Xác định ngôn ngữ lập trình lạ của trojan Duqu khét tiếng
Các chuyên gia Kaspersky Lab với sự trợ giúp của cộng đồng lập trình thế giới đã nhận dạng được ngôn ngữ lập trình viết nên đoạn code của trojan Duqu vốn được cho là có ngôn ngữ riêng, “bí hiểm”.
Kaspersky Lab tuyên bố đã nhận dạng được “ngôn ngữ lập trình lạ” dùng để viết mẩu code của trojan Duqu khét tiếng từng được sử dụng để tấn công các công trình công nghiệp của Iran. Các chuyên gia của Kaspersky Lab từng thông báo hôm 7/3 về việc khó nhận dạng ngôn ngữ lập trình dùng viết trojan nói trên.
Khó khăn trong nhận dạng liên quan tới mã của cái gọi là Framework Duqu. Mã này chịu trách nhiệm về hoạt động tương tác giữa máy tính nhiễm trojan với máy chủ của tin tặc. Theo thông báo của Công ty, các nghiên cứu về Framework Duqu tại Kaspersky Lab đã kéo dài từ tháng 11/2011. Suốt thời gian này, các chuyên gia của Kaspersky Lab đã mời các chuyên gia ở Microsoft cùng tiến hành đối chiếu gần 30 ngôn ngữ lập trình, bao gồm các ngôn ngữ kì lạ Brainfuck và Haskell. Tuy nhiên, họ đã không tìm ra ngôn ngữ dùng để tạo nên đoạn code tựa như Framework Duqu.
Sau vài tháng nghiên cứu, các chuyên gia Kaspersky Lab đã kêu gọi cộng đồng lập trình giúp đỡ. Những giả thuyết phổ biến nhất do các phóng viên gợi ý với Kaspersky Lab là các ngôn ngữ như LISP, Forth, rlang, Google Go, Delphi, OO C và các trình biên dịch cổ như C và một số ngôn ngữ khác.
Kaspersky Lab kết luận rằng Framework Duqu có nhiều khả năng được viết bằng C. Tuy nhiên, khi phát triển, các tác giả đã sử dụng phần mở rộng riêng nên có thể coi đó là một biến thể hiếm của C. Trình biên dịch có lẽ là MSVC 2008.
Video đang HOT
Trojan Duqu được sử dụng để tấn công theo mục tiêu là các công trình công nghiệp của Iran…
Lưu ý cách tiếp cận khác với thói thường của các tác giả Duqu, chuyên gia về vi rút của Kaspersky Lab Igor Sumenkov nhận định việc sử dụng biến thể của C thay vì C của các tác giả Duqu có thể gây mất lòng tin vào trình biên dịch C vốn đặc trưng cho các nhà phát triển với nhiều năm kinh nghiệm…
“Hai yếu tố này cho thấy rằng mã đã được viết bởi một nhóm nhà phát triển giàu kinh nghiệm của “trường phái cũ”, những người muốn tạo ra một nền tảng di động và dễ dàng thay đổi cho các cuộc tấn công”, các chuyên gia cho biết.
Chuyên gia chính về vi rút của Kaspersky Lab, Alexander Gostev lưu ý rằng các tác giả Duqu không chỉ là các nhà lập trình có thâm niên mà còn là những người có cả núi thời gian rỗi. Theo ý ông Gostev, các nhà phát triển đoạn mã đã bỏ ra rất nhiều thời gian mặc dù công việc có thể được làm nhanh và đơn giản hơn. “Họ không có nhiệm vụ phải làm nhanh việc này. Chúng tôi từng tưởng tượng hài hước rằng họ đang ngồi trong tù và làm việc này”, Gostev nói.
Việc hiểu bản chất của đoạn mã Duqu giúp sẽ bổ ích cho việc tìm tòi, khám phá, các chuyên gia giải thích. Ngoài ra, không loại trừ trường hợp có thể tìm được các phần mềm hợp pháp sử dụng cùng phương pháp này. Cần biết rằng nguồn gốc của việc trojan Duqu và sâu Stuxnet gần gũi với nó tấn công các công trình hạt nhân của Irancho đến nay vẫn là bí ẩn.
Trojan Duqu nổi tiếng từ 1/9/2011. Theo các chuyên gia, trojan này được tạo ra để tấn công nhằm vào máy tính của các công trình công nghiệp và các tổ chức chính phủ, thương mại của Iran. Duqu đã được tạo nên trên nền tảng phần mềm chung với sâu máy tính nổi tiếng khác là Stuxnet. Năm 2011, Stuxnet đã lây nhiễm đến các trạm phát điện nguyên tử của Iran đồng thời thâm nhập vào mạng của hàng loạt xí nghiệp trên toàn thế giới.
