Việt 247

(Thời sự) - Ngày 24/06/2014, hãng bảo mật F-Secure (Phần Lan) đã phát hành báo cáo tiết lộ về mã độc Havex, một loại mã độc giống với Stuxnet, chuyên tấn công vào các hệ thống giám sát và thu thập dữ liệu SCADA và hệ thống điều khiển công nghiệp (ICS) của các doanh nghiệp trong lĩnh vực năng lượng tại Châu Âu.

Bên cạnh việc sử dụng các phương pháp truyền thống để lây lan mã độc, các tin tặc còn tấn công vào trang web của các hãng phần mềm và thay thế các ứng dụng hợp pháp bằng các phiên bản đã bị cấy trojan.

Vẫn chưa rõ động cơ của các tin tặc này là gì nhưng các chuyên gia nghi ngờ đây có thể là những tin tặc đến từ Nga vì mã độc Havex từng được sử dụng trong một chiến dịch gián điệp mạng được cho là do Nga tiến hành.

Mã độc Havex, một loại mã độc giống với Stuxnet, chuyên tấn công vào các hệ thống giám sát và thu thập dữ liệu SCADA và hệ thống điều khiển công nghiệp (ICS) của các doanh nghiệp trong lĩnh vực năng lượng tại Châu Âu.

Cũng giống như Stuxnet, mã độc được thiết kế đặc biệt để phá hoại các dự án hạt nhân của Iran, trojan mới Havex cũng được lập trình để lây nhiễm vào các phần mềm hệ thống giám sát và thu thập dữ liệu SCADA và hệ thống điều khiển công nghiệp (ICS), với khả năng vô hiệu hóa các đập thủy điện, làm quá tải các nhà máy điện hạt nhân và thậm chí có thể đánh sập lưới điện của một quốc gia chỉ bằng phím tắt duy nhất.

Theo các chuyên gia đến từ F-Secure, những người đầu tiên phát hiện mã độc này với đường dẫn Backdoor:W32/Havex.A., đây là một phần mềm gián điệp truy cập từ xa (RAT) và gần đây đã được sử dụng để tiến hành các hoạt động gián điệp công nghiệp nhằm vào một số doanh nghiệp tại Châu Âu chuyên sử dụng hoặc phát triển các máy móc và ứng dụng công nghiệp.

Cài đặt trojan hóa

Để thực hiện điều này, bên cạnh các phương pháp lây nhiễm truyền thống như sử dụng các bộ công cụ khai thác các ứng dụng hay phát tán qua thư rác, bọn tội phạm mạng còn sử dụng một phương pháp hiệu quả khác để lây lan Havex.

Cụ thể, bọn chúng tấn công vào các trang web của các công ty phần mềm, sau đó đợi nạn nhân tải về và cài đặt các phiên bản chứa trojan độc hại của các ứng dụng hợp pháp.

“Có vẻ như các tin tặc đã lợi dụng các lỗ hổng trong các phần mềm quản lý các trang web để xâm nhập và thay thế các chương trình cài đặt phần mềm hợp pháp cho người dùng tải về”, theo hai nhà nghiên cứu Daavid Hentunen và Antti Tikkanen đến từ F-Secure. “Nghiên cứu của chúng tôi đã phát hiện 3 trang web của nhà cung cấp phần mềm bị xâm nhập. Chương trình cài đặt trên các trang web này đã bị cấy trojan Havex. Chúng tôi nghi ngờ vẫn còn các trường hợp tương tự nhưng chưa bị phát hiện”.

Các trang web bị xâm nhập thuộc về các doanh nghiệp phát triển những phần mềm được sử dụng trong các ứng dụng công nghiệp. Hai trong số đó cung cấp phần mềm quản lý từ xa được sử dụng trong các hệ thống công nghiệp. Doanh nghiệp thứ ba phát triển các camera công nghiệp có độ chính xác cao và các phần mềm liên quan. Các doanh nghiệp chưa được xác định này nằm ở Đức, Thụy Sĩ và Bỉ.

Trong quá trình cài đặt, phần mềm đã bị cấy trojan sẽ tạo ra một tập tin mang tên “mbcheck.dll” mà thực chất là mã độc Havex, được tin tặc sử dụng làm cửa hậu. “Máy chủ điều khiển và kiểm soát (C&C) sẽ điều khiển các máy tính bị nhiễm mã độc về tải và thực thi các thành phần mã độc bổ sung”, F-Secure cho hay.

“Chúng tôi đã thu thập và phân tích 88 biến thể của Havex được sử dụng để truy cập, thu thập dữ liệu về mạng và tài nguyên của máy tính. Phân tích này cũng bao gồm một cuộc điều tra về 146 máy chủ C&C có liên lạc với các biến thể khác nhau liên quan đến việc truy tìm khoảng 1.500 địa chỉ IP trong nỗ lực nhằm xác nhận các nạn nhân”.

F-Secure không đề cập đến tên của các nhà cung cấp bị ảnh hưởng nhưng cho biết có một nhà sản xuất máy công nghiệp, hai tổ chức giáo dục tại Pháp và các doanh nghiệp tại Đức bị ảnh hưởng.

Thu thập thông tin

Mã độc Havex được trang bị một thành phần mới, có mục đích thu thập thông tin trên các thiết bị được kết nối và các hệ thống mạng bằng cách tận dụng chuẩn Giao tiếp nền tảng mở (Open Platform Communications – OPC).

OPC là một chuẩn giao tiếp cho phép sự tương tác giữa các ứng dụng SCADA chạy hệ điều hành Windows và phần cứng điều khiển tiến trình. Mã độc quét hệ thống mạng nộ bộ để tìm các thiết bị đáp ứng các yêu cầu OPC nhằm thu thập thông tin về các thiết bị điều khiển công nghiệp và sau đó gửi những thông tin này lại cho máy chủ C&C của nó.

Bên cạnh đó, mã độc này còn bao gồm các công cụ thu thập thông tin từ các hệ thống bị lây nhiễm, như thông tin liên quan đến hệ điều hay, hay thông tin mật khẩu được lưu trên trình duyệt web.

Động cơ của các tin tặc này là gì?

Trong khi động cơ của những tin tặc này vẫn chưa rõ ràng, “Chúng tôi cũng xác định một thành phần bổ sung được những kẻ tấn công sử dụng bao gồm các mã khai thác dữ liệu từ các máy tính bị nhiễm được sử dụng trong các hệ thống ICS/SCADA. Điều này cho thấy những kẻ tấn công không chỉ quan tâm đến việc gây ảnh hưởng mạng lưới của các công ty mà còn được sử dụng để thúc đẩy việc kiểm soát hệ thống các ICS/SCADA trong tổ chức đó”, F-Secure cho biết.

Trojan Havex có nguồn gốc từ Nga?

Vào tháng 01/2014, hãng bảo mật CrowdStrike đã tiết lộ về một chiến dịch gián điệp mạng mang tên “Energetic Bear”. Các tin tặc trong chiến dịch này có khả năng liên quan đến hoạt động xâm nhập vào các mạng máy tính của các công ty năng lượng tại Châu Âu, Mỹ và Châu Á do Nga tiến hành.

Theo CrowdStrike, các mã độc được sử dụng trong các cuộc tấn công mạng là Havex và SYSMain và có thể chính Havex là một phiên bản mới của SYSMain. Cả hai công cụ này đều được các tin tặc phát triển ít nhất là từ năm 2011.

Điều này đồng nghĩa với việc có thể mã độc Havex có liên quan đến các tin tặc Nga hoặc do Chính phủ Nga tài trợ.

Nguyễn Anh (Theo The Hacker News và Arstechnica)