Mã độc vô hình tấn công hệ thống ngân hàng toàn cầu

Các chuyên gia bảo mật tại Kaspersky cho biết mã độc có tên Duqu 2.0 không được phát hiện trên ổ cứng mà nằm trong bộ nhớ RAM của những máy tính bị khống chế, nên được đánh giá là "vô hình" khi chúng âm thầm thu thập dữ liệu nhạy cảm. Khi một máy tính nhiễm mã độc khởi động lại, mọi dấu vết hoạt động của malware cũng biến mất.

Hơn 140 mạng lưới doanh nghiệp gồm ngân hàng, tổ chức chính phủ, các công ty viễn thông từ 40 nước đã dính Duqu 2.0. Tội phạm mạng nhắm vào những máy tính điều khiển các hệ thống ATM nhằm ra lệnh cho chúng nhả tiền. 

"Các ngân hàng chưa chuẩn bị đầy đủ để đối phó với những cuộc tấn công thế này", chuyên gia Kurt Baumgartner của Kaspersky nhận định. Hãng bảo mật cho biết đây là mã độc tinh vi từng được các hacker khai thác để thực hiện các cuộc chiến tranh mạng ở tầm quốc gia.

Ảnh minh họa: ComputerWorld

Các công ty Mỹ bị nhắm đến nhiều nhất với 21 cuộc tấn công, tiếp đến là 10 ở Pháp, 9 ở Ecuador, 8 ở Kenya, 7 ở Anh và Nga. Do mã độc ẩn mình quá kỹ và các bằng chứng bị xóa sạch sau khi khởi động máy, con số lây nhiễm trên thực tế còn cao hơn rất nhiều những gì được thống kê.

Kẻ tấn công đã rất thông minh khi tải mã độc vào RAM thay vì ổ cứng để không bị phát hiện. Chúng cũng sử dụng những tên miền đã hết hạn, không còn chứa thông tin trên WHOIS.

Kaspersky đã theo dõi Duqu 2.0, được cho là có nguồn gốc từ Stuxnet, từ năm 2015 khi chính hệ thống của họ - một công ty chuyên về bảo mật nổi tiếng thế giới - lại bị hacker thâm nhập thông qua một chiến dịch có chi phí 10 triệu USD. Khi đó, Duqu 2.0 được phát tán nhằm thu thập, ăn trộm thông tin về những công nghệ mới của hãng.

Kaspersky mô tả cuộc tấn công cách đây hai năm là "một trong những chiến dịch tinh vi nhất họ từng chứng kiến". Mã độc không ghi bất kỳ file nào ra ổ đĩa, mà thay vào đó chỉ hoạt động trong bộ nhớ nên rất khó bị phát hiện. Giờ đây, mã độc tinh xảo này đang tiếp tục lan rộng với mục đích đánh cắp tiền của ngân hàng trên toàn cầu.

Nguồn gốc của Duqu

Tháng 9/2010, Iran cho biết một số máy tính trong chương trình hạt nhân của họ bị lây nhiễm bởi một virus bí ẩn mang tên Stuxnet. Stuxnet được đánh giá là "độc hại một cách bất thường" và là phần mềm đầu tiên được lập trình với mục đích kiểm soát các hệ thống liên quan đến các công trình trọng điểm của ngành công nghiệp.

Năm 2012, nhà báo David Sanger của New York Times tiết lộ thông tin gây sốc: Stuxnet là do chính quyền Barack Obama hậu thuẫn (dù trước đó Mỹ phủ nhận liên quan đến sâu này). Với sự trợ giúp của Israel, Mỹ xây dựng chương trình thâm nhập vào nhà máy hạt nhân Natanz của Iran với nhiệm vụ ghi lại thiết kế của hệ thống chịu trách nhiệm kiểm soát máy ly tâm tinh chế uranium nằm sâu dưới lòng đất. Sau khi có sơ đồ chi tiết, họ tung ra virus siêu hạng để điều khiển hệ thống bị lây nhiễm từ xa. Virus đó không bị lộ cho đến khi một lỗi lập trình xảy ra khiến nó lọt ra ngoài cơ sở Natanz vào năm 2010, lây lan trên diện rộng trên Internet và trở nên nổi tiếng với tên gọi Stuxnet.

Trong khi đó, Duqu, được biết đến từ năm 2011, được tạo trên nền tảng phần mềm chung với Stuxnet. Các chuyên gia bảo mật nhận định cả hai có cùng tác giả. "Không nghi ngờ về việc Stuxnet và Duqu được viết với sự quan tâm của một chính phủ nào đó, nhưng chính phủ nào thì không có bằng chứng", Kaspersky cho hay.

Ước tính Stuxnet và Duqu đã loại bỏ khoảng 1.000 trong số 5.000 máy ly tâm ở Natanz bằng cách kích hoạt và quay chúng ở tốc độ cực cao dẫn đến hỏng hóc.

Tới giữa năm 2012, đến lượt Flame - được mệnh danh là sâu máy tính tinh xảo nhất mọi thời đại - lộ diện. Flame bị phát hiện đang bí mật lùng sục trên các máy tính bị lây nhiễm ở Trung Đông và virus này cũng được cho là do một chính phủ nào đó hậu thuẫn. Bộ an ninh nội địa Mỹ tuyên bố không có bằng chứng Flame liên quan đến Stuxnet hay Duqu.