Những ai đã tạo ra malware và tại sao?

QuanTriMang.com - Trước tiên, chúng ta hãy cùng trả lời câu hỏi chính ở đây, ai là người được lợi từ malware? Tại sao những chiếc máy tính, hệ thống mạng, hoặc những chiếc điện thoại di động lại trở thành “môi trường” sống và phát triển lý tưởng cho các chương trình độc hại này. 

Thực ra cũng không quá khó để trả lời hết những câu hỏi như vậy. Tất cả (hoặc hầu hết) các sáng chế, phát minh, ý tưởng đều sử dụng công nghệ sẵn có hoặc đang trong quá trình phát triển, không sớm thì muộn cũng đều trở thành công cụ của những kẻ xấu nhằm mục đích lừa đảo, tội phạm mạng (hay gọi chung là tin tặc – hacker) ngày nay. Ngay khi sử dụng công nghệ với các mục đích khác nhau, hoặc khi ứng dụng đi ngược lại với ý định của người sáng tạo và phát triển, những kẻ lợi dụng sẽ tìm mọi cách để hoàn thiện nó, nhưng với cách thức hoàn toàn ngược lại. Và thật không may, những chiếc máy tính, hệ thống mạng, điện thoại di động... lại chính là công cụ giúp tin tặc thực hiện mục đích của chúng. Trong bài viết sau, chúng ta sẽ cùng nhau đề cập tới 4 khái niệm chính có liên quan đến chủ đề chính ngày hôm nay. 

 - Computer vandalism
 - Petty theft
 - Cybercrime
 - “Grey” business

1. Computer vandalism: 

Trong quá khứ, đa số các loại virus và trojan được tạo ra bởi sinh viên – những người đang học và “làm chủ” được 1 ngôn ngữ lập trình nào đó và muốn thử sức trong môi trường thực tế, nhưng lại không gặp may trong việc tìm được 1 nền tảng tốt và phù hợp hơn với kỹ năng của họ. Và tới ngày nay, những người tạo ra virus như vậy, hầu hết chỉ nhắm đến 1 mục đích duy nhất – khẳng định chính mình. May mắn thay hầu hết các loại virus được tạo ra không được phát tán rộng rãi (bởi tác giả), do vậy chúng đều có vòng đời khá ngắn ngủi. Mặt khác, tác giả của virus còn gửi mẫu chương trình đến những công ty bảo mật để cung cấp thông tin hoặc cảnh báo họ về thông tin mà họ đã tìm ra.

Nhóm thứ 2 đề cập đến ở đây bao gồm những người trẻ tuổi (phần lớn vẫn là sinh viên), và không hoàn toàn “làm chủ” được kỹ năng của họ. Sự tự ti về trình độ có vẻ là lý do để họ viết virus, và đương nhiên, có khá nhiều lỗi trong sản phẩm của họ (hay còn được gọi là student virus). Do dựa trên các nguồn tài liệu và cung cấp có sẵn trên Internet, tại đây họ tìm được khá nhiều cách thức chỉ dẫn cụ thể, ví dụ như làm thế nào để xâm nhập vào 1 hệ thống máy tính, tự che giấu hoạt động khỏi những chương trình bảo mật, và cách phát tán, lây lan sang máy tính khác.

Khi đã trưởng thành và có nhiều kinh nghiệm hơn, họ thường rơi vào nhóm thứ 3 – thuộc nhóm vô cùng nguy hiểm, có thể tạo ra những mẫu virus “chuyên nghiệp” và dễ dàng lây lan qua môi trường Internet. Dựa vào lỗ hổng bảo mật của hệ điều hành, thiếu kinh nghiệm thực tế của những người quản trị... họ tạo ra virus và nhắm vào những điểm yếu đó theo nhiều cách thức khác nhau.

Nhóm thứ 4 này thì phân loại khá đặc biệt, đó là những người chuyên nghiên cứu, không giống với 3 nhóm trên. Họ chuyên nghiên cứu, khám phá các cách khác nhau để xâm nhập vào hệ điều hành, qua đó dễ dàng biết được hành vi sắp tới của các loại virus. Bên cạnh đó, họ còn tạo ra một số loại virus mẫu Proof of Concept (PoC). Và tất nhiên, họ không bao giờ công bố rộng rãi hoặc để lọt thành quả ra ngoài, thay vào đó họ thực hiện những bài thử nghiệm, mô phỏng và chia sẻ rộng rãi trên Internet. Khả năng tiềm tàng của loại virus nghiên cứu này sẽ không thể lường trước được nếu rơi vào tay kẻ xấu.

Qua các số liệu thống kê cụ thể và chính xác, trong khoảng thời gian 2005 – 2006 các loại virus được tạo ra theo những cách trên đã sụt giảm đáng kể, tương tự như thời điểm của những năm 1990. Có thể do 1 trong số những nguyên nhân sau: 

- Việc tạo virus trong môi trường MS-DOS của những năm 1990 tất nhiên đơn giản và dễ dàng hơn so với Windows. 

