Tin tặc nhắm vào những người bất đồng chính kiến Việt Nam

<div class="special_quote"><strong>Tin liên quan:</strong>

<ul>
<li><a href="http://danluan.org/node/4209">Vài dòng về Tấn công từ
chối dịch vụ (DoS)</a></li>
</ul></div>
Cho đến thời điểm này, các bạn có thể đã đọc bài viết
trên Google Blog nói về các vụ tấn công có chủ ý chống lại
máy tính của những người bất đồng chính kiến Việt Nam.
Mạng botnet, được McAfee phát hiện khi điều tra về Chiến
dịch Aurora, đã sử dụng những máy tính bị nhiễm mã độc
vào một chiến dịch được coi là có mưu đồ chính trị.
McAfee đã chia sẻ kết quả điều tra của mình với Google trong
quá trình tìm hiểu sự việc.

Những kẻ tấn công đã tạo ra mạng botnet nhằm vào những
người bất đồng chính kiến Việt Nam bằng phần mềm độc
hại giả dạng một chương trình gõ tiếng Việt trên Windows.
Chương trình gõ tiếng Việt này có tên là VPSKeys, là một
chương trình khá phổ biến trong cộng đồng người Việt sử
dụng hệ điều hành Windows, và là chương trình cần thiết
để gõ tiếng Việt trên nhiều phần mềm Windows khác.

Mã độc giả dạng chương trình gõ tiếng Việt này, sau khi
được cài đặt vào máy tính, sẽ biến máy tính đó thành
một phần của botnet, nhận lệnh từ những hệ thống điều
khiển nằm ở trên toàn thế giới. Những hệ thống điều
khiển này được điều khiển từ xa chủ yếu bằng IP xuất
phát từ trong Việt Nam.

Chúng tôi nghi ngờ nỗ lực tạo dựng mạng botnet này bắt
đầu từ cuối năm 2009, trùng hợp với vụ tấn công Chiến
Dịch Aurora. Khi phòng nghiên cứu của McAfee tìm hiểu mã độc
liên quan đến Chiến dịch Aurora, chúng tôi tin rằng hai vụ
tấn công này không liên quan đến nhau. Mã đọc trong phần mềm
VPSKeys đơn giản hơn nhiều so với mã độc của Chiến dịch
Aurora. Đây chỉ là một mã bot thường thấy, được dùng để
lây nhiễm các máy tính và tạo ra cuộc tấn công từ chối
dịch vụ, giám sát máy tính bị lây nhiễm và dùng vào một
số mục đích bất minh khác.


Chúng tôi tin rằng những kẻ tấn công đã đầu tiên chiếm
quyền kiểm soát trang www.vps.org, trang web của Hội Chuyên Gia
Việt Nam (Vietnamese Professionals Society - VPS), và thay bản cài
đặt chính thống bằng bản có chứa mã độc (trojan). Những
kẻ tấn công sau đó đã gửi email tới những người đã
download chương trình VPSkeys, nhắc họ vào trang chủ của VPS
để tải lại bản có chứa mã độc.

Chương trình gõ tiếng Việt có chứa mã độc, mà McAfee đặt
tên là W32/VulcanBot, kết nối các máy tính bị nhiễm thành một
mạng lưới. Trong quá trình điều tra của chúng tôi vào hệ
thống botnet này, chúng tôi tìm thấy khoảng một tá các hệ
thống điều khiển từ các mạng máy tính bị tin tặc tấn
công. Những máy chủ điều khiển này ĐƯỢC TRUY CẬP CHỦ
YẾU bằng IP xuất phát từ Việt Nam.

Mã độc sẽ cài những chương trình sau đây vào hệ thống bị
lây nhiễm:

* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe

* %UserDir%\Application Data\Java\jre6\bin\zf32.dll

* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick
Launch\VPSKEYS 4.3.lnk

* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe

* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe

* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe

* %SysDir%\mscommon.inf

* %SysDir%\msconfig32.sys

* %SysDir%\zf32.dll

* %SysDir%\Setup\AdobeUpdateManager.exe

* %SysDir%\Setup\jucheck.exe

* %SysDir%\Setup\MPClient.exe

* %SysDir%\Setup\MPSvc.exe

* %SysDir%\Setup\OSA.exe

* %SysDir%\Setup\wuauclt.exe

* %SysDir%\Setup\zf32.dll

Những tập tin này, khi được thực thi, sẽ tạo ra những kết
nối tới các domain sau đây:

* google.homeunix.com

* tyuqwer.dyndns.org

* blogspot.blogsite.org

* voanews.ath.cx

* ymail.ath.cx

Trong khi một số domain và tập tin nói trên được cho là có
liên quan đến Chiến Dịch Aurora, chúng tôi sau này đã kết
luận rằng mã độc này không lên quan đến Aurora và chúng sử
dụng một nhóm máy chủ điều khiển hoàn toàn khác.

Chúng tôi tin rằng những kẻ tấn công có thể có mục đích
chính trị và có thể có sự trung thành với chính phủ nước
Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam. Mục tiêu của Hội
Chuyên Gia Việt Nam (VPS) là để tăng cường kiến thức và
hiểu biết về các vấn đề kinh tế xã hội trong các nước
Đông Nam Á, theo như Wikipedia.

McAfee đã bổ sung khả năng phát hiện mã độc này vào tháng
Một, cùng khoảng thời gian chúng tôi cung cấp sự bảo vệ
chống lại mã độc của Chiến dịch Aurora. Mạng botnet này
vẫn đang tiếp tục hoạt động và tấn công các trang mạng cho
tới hôm nay.

Sự kiện này cho thấy không phải mọi cuộc tấn công đều
liên quan đến ăn trộm dữ liệu hay vì tiền. Đây là ví dụ
mới nhất về cuộc tấn công trên mạng có xu hướng chính
trị, một trào lưu đang gia tăng và một chủ đề mà McAfee
vẫn thường bàn đến trong các ấn phẩm của mình. Trong một
bài báo trên Cybercrime and Hacktivism được xuất bản vào tháng
này, nhà nghiên cứu Francois Paget sẽ thảo luận chủ đề này
một cách chi tiết. Nó cũng được bàn đến trong bản Báo Cáo
Các Mối Đe Dọa Trên Mạng Hàng Quý của chúng tôi.

Chúng tôi sẽ tiếp tục cập nhật thông tin, khi có những sự
kiện mới được phát hiện.


***********************************

Entry này được tự động gửi lên từ trang Dân Luận
(http://danluan.org/node/4577), một số đường liên kết và hình
ảnh có thể sai lệch. Mời độc giả ghé thăm Dân Luận để
xem bài viết hoàn chỉnh. Dân Luận có thể bị chặn tường
lửa ở Việt Nam, xin đọc hướng dẫn cách vượt tường lửa
tại đây (http://kom.aau.dk/~hcn/vuot_tuong_lua.htm) hoặc ở đây
(http://docs.google.com/fileview?id=0B_SKdt9lFNAxZGJhYThiZDEtNGI4NC00Njk3LTllN2EtNGI4MGZhYmRkYjIx&hl=en)
hoặc ở đây (http://danluan.org/node/244).

Dân Luận có các blog dự phòng trên WordPress
(http://danluan.wordpress.com) và Blogspot (http://danluanvn.blogspot.com),
mời độc giả truy cập trong trường hợp trang Danluan.org gặp
trục trặc... Xin liên lạc với banbientap(a-còng)danluan.org để
gửi bài viết cho Dân Luận!

Không có nhận xét nào:

Đăng nhận xét