Phát hiện mã độc StoneDrill phá hủy mọi thứ trên máy tính

Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab vừa phát hiện ra một loại mã độc vô cùng tinh vi mới có tên gọi StoneDrill. Cũng như một loại mã độc xóa dữ liệu khét tiếng khác là Shamoon, mã độc StoneDrill sẽ phá hủy mọi thứ trên máy tính bị lây nhiễm. Mã độc này cũng rất đặc biệt với kĩ thuật chống phát hiện cao cấp và những công cụ gián điệp của nó.

Phát hiện mã độc StoneDrill phá hủy mọi thứ trên máy tính - stonedrill vs shamoon1
 

Điểm lại một chút về lịch sử hình thành phát hiện StoneDrill. Năm 2012, Shamoon (còn được biết đến là Disttrack) vốn nổi tiếng vì từng tấn công hơn 35.000 máy tính của công ty dầu khí ở Trung Đông. Cuộc tấn công này đã khiến 10% nguồn cung cấp dầu mỏ của thế giới có nguy cơ bị nguy hiểm. Tuy nhiên, sự cố này chỉ mới là khởi đầu, sau đó mọi chuyện càng trở nên nghiêm trọng. Vào cuối năm 2016, nó trở lại dưới tên gọi là Shamoon 2.0, một chiến dịch mã độc sâu rộng hơn sử dụng phiên bản cập nhật của mã độc năm 2012. Trong khi nghiên cứu những cuộc tấn công này, các nhà nghiên cứu của Kaspersky Lab vô tình phát hiện ra một loại mã độc được tạo ra dưới một hình thức gần giống với Shamoon 2.0. Tuy nhiên, nó lại rất khác biệt và còn tinh vi hơn cả Shamoon, họ gọi mã độc này là StoneDrill.


Theo mô tả của các chuyên gia Kaspersky Lab, chưa biết StoneDrill phát tán như thế nào, nhưng khi máy bị tấn công, nó tự đưa mình vào quá trình nhớ của trình duyệt ưa thích của người dùng. Trong quá trình này, nó sử dụng hai kĩ thuật chống làm giả tinh vi nhằm đánh lừa các giải pháp bảo mật được cài đặt trong máy của nạn nhân. Lúc này mã độc bắt đầu phá hủy các tập tin trên máy tính. Cho đến thời điểm này, ít nhất hai đối tượng của mã độc xóa dữ liệu StoneDrill đã được xác định, một ở Trung Đông và một ở Châu Âu.

 

Bên cạnh module xóa dữ liệu, các nhà nghiên của của Kaspersky Lab cũng tìm thấy backdoor StoneDrill, vốn được phát triển bởi cùng các nhà lập trình và được sử dụng cho mục đích gián điệp. Các chuyên gia đã phát hiện bốn bảng chỉ huy và điều khiển đã được các kẻ tấn công sử dụng để chạy các hoạt động gián điệp với sự giúp đỡ của backdoor StoneDrill chống lại một số mục tiêu không rõ.

Điểm thú vị nhất về StoneDrill chính là việc nó kết nối với các mã độc xóa dữ liệu khác và những hoạt động gián điệp trước đó. Khi các nhà nghiên cứu của Kaspersky Lab phát hiện StoneDrill với sự trợ giúp của các quy tắc Yaram được tạo ra để xác định các mẫu chưa biết của Shamoon, họ nhận ra mình đang tìm kiếm một mã độc độc hại mà dường như đã được tạo ra từ Shamoon một cách riêng biệt. Mặc dù hai mã độc cùng nguồn gốc, Shamoon và StoneDrill không chia sẻ chính xác cùng một nền tảng mã, tuy nhiên tư duy của tác giả và cách lập trình khá giống nhau. Đó là lí do tại sao có thể xác định StoneDrill từ những quy tắc Yara do Shamoon phát triển.