- Những công cụ để tạo ra virus, ví dụ như máy tính, cũng như người liên quan đều bị bắt giữ và pháp luật trừng trị tùy theo quốc gia. 

- 1 nguyên nhân khá thú vị, đó là họ đã tìm ra cách mới thể hiện mình: game. Dễ dàng thấy rằng, các trò chơi hiện đại ngày nay thu hút 1 số lượng lớn người chơi có độ tuổi rất nhỏ.

Do vậy, số lượng của những loại virus và trojan “truyền thống” này chiếm không quá 5% so với tổng số dữ liệu hiện có của các hãng bảo mật. Con số 95% còn lại nguy hiểm hơn rất nhiều, cụ thể chúng là gì và mục đích chính của chúng sẽ được đề cập trong phần tiếp theo của bài viết.

2. Petty theft:

Dịch nôm na là những kẻ trộm cắp vặt. Đằng sau sự xuất hiện của các chương trình khuyến mãi từ dịch vụ Internet có trả phí (ví dụ như mail, web, hosting), những người thuộc “thế giới ngầm” bắt đầu nhòm ngó đến cách thức làm thế nào để xâm nhập vào hệ thống mạng của người khác, thông qua việc đánh cắp tài khoản và mật khẩu đăng nhập, hoặc sử dụng những loại Trojan đặc biệt.

Năm 1997 đánh dấu sự lây lan và bùng phát rộng rãi của các dòng Trojan chuyên lấy trộm tài khoản AOL của người dùng. Tới năm 1998, cùng với sự phát triển đa dạng của các dịch vụ Internet, những loại Trojan này cũng tiếp tục “ăn theo”. Các chương trình độc hại này thường được viết bởi những người trẻ tuổi, mà họ không (hoặc không thể) thanh toán cước phí Internet và các dịch vụ hàng tháng. Mục đích của họ là đánh cắp các tài khoản, mật khẩu để kết nối qua dial-up, AOL, ICQ, và các mã tuy cập của nhiều quốc gia khác. Bên cạnh đó, họ còn tạo nhiều loại Trojan khác nhau để “nhòm ngó” các thông tin cá nhân, những file bản quyền của chương trình phần mềm... khi đã xâm nhập vào máy tính của nạn nhân.

Và trong vài năm gần đây, có 1 số lượng không nhỏ các loại Trojan khác, nhưng lần này chúng được dùng để ăn trộm tài khoản cũng như vật dụng trong các trò chơi trực tuyến (tài khoản ảo), chúng lây lan đặc biệt mạnh mẽ trong khu vực Châu Á, đặc biệt là Trung Quốc, Hàn Quốc và Nhật Bản.

3. Cybercrime: 

Tội phạm mạng – hay còn gọi là tin tặc, hacker. Đây có thể coi là nhóm tội phạm công nghệ cao nguy hiểm nhất trên thế giới hiện nay, chúng cố tình tạo ra các chương trình độc hại để mưu lợi cho mục đích cá nhân. Những loại virus hoặc trojan của chúng có thể dễ dàng đánh cắp các thông tin của người sử dụng như tài khoản ngân hàng, thẻ tín dụng, thanh toán trực tuyến, quảng cáo trái phép các dịch vụ lừa đảo, khai thác trái phép nguồn tài nguyên trên máy tính của nạn nhân (nhằm mục đích tống tiền)... Những hành động này khá phong phú và rất khó đoán trước, chúng ta sẽ cùng tìm hiểu kỹ hơn trong những mục tiếp theo sau đây.

“Hỗ trợ” tích cực để phát tán thư rác: 

Các loại trojan proxy-server và trojan đa chức năng có thể tạo ra những mạng máy tinh ma với quy mô khá lớn (proxy server – được sử dụng từ các tài khoản nặc danh trong hệ thống của hacker, thông thường chúng được cài đặt trên 1 máy cố định) và được thiết kế riêng để phát tan thư rác. Hơn nữa, các trojan proxy-server thường nhận được mẫu có sẵn và địa chỉ phân phát từ nguồn cung cấp bên trên. Trong thứ tự và chu trình hoạt động, chúng sẽ cố gắng gửi hàng loạt thư rác tới hàng ngàn (hoặc hàng chục ngàn) tới các máy tính đã bị tấn công, nhằm mục đích: 

- Phát tán thư rác qua hàng loạt hình thức nặc danh 

- Liên tục tạo ra hệ thống mạng máy tính ma từ những thành phần đã bị lây nhiễm 

- Công nghệ “black list” để dò tìm địa chỉ thực sự của máy tính nạn nhân không hiệu quả trong trường hợp này, đơn giản bởi vì số lượng máy tính thực tế bị lây nhiễm quá nhiều

Phân tích các cuộc tấn công mạng:

Hay còn được gọi là DDoS (Distributed Denial of Service), các nguồn tài nguyên hệ thống (ví dụ web-server) thường bị giới hạn với số lượng yêu cầu trong 1 thời điểm nhất định – đó cũng là giới hạn khả năng lưu trữ của máy chủ mà các kênh kết nối sử dụng để giao tiếp với Internet. Khi đã đạt đến lượng giới hạn này, hoạt động và khả năng đáp ứng của máy chủ tất nhiên sẽ yếu đi, và các yêu cầu của người dùng đều bị từ chối.

