Siêu mã độc Regin

[Duyenta]

Regin là một loại phần mềm gián điệp giúp mở rộng cửa một máy tính để tin tặc dễ dàng xâm nhập. Một khi đã khống chế được mục tiêu, Regin kích hoạt chương trình “con”, chương trình này “đánh thức” một chương trình đính kèm khác. Cứ thế, các mã độc len lỏi vào máy tính...
Tờ Le Monde ngày 26.11 dẫn báo cáo kết quả 1 năm nghiên cứu về mã độc Regin của Tập đoàn bảo mật Symantec (Mỹ) cho biết: “Trong vô số vi rút máy tính đang tồn tại, rất hiếm loại thật sự được xem là một cuộc cách mạng về công nghệ như Regin”.
Không riêng tập đoàn này, những hãng nổi tiếng về an ninh mạng như Kaspersky (Nga), F-Secure (Phần Lan) đều nhận định Regin thật sự là phần mềm mã độc tinh vi và phức tạp nhất từng được phát hiện từ trước tới nay. Theo Symantec, vi rút nói trên từng xuất hiện trong giai đoạn 2008 - 2011, sau đó được cải tiến thành phiên bản mới và hoạt động mạnh mẽ trở lại vào năm 2013. Mục tiêu tấn công chủ yếu của Regin là các máy tính sử dụng hệ điều hành Windows của Microsoft.
Theo báo Le Figaro, Regin là một loại phần mềm gián điệp giúp mở rộng cửa một máy tính để tin tặc dễ dàng xâm nhập. Một khi đã khống chế được mục tiêu, Regin bắt đầu kích hoạt chương trình “con”, chương trình này lại “đánh thức” một chương trình đính kèm khác… Cứ thế, các mã độc có thể len lỏi sâu rộng vào máy tính bị tấn công và do quá trình kích hoạt được chia thành nhiều giai đoạn rất tinh vi nên việc phát hiện cực kì khó khăn, ngay cả khi máy được bảo vệ bằng những phần mềm bảo mật mạnh.
Nhờ Regin, tin tặc có thể kiểm soát gần như hoàn toàn hệ thống máy tính đã bị nhiễm: chụp màn hình; lấy mật mã; sử dụng bàn phím hoặc con chuột của máy bị tấn công; lấy dữ liệu, kể cả những dữ liệu đã bị xóa; theo dõi các thông tin trao đổi qua mạng internet…
Nếu hệ thống máy tính bị “nhiễm độc” của một công ty viễn thông hoặc cung cấp dịch vụ điện thoại di động, tin tặc có thể theo dõi toàn bộ khách hàng của những công ty này. Trong trường hợp mục tiêu là máy tính của một hãng hàng không hoặc khách sạn, những kẻ đứng sau Regin có thể lấy thông tin khách hàng để truy ra lịch trình của một cá nhân cần theo dõi.
Nạn nhân của vụ tấn công mã độc Regin
Theo các nhà nghiên cứu, đã có hàng trăm nạn nhân, trong suốt nhiều năm . Những nạn nhân của loại mã độc này bao gồm nhiều đối tượng: cá nhân, các cơ sở giáo dục, các các cơ quan chính phủ và các nhà cung cấp dịch vụ viễn thông và Internet.
Nạn nhân nổi bật nhất là Liên minh châu Âu bị tấn công vào năm 2011 và nhà cung cấp dịch vụ Internet và điện thoại của Bỉ- Belgacom. Máy tính của nhân viên đã bị tấn công qua một trang LinkedIn giả mạo. Trang này được sử dụng để cài đặt phần mềm độc hại trên máy tính của khách truy cập. Thông tin này được tiết lộ vào năm 2013 bởi các tài liệu do Edward Snowden (người đã làm rò rỉ những bí mật hàng đầu của chính phủ Mỹ và Anh cho giới báo chí về những chương trình theo dõi người dân) tiết lộ. Theo các báo cáo, các cuộc tấn công này chỉ là một phần của chiến dịch Regin lớn.
Các nạn nhân khác bao gồm một nhà khai thác di động GSM nhỏ ở một nước Trung Đông vào năm 2008.
Dưới đây là biểu đồ thống kê mức độ nhiễm mã độc Regin của các quốc gia. Hầu hết các lây nhiễm được phát hiện tại Nga (28%), sau đó là Ảrập Saudi với 24%. Regin cũng được tìm thấy tại Mexico, Ireland, Ấn độ, Afghanistan, Iran, Belgium, Úc và Pakistan. Theo báo cáo của Symantec thì không có Mỹ và Anh.
Gần một nửa Regin tấn công vào các các nhân và doanh nghiệp nhỏ chiếm 48%, tấn công các công ty viễn thông chiếm 28%, ngoài ra còn có các ngành y tế, năng lượng, hàng không và nghiên cứu.
Regin là một malware đa cấp, module và có rất nhiềm thành phần, mỗi thành phần lại phụ thuộc lẫn nhau để tổ chức hoạt động tấn công. Nền tảng tấn công không gian mạng được xây dựng sử dụng kiến trúc 6 cấp, mỗi cấp đều được che dấu và mã hóa ngoại trừ cấp đầu tiên. “Thực thi cấp đầu tiên sẽ bắt đầu chuỗi domino giải mã và nạp những cấp tiếp theo. Cấp đầu tiên liên quan đến việc cài đặt và cấu hình các dịch vụ nội bộ trong malware. Các cấp tiếp theo đưa payload chính của Regin vào cuộc chơi.”[​IMG]
Regin sử dụng phương pháp module, cho phép nó tải những tính năng tùy chỉnh phù hợp với mục tiêu tấn công.
Kết luận:
Sự khám phá ra Regin tiết lộ cho chúng ta thấy sự phát triển của các công cụ được sử dụng để thu thập thông tin của các cơ quan tình báo. Chúng thực sự nguy hiểm và phức tạp, không dễ dàng để điều tra và nghiên cứu về nó. Bởi đứng sau loại siêu mã độc Regin này là cả một tổ chức, quốc gia. Đến hiện giờ mã độc Regin vẫn còn là ẩn số với các nhà nghiên cứu.

Nguồn: SecurityBox​