Dù quan sát thấy có sự tương đồng mã code với mã độc đã biết trước đó, nhưng lần này lại không có sự tương đồng giữa Shamoon và StoneDrill. Trên thực tế, StoneDrill sử dụng một số phần của mã trước đây được phát hiện trong chiến dịch gián điệp NewsBeef, còn được biết đến với tên gọi Charming Kitten – một chiến dịch độc hại khác đã hoạt động trong vài năm gần đây.

Mohamad Amin Hasbini, nhà nghiên cứu bảo mật cao cấp của bộ phận nghiên cứu và phân tích toàn cầu của Kaspersky cho biết, bộ phận nghiên cứu Kaspersky Lab đã bị thu hút bởi sự tương đồng và sự so sánh giữa hoạt động của ba nhóm mã độc nguy hiểm này. Liệu StoneDrill có phải là một mã độc xóa dữ liệu khác được triển khai bởi nhân tố Shamoon? Hay StoneDrill và Shamoon thuộc hai nhóm khác nhau và hoàn toàn tách biệt nhưng lại vô tình nhằm vào các tổ chức Saudi cùng lúc? Hoặc hai nhóm tách biệt nhưng lại được sắp xếp theo cùng mục tiêu của chúng? Giả thuyết sau cùng có thể là: chúng ta có thể nói rằng trong khi Shamoon gắn các phần ngôn ngữ có nguồn gốc Ả Rập thì StoneDrill lại gắn các phần ngôn ngữ có nguồn gốc Persian. Các nhà phân tích địa chính trị có thể nhanh chóng chỉ ra rằng cả  Iran và Yemen đều là nhưng tay chơi trong cuộc xung đột ủy quyền giữa Iran và Ả rập Xê-út và Ả rập Xê-út là nơi mà hầu hết nạn nhân của các hoạt động này được tìm thấy. Tuy nhiên, chúng tôi không loại trừ khả năng các đồ tạo tác này là giả.

Hiện các sản phẩm của Kaspersky đã phát hiện và loại bỏ thành công những mã độc có liên quan đến Shamoon, StoneDrill và NewsBeef. Để bảo vệ các tổ chức khỏi những cuộc tấn công này, các chuyên gia bảo mật của Kaspersky Lab khuyên, các doanh nghiệp cần tiến hành đánh giá an ninh của mạng lưới điều khiển (nghĩa là kiểm toán an ninh, thử nghiệm xâm nhập, phân tích lỗ hổng) để xác định và loại bỏ bất kỳ lỗ hổng bảo mật nào. Xem lại các chính sách bảo mật của nhà cung cấp và các bên thứ ba trong trường hợp họ có quyền truy cập trực tiếp vào mạng điều hành.

Bên cạnh đó, doanh nghiệp cần tìm kiếm sự hiểu biết bên ngoài từ các nhà cung cấp danh tiếng giúp các tổ chức tiên đoán được các cuộc tấn công vào cơ sở hạ tầng của công ty trong tương lai. Đào tạo nhân viên, đặc biệt quan tâm nến đội ngũ hoạt động và kỹ thuật và nhận thức của họ về những mối đe dọa và cuộc tấn công gần đây. Cung cấp bảo vệ trong phạm vi trong và ngoài. Một chiến lược an ninh thích hợp phải cung cấp đủ các nguồn lực đáng để để phát hiện các cuộc tấn công và phản ứng để ngăn chặn tấn công trước khi nó xâm nhập các đối tượng quan trọng. Đánh giá các phương pháp bảo vệ cấp cao: bao gồm việc kiểm tra tính toàn diện cho các bộ điều khiển và giám sát mạng chuyên dụng để tăng cường an ninh cho công ty và giảm thiểu cơ hội phá hoại thành công, ngay cả khi một số điểm nút bị tổn thương cũng không thể vá hay loại bỏ. 

