Tin tặc nhắm vào những người bất đồng chính kiến Việt Nam

  • Bởi Admin
    31/03/2010
    5 phản hồi

    George Kurtz<br />
    Tqvn2004 chuyển ngữ

    Những ai sử dụng bộ gõ VPSKeys xin nhanh chóng kiểm tra máy tính của mình, để xem có bị nhiễm mã độc hay không...

    Cho đến thời điểm này, các bạn có thể đã đọc bài viết trên Google Blog nói về các vụ tấn công có chủ ý chống lại máy tính của những người bất đồng chính kiến Việt Nam. Mạng botnet, được McAfee phát hiện khi điều tra về Chiến dịch Aurora, đã sử dụng những máy tính bị nhiễm mã độc vào một chiến dịch được coi là có mưu đồ chính trị. McAfee đã chia sẻ kết quả điều tra của mình với Google trong quá trình tìm hiểu sự việc.

    Những kẻ tấn công đã tạo ra mạng botnet nhằm vào những người bất đồng chính kiến Việt Nam bằng phần mềm độc hại giả dạng một chương trình gõ tiếng Việt trên Windows. Chương trình gõ tiếng Việt này có tên là VPSKeys, là một chương trình khá phổ biến trong cộng đồng người Việt sử dụng hệ điều hành Windows, và là chương trình cần thiết để gõ tiếng Việt trên nhiều phần mềm Windows khác.

    Mã độc giả dạng chương trình gõ tiếng Việt này, sau khi được cài đặt vào máy tính, sẽ biến máy tính đó thành một phần của botnet, nhận lệnh từ những hệ thống điều khiển nằm ở trên toàn thế giới. Những hệ thống điều khiển này được điều khiển từ xa chủ yếu bằng IP xuất phát từ trong Việt Nam.

    Chúng tôi nghi ngờ nỗ lực tạo dựng mạng botnet này bắt đầu từ cuối năm 2009, trùng hợp với vụ tấn công Chiến Dịch Aurora. Khi phòng nghiên cứu của McAfee tìm hiểu mã độc liên quan đến Chiến dịch Aurora, chúng tôi tin rằng hai vụ tấn công này không liên quan đến nhau. Mã đọc trong phần mềm VPSKeys đơn giản hơn nhiều so với mã độc của Chiến dịch Aurora. Đây chỉ là một mã bot thường thấy, được dùng để lây nhiễm các máy tính và tạo ra cuộc tấn công từ chối dịch vụ, giám sát máy tính bị lây nhiễm và dùng vào một số mục đích bất minh khác.

    Chúng tôi tin rằng những kẻ tấn công đã đầu tiên chiếm quyền kiểm soát trang www.vps.org, trang web của Hội Chuyên Gia Việt Nam (Vietnamese Professionals Society - VPS), và thay bản cài đặt chính thống bằng bản có chứa mã độc (trojan). Những kẻ tấn công sau đó đã gửi email tới những người đã download chương trình VPSkeys, nhắc họ vào trang chủ của VPS để tải lại bản có chứa mã độc.

    Chương trình gõ tiếng Việt có chứa mã độc, mà McAfee đặt tên là W32/VulcanBot, kết nối các máy tính bị nhiễm thành một mạng lưới. Trong quá trình điều tra của chúng tôi vào hệ thống botnet này, chúng tôi tìm thấy khoảng một tá các hệ thống điều khiển từ các mạng máy tính bị tin tặc tấn công. Những máy chủ điều khiển này ĐƯỢC TRUY CẬP CHỦ YẾU bằng IP xuất phát từ Việt Nam.

    Mã độc sẽ cài những chương trình sau đây vào hệ thống bị lây nhiễm:

    * %UserDir%\Application Data\Java\jre6\bin\jucheck.exe

    * %UserDir%\Application Data\Java\jre6\bin\zf32.dll

    * %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk

    * %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe

    * %RootDir%\Program Files\Java\jre6\bin\jucheck.exe

    * %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe

    * %SysDir%\mscommon.inf

    * %SysDir%\msconfig32.sys

    * %SysDir%\zf32.dll

    * %SysDir%\Setup\AdobeUpdateManager.exe

    * %SysDir%\Setup\jucheck.exe

    * %SysDir%\Setup\MPClient.exe

    * %SysDir%\Setup\MPSvc.exe

    * %SysDir%\Setup\OSA.exe

    * %SysDir%\Setup\wuauclt.exe

    * %SysDir%\Setup\zf32.dll

    Những tập tin này, khi được thực thi, sẽ tạo ra những kết nối tới các domain sau đây:

    * google.homeunix.com

    * tyuqwer.dyndns.org

    * blogspot.blogsite.org

    * voanews.ath.cx

    * ymail.ath.cx

    Trong khi một số domain và tập tin nói trên được cho là có liên quan đến Chiến Dịch Aurora, chúng tôi sau này đã kết luận rằng mã độc này không lên quan đến Aurora và chúng sử dụng một nhóm máy chủ điều khiển hoàn toàn khác.

