“Ngắm bắn” 4.500 websites

Joe Stewart – Giám đốc bộ phận nghiên cứu mã độc của SecureWorks – khẳng định: “Clampi là dòng mã độc ăn cắp thông tin chuyên nghiệp nhất mà tôi từng thấy. Rất hiếm có dòng mã độc nào có độ phức tạp cao và lây nhiễm rộng rãi như dòng mã độc này.”

SecureWorks ước tính số lượng PC bị nhiễm Clampi nằm trong khoảng 100.000 đến hơn 1 triệu. Đây là dòng mã độc tấn công hệ điều hành Windows. “Hiện chúng tôi chưa có biện pháp hiệu quả nào để đếm chính xác số lượng PC bị nhiễm”. 

Mục tiêu của Clampi là người dùng 4.500 trang web có sử dụng thông tin tài chính cá nhân khác nhau như ngân hàng, môi giới chứng khoán, thẻ tín dụng, bảo hiểm, tìm việc làm, thương mại điện tử…

Ông Steward khẳng định 4.500 là một con số “thực sự gây sốc”. “Có rất nhiều mã độc ăn cắp thông tin tài chính cá nhân tồn tại trên mạng Internet nhưng thường chúng chỉ nhắm đến khoảng 20 hoặc 30 website là cùng. Clampi nhắm tới 4.500 trang web”.

Nguồn: Flickr

Tin tặc lây nhiễm Clampi vào PC người dùng bằng cách dụ họ mở một tệp tin đính kèm theo email hoặc sử dụng các bộ công cụ tự động tấn công tích hợp đa mã tấn công lỗi hệ điều hành Windows.

Khi đã lây nhiễm thành công vào PC, Clampi sẽ theo dõi sát sao quá trình duyệt web của người. Nếu người dùng truy cập vào một trong số 4.500 trang web như nói trên thì Clampi sẽ ngay lập tức ghi lại thông tin tài khoản, tên đăng nhập, mã PIN và những thông tin cá nhân khác.

Clampi sẽ chuyển mọi thông tin mà nó ăn cắp về một máy chủ của tin tặc. Những kẻ này sau đó sẽ sử dụng những thông tin đó để ăn cắp hết tiền trong tài khoản của người dùng, sử dụng thông tin thẻ tín dụng để mua hàng hoặc đơn giản chỉ là giữ ở đó khi cần có thể lôi ra sử dụng.

…độc hại

Thực sự nếu chỉ nhìn vào những đặc tính như trên thì Clampi cũng giống như hầu hết các dòng mã độc “keylogger” hoặc phần mềm gián điệp (spyware) chứ chưa thấy được sự độc hại và nguy hiểm thực sự của dòng mã độc này.

Chuyên gia Stewart cho biết Clampi khác các dòng mã độc khác ở quy mô hoạt động và mã hóa bảo mật. Mã độc này sử dụng giải pháp mã hóa đa lớp và nhiều thủ đoạn che giấu mã nguồn khác nhau khiến các chuyên gia nghiên cứu bảo mật gần như không thể điều tra chi tiết được phương thức hoạt động của nó.

“Ngay cả phương thức đóng gói mã nguồn mà những kẻ đã phát triển Clampi sử dụng cũng rất phức tạp, rất khó có thể đảo ngược mã nguồn (reverse engineer) để nghiên cứu,” ông Stewart cho biết. “Tôi có thể nói rằng đây là loại mã độc khó bị đảo ngược mã nguồn nhất tôi từng gặp từ trước đến nay”.

Cụ thể, ông Stewart cho biết những kẻ phát triển Clampi đã sử dụng các công cụ đóng gói mã nguồn chạy trên nền máy ảo. Mọi thông tin phục vụ việc đóng gói đều được lấy từ tập lệnh chip vi xử lý trên máy ảo. Chính vì thế mà mỗi lần đóng gói mã nguồn lại một lần sử dụng thông tin khác nhau. “Chúng ta không thể sử dụng những công cụ đảo mã truyền thống để làm việc được với Clampi”.

Clampi mã hóa toàn bộ luồng dữ liệu di chuyển qua lại giữa PC bị lây nhiễm và máy chủ của tin tặc. Luồng dữ liệu này được mã hóa theo nhiều lớp khác nhau. Cụ thể, luồng dữ liệu liên lạc mạng được mã hóa 448-bit. Không những thế mỗi dòng mã lệnh tấn công Clampi cũng được mã hóa bằng phương pháp độc lập.

Để tránh bị phần mềm diệt mã độc phát hiện, Clampi giấu những mô-đun hoạt động trong những khóa Windows Registry được mã hóa cẩn thận.

Quy mô hoạt động

Quy mô hoạt động của Clampi cũng khác hẳn với các dòng mã độc chuyên ăn cắp thông tin tài chính. “Clampi không chỉ nhắm mục tiêu đến các trang web ngân hàng mà cả những trang web mà người dùng cung cấp những thông tin cá nhân có thể bị lợi dụng để ăn cắp tiền của họ,” ông Stewart cho biết.

Trong số 4.500 trang web được nói đến trên đây có cả cổng thông tin quân sự, casino trực tuyến, quảng cáo, tin tức, thế chấp tín dụng… Những trang web này được lưu trữ ở các máy chủ nằm ở hơn 70 quốc gia khác nhau.

Không những thế nền tảng đằng sau hậu thuẫn cho sự hoạt động của Clampi cũng rất lớn. Không thể khẳng định chắc chắn nhưng những dấu hiệu cho thấy có vẻ như những kẻ đứng đằng sau giật giây điều khiển Clampi ở một nơi nào đó ở Nga hoặc Đông Âu.

“Có vẻ như chỉ có một nhóm tin tặc duy nhất điều khiển Clampi,” ông Stewart nhận định. “Không hề có bất kỳ diễn đàn nào của tin tặc nói về Clampi. Chính vì thế mà đến nay thông tin về dòng mã độc này gần như không có nhiều. Nhóm tin tặc điều khiển Clampi cũng hoạt động rất bí mật”.

Stewart là người đã theo dõi Clampi suốt từ năm 2007 đến nay. Trước đây dòng mã độc này rất im lìm và phải đến tận đầu năm nay nó mới bắt đầu bùng phát mạnh mẽ.

Ông Stewart nhận định rất khó có thể lần ra được đầu mối cuối cùng giúp tóm gọn băng nhóm tin tặc giật giây điều khiển Clampi. Một lý do đơn giản là máy chủ được tin tặc sử dụng để điều khiển Clampi lại không thuộc quyền quản lý của một nhà cung cấp dịch vụ thương mại nào mà nó giấu mình trong số nhưng PC bị lây nhiễm.

“Clampi hiện đang phát tán rộng rộng trên các hệ thống mạng sử dụng công nghệ và hệ điều hành của Microsoft theo phương thức phát tán tương tự như dòng sâu máy tính. Rõ ràng Clampi còn nguy hiểm hơn rất nhiều Conficker”.