Ô Lâu

Cooler Master ra mắt góc trải nghiệm đầu tiên ở Việt Nam

Thương hiệu sản xuất linh phụ kiện máy tính Cooler Master vừa xây dựng cho riêng mình góc trải nghiệm đầu tiên tại TPHCM, theo đại diện của Cooler Master, trong năm 2017, mỗi tháng hãng sẽ cố gắng xây dựng 1 góc trải nghiệm như trên.

FPT Shop khai trương 80 khu trải nghiệm Macbook, tặng quà 1,6 tỷ đồng

FPT Shop cho biết từ tháng 3/2017, chuỗi cửa hàng này sẽ chính thức khai trương 80 khu trải nghiệm Macbook đạt chuẩn Apple toàn cầu và tặng quà tổng trị giá đến 1,6 tỷ đồng cho tất cả khách hàng chọn mua Macbook nhân dịp này.

Nokia và MobiFone triển khai mạng đường trục 100G ở miền Nam

MobiFone cho biết sẽ tiến hành triển khai mạng đường trục tốc độ cao ứng dụng mạng truyền tải quang (OTN) 100G của Nokia và công nghệ ghép kênh theo bước sóng mật độ cao (DWDM), bắt đầu từ Thành phố Hồ Chí Minh tỏa đi 10 tỉnh phía nam Việt Nam.

Ngày hội luyện phát âm tiếng Anh chuẩn với phần mềm ELSA

Ngày hội luyện phát âm tiếng Anh chuẩn diễn ra ngày 5/3/2017 tại TP.HCM thu hút đông đảo học sinh, sinh viên tham dự. Làm thế nào để biết mình phát âm sai và thế nào là phát âm chuẩn luôn là mối bận tâm của chúng ta khi học và nói tiếng Anh.

Ra mắt tính năng GrabPay Credits – tiện lợi thanh toán khi sử dụng Grab

Ngày 6/3/2017, Grab chính thức ra mắt thị trường Việt Nam tính năng GrabPay Credits – giúp người dùng thanh toán phí dịch vụ đặt xe Grab bằng hình thức trả trước thông qua thẻ tín dụng, thẻ ghi nợ hoặc Internet Banking.

Lenovo nâng cấp sức mạnh tại MWC 2017

Tham gia triển lãm MWC 2017 năm nay, Lenovo chủ yếu tập trung cải tiến thiết kế và nâng cấp mạnh mẽ sức mạnh bên trong của các sản phẩm.

Huawei nhận 15 giải thưởng tại MWC 2017

Trong 2 ngày đầu tiên của hội nghị di động thế giới (MWC 2017) diễn ra ở Tây Ban Nha, Huawei đã nhận được 15 giải thưởng dành cho hai điện thoại Huawei P10, Huawei P10 Plus và đồng hồ thông minh Huawei Watch 2.

Microsoft ký kết hợp tác với Bộ Tài nguyên và Môi trường

Ngày 1/3/2017, Cục Công nghệ Thông tin (thuộc Bộ Tài nguyên và Môi trường) và Microsoft Việt Nam chính thức ký Biên bản ghi nhớ nhằm hỗ trợ, thúc đẩy hợp tác trong lĩnh vực ứng dụng và phát triển công nghệ thông tin.

Ứng viên tương tác trực tiếp với nhà tuyển dụng ngay trên điện thoại

Trang web tìm việc VietnamWorks vừa chính thức ra mắt ứng dụng tìm việc trên điện thoại di động với nhiều tính năng độc đáo, giúp người dùng nhanh chóng tìm kiếm thông tin về việc làm, tương tác trực tiếp với nhà tuyển dụng, chủ động gửi hồ sơ ứng tuyển… ngay trên chiếc điện thoại của mình.

Viettel trình diễn gì tại MWC 2017?

Với thông điệp “Technology solutions for smart society” (Giải pháp công nghệ cho xã hội thông minh), Viettel đã giới thiệu một số giải pháp “made in Việt Nam” tại Hội nghị di động thế giới – Mobile World Congress 2017 (MWC 2017), đang diễn ra từ 27/2 – 2/3/2017 tại Barcelona (Tây Ban Nha).