    Chúng tôi tin rằng những kẻ tấn công có thể có mục đích chính trị và có thể có sự trung thành với chính phủ nước Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam. Mục tiêu của Hội Chuyên Gia Việt Nam (VPS) là để tăng cường kiến thức và hiểu biết về các vấn đề kinh tế xã hội trong các nước Đông Nam Á, theo như Wikipedia.

    McAfee đã bổ sung khả năng phát hiện mã độc này vào tháng Một, cùng khoảng thời gian chúng tôi cung cấp sự bảo vệ chống lại mã độc của Chiến dịch Aurora. Mạng botnet này vẫn đang tiếp tục hoạt động và tấn công các trang mạng cho tới hôm nay.

    Sự kiện này cho thấy không phải mọi cuộc tấn công đều liên quan đến ăn trộm dữ liệu hay vì tiền. Đây là ví dụ mới nhất về cuộc tấn công trên mạng có xu hướng chính trị, một trào lưu đang gia tăng và một chủ đề mà McAfee vẫn thường bàn đến trong các ấn phẩm của mình. Trong một bài báo trên Cybercrime and Hacktivism được xuất bản vào tháng này, nhà nghiên cứu Francois Paget sẽ thảo luận chủ đề này một cách chi tiết. Nó cũng được bàn đến trong bản Báo Cáo Các Mối Đe Dọa Trên Mạng Hàng Quý của chúng tôi.

    Chúng tôi sẽ tiếp tục cập nhật thông tin, khi có những sự kiện mới được phát hiện.

    Chủ đề: Pháp luật

    Hãy chia sẻ suy nghĩ của bạn

    5 phản hồi

    Một phát ngôn thật khó hiểu của bà Nguyễn Phương Nga:

    Những ý kiến về các phần mềm gây hại nhằm vào người sử dụng máy tính có cài đặt tiếng Việt là không có cơ sở

    Ngày 3 tháng 04 năm 2010, Người Phát ngôn Bộ Ngoại giao Việt Nam Nguyễn Phương Nga trả lời câu hỏi phóng viên về phản ứng của Việt Nam trước thông tin trên Diễn đàn An ninh mạng Google (Google Online Security Blog) và Mc Afee về các phần mềm gây hại nhằm vào người sử dụng máy tính có cài đặt tiếng Việt:

    " Đây là những ý kiến không có cơ sở.

    Chúng tôi đã nhiều lần nói rõ quan điểm của Việt Nam về việc tiếp cận, sử dụng thông tin và công nghệ thông tin, trong đó có Internet. Luật pháp Việt Nam có những quy định cụ thể về chống vi-rút máy tính, phần mềm gây hại và bảo đảm an toàn, bí mật thông tin."

    Buồn cười thật! Trong quá trình điều tra Chiến Dịch Aurora, là chiến dịch tin tặc được cho là của Trung Quốc đã đột nhập nhiều công ty lớn của Hoa Kỳ, bao gồm cả Google, để lấy trộm thông tin, người ta phát hiện ra một số mã độc trên máy của nhân viên. Lúc đầu người ta nghĩ đó là các mã độc do tin tặc TQ để lại, nhưng sau đó nghiên cứu kỹ thì thấy các mã độc này dùng hệ thống điều khiển khác với các mã độc của Aurora. Chắc là một số nhân viên người Việt ở các công ty nói trên tải xuống VSPKeys để gõ tiếng Việt trên máy và dính mã độc. Nói tóm lại, việc phát hiện mã độc tấn công từ chối dịch vụ các trang bất đồng chính kiến của Việt Nam là... hoàn toàn ngẫu nhiên :D

    Tóm lược từ đây: http://www.computerworld.com/s/article/9174484/McAfee_Amateur_malware_not_used_in_Google_attacks

    Admin viết:
    Người sử dụng bộ gõ VSPKeys, nếu nghi ngờ mình đã bị nhiễm mã độc, xin hãy vào trang kiểm tra virus miễn phí của McAfee để kiểm tra:

    http://home.mcafee.com/Downloads/FreeScan.aspx

    Duyệt trang này bằng IE 6.0 trở lên, và làm theo hướng dẫn của trang...

    Hi Admin,

    I have a message "Your current browser is not supported."
    I use IE release 8

    Xài unikey chứ không phải VSPKeys.
    Tò mò scan thử nhưng không được !

    Bye
    jboss