Conficker "im hơi lặng tiếng" trong đêm 1/4

Biến thể mới nhất con sâu máy tính nguy hiểm Conficker.c đã không hề bùng nổ mạnh mẽ vào nửa đêm ngày 1/4 như dự báo. Song giới bảo mật cảnh báo vẫn phải thật sự cẩn thận không nên bị đánh lừa bởi những gì đã diễn ra.

Trước thời điểm đêm 1/4 trên đây thậm chí còn có những lo ngại cho rằng biến thể Conficker.c còn nhắm đến mục tiêu “hạ gục” cả mạng Internet toàn cầu.

“Tôi cho rằng đây là một mục tiêu hoàn toàn không phù hợp bởi nếu như phá hỏng cơ sở hạ tầng Internet đồng nghĩa với việc tin tặc tự xây tường rào ngăn cách chúng với các nạn nhân,” ông paul Ferguson – chuyên gia nghiên cứu hiểm họa của hãng bảo mật Trend Micro – cho biết.

Ông Ferguson khẳng định tin tặc không những không muốn phá hỏng nền tảng cơ sở hạ tầng mà còn muốn gìn giữ bởi chúng còn muốn được thấy cộng đồng bảo mật phải “cuống cuồng” phòng chống và khắc phục tất cả những thiệt hại mà chúng đã gây ra.

Ngoài ra chuyên gia nghiên cứu hiểm họa Internet này cũng cho biết biến thể Conficker.c được thiết kế và ứng dụng những công nghệ có thể nói là “tiên tiến” nhất hiện nay.

Được lập trình sẵn

Các chuyên gia nghiên cứu bảo mật cho biết biến thể sâu Conficker.c đã được lập trình sẵn sẽ tự động tạo lập kết nối giữa PC bị lây nhiễm với máy chủ của tin tặc vào đúng thời khắc nửa đêm ngày 1/4 tính theo giờ GMT để nhận những lệnh điều khiển tấn mới.

Để chuẩn bị cho việc này biến thể Conficker.c đã liên tục tạo ra một danh sách có tổng cộng 50.000 tên miền khác nhau và sau đó đã chọn ra trong số này 500 tên miền cụ thể riêng để giúp chúng tạo lập kết nối với máy chủ của tin tặc. Quy trình này hiện đã được khởi động.

Hiện chúng ta vẫn chưa thống kê được chính xác có bao nhiêu PC bị nhiễm biến thể Conficker.c. Tuy nhiên theo ước tính thì con số này có thể lên tới trên 10 triệu PC đang nằm trong tầm kiểm soát của tin tặc. Đây có thể coi là mạng BOTNET lớn nhất từ trước đến nay.

Trên thực tế các PC bị nhiễm Conficker.c vẫn tạo lập kết nối với máy chủ của tin tặc đúng như đã được lập trình ở trên. Vấn đề là hiện vẫn chưa có bất kỳ mệnh lệnh nào được đưa ra và chưa hề có biến động lớn nào xảy ra sau thời điểm nửa đêm 1/4.

“Chúng tôi đã quan sát thấy Conficker đã kết nối về máy chủ của tin tặc. Tuy nhiên chưa hề có bất kỳ máy chủ nào trả lời cũng như cung cấp một loại mã độc mới hoặc một mệnh lệnh tấn công nào đó,” ông Toralv Dirro – Chuyên gia nghiên cứu bảo mật thuộc phòng nghiên cứu McAfee Avert Labs đóng tại Đức – cho biết.

Có vẻ như những kẻ đứng đằng sau giật dây điều khiển Conficker đang đánh cược với thời gian và chờ đợi cho đến khi nào giới bảo mật cũng như các các chuyên gia công nghệ lơ là vì cứ nghĩ rằng mọi điều tồi tệ đã qua đi thì mới bất ngờ phát động tấn công trên diện rộng.

“Bất kỳ kẻ nào cũng có thể nhận thấy thật ngu ngốc khi tấn công đúng vào thời điểm mà ai cũng đã biết và chuẩn bị rất kỹ càng,” ông Dirro cho biết. “Tôi cho rằng nếu có điều gì xảy ra thì nó phải xảy ra trong khoảng vài ngày tới”.

Tăng cường phòng chống

Thời gian không hoàn toàn thuộc về Conficker mà còn ở phía ở người dùng. Nói một cách chính xác người dùng phải tăng cường bảo vệ mình để phòng chống những điều tồi tệ nhất có thể xảy ra. Conficker hoàn toàn có thể dễ dàng phát hiện và tiêu diệt.

Một ví dụ rất đơn giản nếu như không thể truy cập vào các website như Microsoft.com, McAfee.com, Trendmicro.com … thì có nghĩa rằng PC đã bị nhiễm mã độc – không phải Conficker thì là một loại mã độc nào đó.

Bên cạnh đó các chuyên gia quản trị mạng của doanh nghiệp cũng dễ dàng phát hiện được những luồng dữ liệu lạ được gửi đến từ những tên miền lạ đồng thời tìm cách ngăn chặn không có những PC bị nhiễm mã độc được kết nối vào hệ thống mạng của cả tổ chức.

“Thời gian có thể khiến chúng ta lơ là nhưng nó cũng tạo điều kiện cho phép chúng ta làm sạch được nhiều PC bị nhiễm Conficker hơn,” ông Dirro khẳng định.

Không những thế cộng đồng người dùng toàn cầu còn được sự trợ giúp nhiệt tình đến từ một Nhóm chuyên trách Conficker – một liên minh giữa các hãng bảo mật, công nghệ lớn trên thế giới nhằm chung tay chống lại Conficker. Thời gian qua liên minh này đã “hạ gục” rất nhiều tên miền mà Conficker sử dụng để kết nối với máy chủ tin tặc.

Hiểm họa còn đó

Mặc dù thời điểm nửa đêm 1/4 đã qua đi một cách rất bình yên nhưng giới bảo mật đều cảnh báo hiểm họa Conficker vẫn chưa qua đi 100%. Còn PC bị nhiễm Conficker thì có nghĩa rằng hiểm họa vẫn còn hiển hiện ở đó.

Chuyên gia Ferguson khẳng định những kẻ đứng đằng sau con sâu Conficker là những kẻ rất thủ đoạn, rất chuyên nghiệp, rất quyết tâm và tuân thủ chặt chẽ những gì mà chúng ý định làm. Biến thể Conficker.c rất nguy hiểm, được bảo vệ tố hơn và có thể sống dai hơn bất kỳ biến thể nào xuất hiện từ trước đến nay.

Giới bảo mật cũng nhận định mục đích cuối cùng của những kẻ phát triển sâu Conficker chính là tiền. Chúng muốn kiếm được từ chính những hệ thống mạng BOTNET mà chúng xây dựng được nhờ vào Conficker.

Song cũng loại trừ những kẻ này còn nhắm đến những mục đích khác.

“Tên đã lên, cung đã căng” nhưng chúng ta vẫn chưa biết mục đích cuối cùng của tin tặc là gì. Không có bất kỳ dấu hiệu nào giúp chúng ta có thể nhận biết được động lực của tin tặc. Chúng muốn đùa chơi hay muốn kiếm tiền? Không một ai biết rõ ràng. Chỉ có một thực tế là hiện vẫn có hàng nghìn PC đang nằm dưới quyền kiểm soát một kẻ “vô hình” nào đó.