Theo các chuyên gia Kaspersky Lab, cả hai trojan có cùng một nhóm tác giả. Khác với Stuxnet, Duqu không gây tác hại cho hệ thống bị lây nhiễm đến mức tổ chức phân phối và thiết lập các mô-đun trojan bổ sung vào hệ thống. Do Duqu dùng cho việc tấn công theo mục tiêu cụ thể, số máy tính bị nhiễm không lớn. Kaspersky Lab đang đ.ánh giá số sự cố gắn liền với Duqu.
“Không nghi ngờ về việc Stuxnet và Duqu được viết với sự quan tâm của một chính phủ nào đó, nhưng chính phủ nào thì không có bằng chứng”, Alexander Gostev tuyên bố. Lưu ý là ngày 4/3, cựu lãnh đạo Cơ quan An ninh Quốc gia Mỹ (NSA) Michael Hayden trả lời phỏng vấn CBS đã cho biết “Stuxnet là ý tưởng tốt”. Tuy nhiên, vị tướng không nói chính phủ nào đứng sau việc tạo nên trojan này mà Duqu là hậu duệ của nó.
Theo ICTnew
Trojan ZeuS trở lại tấn công smartphone
Theo sau cuộc tấn công vào cuối tháng 9 năm ngoái, ngày 21 tháng 2 vừa qua, trojan ZeuS đã trở lại với một biến thể nguy hiểm hơn. Làn sóng mới tấn công vào smartphone được ghi nhận tại Ba Lan, trực tiếp nhắm đến các khách hàng của ngân hàng ING. Tuy vậy các chuyên gia của Kaspersky Lab cảnh báo những phân tích mới nhất cho thấy khả năng sẽ có đợt tấn công trên quy mô toàn cầu của Trojan này.
Cuộc tấn công đầu tiên của dòng trojan này với phiên bản ZitMo xảy ra vào cuối tháng 9/2010. Khi bị tấn công, người dùng được yêu cầu nhập số điện thoại và model của smartphone để cập nhật chứng nhận phần cứng của máy. Sau đó, một URL với đường dẫn đến địa chỉ cập nhật chứng nhận (thật sự là một trojan chạy trên nền tảng Windows Mobile) được gửi qua tin nhắn SMS đến điện thoại của nạn nhân. Nếu người dùng truy cập vào liên kết này, trojan sẽ tải và cài đặt tập tin độc hại. Sau khi thâm nhập thành công, một tin nhắn SMS có mã chứng thực mTAN sẽ được âm thầm gửi đến số điện thoại di động của tin tặc, tạo điều kiện cho các hoạt động đ.ánh cắp thông tin sau này.
Biến thể mới càng nguy hiểm hơn vì có khả năng chạy trên một số hệ điều hành phổ biến như Trojan-Spy.Win32.Zbot.bbmf cho Windows, Trojan-Spy.SymbOS.Zbot.b cho Symbian và Trojan-Spy.WinCE.Zbot.a cho Windows Mobile. Theo đó các phiên bản mới này cũng có cùng một cấu trúc và chức năng tương tự như phiên bản gốc. Thậm chí ở tất cả các đợt tấn công mà Kaspersky Lab ngăn chặn, các thông tin bị đ.ánh cắp đều được gửi đến cùng số điện thoại ở Anh, tương tự như cuộc tấn công cuối năm 2010.
Đợt tấn công đầu tiên của Trojan ZeuS cho thấy giới tội phạm mạng tiếp tục mở rộng hoạt động đến những nền tảng mới và các khu vực mục tiêu mới, cụ thể là đ.ánh cắp các mã chức thực mTAN. Tuy nhiên đợt tấn công thứ 2 chứng minh rằng bọn tin tặc đã tìm thấy hiệu quả cao trong các cuộc tấn công và tiếp tục phát triển mở rộng phương thức tấn công vào các hệ điều hành khác. Hiện các chuyên gia của Kaspersky Lab cho biết đang tiếp tục nghiên cứu hoạt động này và sẽ cập nhật những thông tin mới trong thời gian sớm nhất.
Theo Hà Nội mới
Tài khoản ngân hàng có thể bị tấn công qua Smartphone Theo cảnh báo mới nhất của McAfee, những người sử dụng di động chạy Android đang có nguy cơ bị chiếm quyền kiểm soát tài khoản ngân hàng với loại Trojan mới. Với sự tăng trưởng chóng mặt của các loại di động chạy Android, rất nhiều người dùng di động chạy hệ điều hành này đang phải đối mặt với những nguy...
