên dụng phục vụ quá trình do thám. Theo Symantec, một số phần mềm rất tinh vi cho thấy người thiết kế phải là chuyên gia trong lĩnh vực họ theo dõi. Chẳng hạn để đưa ra công cụ gián điệp thích hợp ở công ty hàng không hay năng lượng, Regin cần tới các chuyên gia trong lĩnh vực này. Đây cũng là bằng chứng cho thấy nguồn lực khổng lồ từ nhóm thiết kế ra Regin.

Có rất nhiều loại phần mềm chuyên dụng. Phổ biến nhất là công cụ điều khiển từ xa – RAT, cho phép người tấn công nắm quyền kiểm soát máy tính từ xa, sao chép các dữ liệu trong ổ cứng, bật Webcam, bật microphone, đánh cắp mật khẩu,… Một số phần mềm tiên tiến hơn tìm thấy trong Regin đó là phần mềm theo dõi lưu lượng truy cập mạng và công cụ quản lý các trạm phát sóng di động.

Nhiều phương thức đặc biệt đã được thực hiện để che giấu sự tồn tại của Regin. “Kể cả khi sự hiện diện của nó đã bị phát hiện, vẫn rất khó để lần ra những gì nó đang làm”, đại diện Symantec cho biết.

Theo cafebiz