Ngày 14/01/2013, hãng bảo mật Nga – Kaspersky Lab đã công bố báo cáo mới về chiến dịch gián điệp tinh vi sử dụng phần mềm độc hại mang tên “Rocra” nhằm vào hàng trăm tổ chức và cơ quan chính phủ trên khắp thế giới trong 5 năm qua, kể từ tháng 05/2007.

Theo đó, mã độc “Rocra” là tên viết tắt của “Red October” chuyên tấn công các cơ quan chính phủ, cơ quan ngoại giao, đại sứ quán, lãnh sự quán, trung tâm thương mại, trung tâm nghiên cứu hạt nhân, các viện nghiên cứu dầu mỏ và khí đốt, cơ quan hàng không vũ trụ cũng như các mục tiêu quân sự khác.

Phần lớn các tổ chức bị tấn công có trụ sở tại khu vực Đông Âu, Trung Á, số còn lại thuộc Tây Âu và Bắc Mỹ, trong đó gồm 35 tổ chức tại Nga, 21 tại Kazakhstan, 15 tại Azerbaijan, 15 tại Bỉ, 14 tại Ấn Độ và 6 tổ chức tại Mỹ. Các cuộc điều tra cho thấy, mã độc “Rocra” được thiết kế dưới dạng mô-đun hóa, mỗi mô-đun thực hiện một nhiệm vụ khác nhau và mã độc có thể được tùy biến theo từng nạn nhân cụ thể.

Tin tặc đã sử dụng tới hơn 1.000 tập tin chia thành 30 nhóm mô-đun riêng biệt nhằm tránh sự phát hiện của các chương trình diệt mã độc hiện nay. Mục tiêu của các mã độc là đánh cắp loại tài liệu dưới dạng tập tin PDF, Excel, CSV và đặc biệt là tập tin ACID – tập tin được tạo ra bằng chương trình mã hóa Acid Cryptofiler do Quân đội Pháp phát triển và đang được các tổ chức Liên minh Châu Âu (EU) và Khối Hiệp ước Quân sự Bắc Đại Tây Dương (NATO) sử dụng khi mã hóa các thông tin mật.

Bên cạnh đó, mã độc còn đánh cắp địa chỉ email, mật khẩu, lưu lại tổ thao tác bàn phím, ảnh chụp màn hình và đánh cắp lịch sử duyệt web của người dùng trên các trình duyệt phổ biến – Firefox, Internet Explorer và Opera; đồng thời thu thập địa chỉ liên lạc, lịch sử cuộc gọi, tin nhắn văn bản, lịch sử duyệt web từ các loại điện thoại thông minh như iPhone, Nokia, Sony Ericsson, HTC và các điện thoại sử dụng hệ điều hành Android nhằm thu thập các tài liệu và thông tin nhạy cảm. Kaspersky cho biết, mặc dù chiến dịch này hết sức tinh vi, tin tặc đã sử dụng phương pháp tấn công vô cùng đơn giản như gửi email lừa đảo (spear-phishing) đính kèm các tài liệu chứa mã độc đến nhân viên đang làm việc tại các tổ chức mục tiêu, sau đó truy cập vào máy tính nạn nhân thông qua khai thác các lỗ hổng bảo mật.

Báo cáo cũng cho thấy, những kẻ tấn công đã sử dụng hơn 60 tên miền và phần lớn máy chủ có địa chỉ IP tại Đức, Nga và Áo để quản lý mạng lưới máy tính bị lây nhiễm, đồng thời phát hiện được các địa chỉ IP tại Thụy Sĩ, Kazakhstan và Hy Lạp thường xuyên liên lạc với những máy chủ điều khiển (C&C Servers). Thời gian tấn công cũng được diễn ra trong khoảng thời gian xác định, tin tặc chỉ thiết lập thời gian tấn công cho đợt tiếp theo sau khi kết thúc đợt tấn công trước đó. Mặc dù chưa có đầy đủ bằng chứng, các chuyên gia nghi ngờ chiến dịch này không phải do nhà nước bảo trợ mà chỉ nhằm đánh cắp các thông tin mật, sau đó bán cho các cơ quan chính phủ các nước, thủ phạm có thể là những tin tặc nói tiếng Nga do xuất hiện nhiều từ tiếng Nga trong các đoạn mã lập trình.

trandaiquang.net lược dịch (Nguồn: TheNextWeb, VentureBeat)