Hacker sẽ cảm thấy thất bại với "chiến dịch" 1/4

Các chuyên gia nghiên cứu bảo mật nhận định chắc hẳn những kẻ đứng đằng sau giật dây điều khiển con sâu máy tính nguy hiểm Conficker giờ đây đang rất thất vọng.

Con số 0 tròn trĩnh

Chúng không thất vọng về việc mạng Internet đã không bị rung chuyển hỗn loạn trong đêm 1/4 như đã được lập trình từ trước bởi kết hoạch này đã được cộng đồng bảo mật dự báo từ trước. Người dùng Internet toàn cầu cũng được cảnh báo đầy đủ về nguy cơ này cũng như biện pháp phòng chống tự bảo vệ mình.

“…mà chúng thất vọng vì mọi nỗ lực của chúng đều đã trở thành con số 0 tròn trĩnh,” Alfred Huger – Phó giám đốc phụ trách nghiên cứu phát triển Bộ phận phản ứng nhanh với các tình huống bảo mật của Symantec – nhận định.

“Thành công quá vang dội” trong thời gian gần đây của Conficker chính là nguyên nhân khiến những kẻ đứng đằng sau phát tán và giật dây điều khiển con sâu máy tính nguy hiểm này phải thất vọng cũng như khiến mọi nỗ lực và cố gắng của chúng đổ sông đổ biển hết.

Nguyên nhân của số 0

Khi xuất hiện lần đầu tiên hồi tháng 11/2008, Conficker thực sự đã được chú ý rất nhiều bởi nó tấn công vào một lỗi bảo mật cực kỳ nguy hiểm tồn tại trong hầu hết mọi phiên bản hệ điều hành Windows cũng như số lượng PC mà nó đã bắt cóc được để làm công cụ giúp nó tổ chức nhiều đợt tấn công khác.

Song phải đến tháng 1/2009 con sâu máy tính này mới bắt đầu thu hút được nhiều sự chú ý bởi tốc độ lây nhiễm của nó quá nhanh. “Khả năng phát tán của Conficker là điều được chú ý nhiều nhất. Chỉ trong có một thời gian ngắn mà nó đã lây nhiễm thành công lên hàng triệu PC của người dùng. Thêm vào đó Conficker thật sự được lập trình bằng một kỹ thuật có thể nói là hoàn hảo sử dụng những công nghệ mới nhất khiến có khả năng hấp dẫn và khơi gợi trí tò mò của hầu hết các chuyên gia nghiên cứu bảo mật,” ông Huger cho biết.

Đỉnh điểm của sự chú ý chính là thời điểm đêm 1/4 – thời điểm được dự báo rằng biến thể mới nhất Conficker sẽ khởi động một cơ chế kết nối mới với máy chủ của tin tặc để nhận lệnh triển khai một đợt tấn công mới.

“Conficker là con sâu máy tính có mức độ phát tán và lây nhiễm lớn nhất được phát hiện kể từ sau thời đại Code Red đến nay,” ông Huger khẳng định. Code Red cũng là một loại sâu máy tính cực kỳ nguy hiểm bùng phát hồi năm 2001 với mục tiêu tấn công chủ yếu là phần mềm máy chủ của Microsoft.

Vincent Weafer – một lãnh đạo khác của hãng bảo mật Symantec – khẳng định lại một cách ngắn gọn: “Thực tế thì không một kẻ lập trình mã độc nào lại muốn tác phẩm của hắn trở nên quá nổi tiếng. Hầu hết các loại mã độc được phát triển chỉ để phục vụ một số hình thức tấn công nhất định nhằm mang lại lợi ích thiết thực cho tác giả.”

“Mà đã phạm tội hay ăn cắp thì đòi hỏi phải có sự bí mật chứ không phải lộ liễu như Conficker. Thông thường chủ yếu tin tặc phát triển mã độc để phát triển mạng PC bị bắt cóc để phục vụ mục đích tổ chức tấn công. Conficker cũng đã xây dựng được một mạng BOTNET của riêng mình nhưng đó chưa hẳn là mạng BOTNET lớn nhất hiện nay.”

Nỗ lực không ngừng

“Sự chú ý là nguyên nhân gây nên nỗi thất vọng cho những kẻ phát tán Conficker. Ngược lại nó lại giúp chúng ta tránh được một hiểm họa rất lớn. Nếu không có những cảnh báo vừa qua thì khó ai có thể tưởng tượng được hậu quả có thể xảy ra”.

