Hãng bảo mật Symantec vừa phát hiện trojan Duqu đã tìm ra cách khai thác một lỗ hổng trong nhân (kernel) của hệ điều hành Windows, vốn cho phép việc kích hoạt vào máy tính nạn nhân từ xa.

Theo đó, người ta phát hiện thấy trên Internet đã bắt đầu xuất hiện các file dropper (là những file mà chỉ cần sơ ý click chuột, lập tức sẽ “tuôn” các loại mã độc vào máy người dùng) chuyên để cài trojan Duqu vào máy tính những ai không may trở thành nạn nhân. Hãng công nghệ Hungary CrySys là đơn vị đầu tiên lên tiếng về phát hiện trên.

Cụ thể, file dropper này ngụy trang dưới hình thức một file văn bản Microsoft Word (.doc), được thiết kế để khai thác một lỗ hổng zero-day bên trong lõi kernel của Windows (*). Theo đó, chỉ cần nhỡ tay mở file này ra, nạn nhân không may đã “mời” Duqu vào bên trong hệ thống của mình qua đường cài đặt.
Một điểm nhấn đáng chú ý, Symantec phát hiện bộ file cài đặt trên có vẻ như được thiết kế chỉ dành cho một số tổ chức và tập đoàn, công ty nhất định, cũng như đảm bảo rằng nó chỉ tiến hành cài đặt trojan Duqu vào một số ngày nhất định trong tháng Tám.

769879_small_67796.jpg

 Hãng bảo mật Symantec đã theo sát Duqu từ những ngày đầu trojan này xuất hiện trên Internet
– Ảnh minh họa: Internet

Duqu đã đến Việt Nam

Bất chấp “tuổi đời” còn ngắn ngủi, song Duqu vẫn thu hút sự chú ý lớn từ giới bảo mật quốc tế bởi loại trojan này lại chính là hậu duệ của sâu Stuxnet, loại trojan rất nguy hiểm, được thiết kế để chuyên tấn công vào hệ thống công nghiệp nặng, cụ thể là hệ thống máy ly tâm trong lò phản ứng của Iran vào năm ngoái (2010). Sự tương đồng gần như y hệt trong các đoạn mã thiết kế đã khiến hãng Symantec tin rằng tác giả của Stuxnet và Duqu thực chất chỉ là một.

Symantec cho hay hãng này đã xác nhận hệ thống điện toán của tổng cộng sáu tổ chức và doanh nghiệp (không nêu tên) tại tám quốc gia, là Việt Nam, Pháp, Hà Lan, Thụy Sĩ, Ukraine, Iran, Ấn Độ và Sudan đều đã bị nhiễm Duqu. Ngoài ra, đã xuất hiện nhiều báo cáo chưa được xác nhận về sự có mặt của trojan nguy hiểm này tại Hungary, Indonesia và Anh Quốc.

Trong vài trường hợp, không phải máy tính nào bị lây nhiễm Duqu cũng được kết nối với trung tâm điều khiển hoặc trạm máy chủ (nếu có), thế nên tác giả của Duqu đã “khéo léo” gài vào trojan này một giao thức (protocol) chia sẻ file, giúp nó có khả năng liên lạc với một máy tính khác trong cùng hệ thống mạng, vốn có khả năng kết nối đến máy chủ, dĩ nhiên là máy tính này cũng đã bị nhiễm Duqu. Đây là một cách đi đường vòng nhằm đánh lạc hướng truy vết.

Mới đây, các chuyên gia bảo mật cũng vừa phát hiện thêm hai trung tâm máy chủ chuyên dùng để điều khiển các máy tính bị nhiễm Duqu. Hệ thống máy chủ thứ nhất đặt tại Ấn Độ và vừa bị “hạ gục” cách đây hơn ít ngày, cụm máy chủ thứ hai là ở Bỉ và cũng vừa bị vô hiệu hóa kịp thời.


 Người dùng Windows vẫn hoàn toàn bị động trong việc đối phó với Duqu,
do Microsoft chưa có… bản vá – Ảnh minh họa: Internet

Microsoft: hiện chưa có bản vá

Microsoft sẽ chưa thể phát hành kịp bản vá để khắc phục lỗ hổng nói trên vào ngày 8-11.

“Microsoft đang hợp tác chặt chẽ với các đối tác để sớm phát hành biện pháp bảo vệ dành cho một lỗ hổng đang bị khai thác để cài đặt trái phép malware Duqu vào bên trong các thiết bị máy tính dùng hệ điều hành Windows. Chúng tôi đang rất nỗ lực để tìm hiểu vấn đề, và sẽ tung ra bản cập nhật an ninh đến khách hàng ngay khi có thể”, đây là nguyên văn phản hồi từ “sếp” của Trung tâm Ứng phó An ninh của Microsoft (Microsoft Security Response Center – MSRC). 

(*) Kernel: là khái niệm điện toán, chỉ thành phần cấu tạo căn bản của hầu hết hệ điều hành. Kernel có thể hiểu nôm na như một cầu nối giữa các ứng dụng và quá trình xử lý dữ liệu thực tế được tiến hành ở cấp độ phần cứng. Một trong những nhiệm vụ chính của Kernel bao gồm cả quản lý các tài nguyên của toàn bộ hệ thống (tức sự giao tiếp dữ liệu giữa các thành phần linh kiện phần cứng và phần mềm ứng dụng). 


Theo Tuổi trẻ