Đáng nói đến đầu tiên khi đề cập đến những nỗ lực chống Conficker chính là “Conficker Cabal”. Đây là một liên minh của nhiều hãng công nghệ, hãng bảo mật và hãng nghiên cứu lớn trên thế giới cùng chung tay chống lại Conficker. Mục tiêu chính của liên minh này là liên kết “hạ gục” những tên miền mà Conficker sử dụng để tạo lập kết nối với máy chủ để nhận lệnh tấn công từ những kẻ đứng đằng sau chúng.

Thứ đến phải nói đến những nỗ lực không ngừng nghỉ của các chuyên gia nghiên cứu bảo mật đã rất tuyệt vời khi phát hiện được một lỗ hổng trong Conficker giúp phát triển nên một công quét và phát hiện rất hiệu quả con sâu máy tính này.

Các phương tiện truyền thông có thể nói cũng đóng góp một phần rất lớn vào nỗ lực chống lại Conficker trong lần này. Thông tin liên tục được cập nhật cho người dùng – không chỉ là những thông tin cập nhật về tình trạng phát triển của Conficker mà còn giúp truyền tải những biện pháp phòng chống hiệu quả cho người dùng.

Đáng nói nhất là các phương tiện truyền thông đã nhanh chóng giúp người dùng Internet trên toàn cầu hiểu được mức độ nguy hiểm của Conficker. Một khi họ đã hiểu được thì tất yếu sẽ bảo vệ mình, qua đó góp phần tiêu diệt một số lượng rất đáng kể các PC bị lây nhiễm Conficker đồng thời cắt đứt “vòi bạch tuộc” của con sâu nguy hiểm này.

Phải vài ngày nữa

Song hiện chưa một ai có thể xác định chính xác được mạng BOTNET của Conficker lớn đến cỡ nào. Những con số ước tính đều không rõ ràng. Có người thì chỉ cho rằng Conficker chiếm đoạt khoảng 1 triệu PC lại có người cho rằng con số đó phải là khoảng 12 triệu. Con số này càng khó dự đoán hơn nữa khi biến thể mới nhất Conficker.c đã chính thức bùng phát trên mạng.

Conficker.c được lập trình sẵn tính năng tự động khởi động tạo lập kết nối với máy chủ để nhận lệnh phát động một đợt tấn công mới đúng vào nửa đêm ngày 1/4. Quá trình này hiện đã khởi động vận hành đầy đủ song có điều là tin tặc chưa hề phát đi bất kỳ mệnh lệnh tấn công nào.

Conficker.c cũng được tin tặc nâng cấp khả năng cho phép tạo ra khoảng 50.000 tên miễn mỗi ngày để làm phương tiện kết nối trở lại máy chủ. Trong khi đó các biến thể trước đây chỉ có thể tạo ra được khoảng 250 tên miễn mỗi ngày.

Cuối cùng đã không có bất kỳ tình huống nào xảy ra tại thời điểm nửa đêm ngày 1/4. Đây cũng là một điều mà nhiều chuyên gia nghiên cứu đã dự báo từ trước. “Không có thay đổi gì đáng kể,” ông Holly Stewart – chuyên gia bảo mật của IBM – cho biết.

“IBM đã theo dõi Conficker 24/24 trong ngày 1/4. Số lượng máy chủ có tăng lên nhưng mệnh lệnh truyền tải cập nhật vẫn bình thường như mọi ngày. Tôi cho rằng nếu có điều ra xảy ra thì nó sẽ xảy ra trong khoảng vài ngày tới đây”.

McAfee Avert Labs cũng ghi nhận được tình trạng tương tự như IBM. “Chúng tôi cũng phát hiện được sự gia tăng trong số lượng máy chủ nhưng hầu như không thấy bất kỳ lệnh phát động tấn công nào,” Dave Marcus – chuyên gia nghiên cứu của McAfee cho biết.

“Tôi chắc chắn rằng sau sự cố Conficker này chúng ta sẽ học được không ít bài học,” ông Huger khẳng định. “Chắc chắn tới đây tin tặc sẽ áp dụng thủ đoạn phát tán bí mật. Một điểm đáng lưu ý nữa tương lai mã độc sẽ không ngăn chặn người dùng truy cập vào website của các hãng bảo mật nữa bởi đây là một điều giúp người dùng rất dễ nhận ra rằng PC của họ bị nhiễm mã độc”.