Nắm bắt được lợi thế này, các nhóm tin tặc thường xuyên sử dụng cách thức này với số lượng yêu cầu nặc danh gửi đến các máy chủ của nạn nhân ngày càng lớn. Một mạng lưới máy tính ma với phương thức tấn công DDoS như vậy đang là 1 trong những mối nguy hiểm hàng đầu của thế giới Internet hiện nay. Và kết quả của những đợt tấn công này là các nguồn tài nguyên lưu trữ gần như không thể sử dụng, đây cũng là mục tiêu béo bở của tin tặc khi nhắm vào các doanh nghiệp, công ty, gian hàng trực tuyến, sòng bạc…

Thời điểm từ năm 2002 đến 2004 là quãng thời gian hoạt động mạnh mẽ nhất của loại hình này. Sau đợt truy quét toàn cầu và quá trình điều tra kỹ lưỡng của các lực lượng chức năng của nhiều quốc gia, những nhóm hacker có liên quan đã bị bắt giữ (vài chục nghìn người trên toàn thế giới).

Botnets:

Một số loại Trojan đặc biệt – hay còn gọi là bot (từ robot), được “chế tạo” đặc biệt để phục vụ cho hệ thống botnet, chủ yếu được quản lý bởi những tên tin tặc “đầu sỏ”. Những Trojan này sẽ cố gắng xâm nhập vào hàng ngàn, chục ngàn (đôi khi lên tới hàng triệu) máy tính ở bất cứ nơi đâu trên thế giới. Khi đã bị lây nhiễm và không có cách nào phòng tránh, người sử dụng không còn cách nào khác là phải bỏ tiền túi ra để khắc phục tình trạng, hình thức thành toán chủ yếu là chuyển khoản hoặc qua tin nhắn.

Những tên tội phạm mạng, hoặc những nhóm tội phạm, đã tạo và phân phát những chương trình bất hợp pháp để thực hiện các cuộc gọi hoặc gửi tin nhắn trực tiếp từ điện thoại của nạn nhân. Và đương nhiên, nhà cung cấp dịch vụ không thể biết những cuộc gọi, hoặc tin nhắn đó là của người dùng bình thường hoặc bất kỳ ai.

Đánh cắp tiền “điện tử”:

Một mánh khóe tinh vi và phức tạp hơn của tin tặc là nhắm vào các tài khoản trực tuyến của người dùng (hay còn gọi là ví điện tử – e-wallet, ví dụ như e-gold, WebMoney). Những dòng Trojan sẽ thu thập thông tin cá nhân của người dùng 1 cách bí mật và đầy đủ, sau đó gửi lại cho tin tặc để phân tích. Thông thường những thông tin này bị dò ra do thói quen sử dụng khá “vô tư” của người sử dụng, kỹ năng bảo mật trực tuyến của họ còn hạn chế, các lỗ hổng phần mềm, trình duyệt... và lý do cuối cùng là tin tặc đã quá thông minh và xảo quyệt.

Lấy trộm thông tin tài khoản ngân hàng:

Có lẽ đây là phương thức tấn công phổ biến nhất từ trước tới nay, mục tiêu chính của hacker là số tài khoản, thẻ tín dụng, mã truy nhập cá nhân, tài khoản trực tuyến... của người dùng. Và để thực hiện được quá trình này, Trojan sẽ áp dụng rất nhiều phương thức khác nhau. Ví dụ, chúng hiển thị các thông tin, quảng cáo hoặc cửa sổ popup (có bề ngoài khá giống với website của ngân hàng) để yêu cầu thông tin đăng nhập, bao gồm tên tài khoản, mật khẩu và mã xác nhận. Bước tiếp theo để có được sự “tin tưởng” của khách hàng, chúng sẽ thông báo về việc tài khoản của người dùng sẽ nhận được 1 số tiền thưởng nhất định nào đó, quà khuyến mãi... nếu họ xác nhận bằng tài khoản chính, mẫu thông báo ví dụ như sau: A lot of money will be deposited on your account — please, confirm your account details

1 cách khác cũng được khai thác thành công là sử dụng Trojan keylogger, tất cả những gì người dùng gõ vào bàn phím đều được ghi lại đầy đủ. Thủ đoạn chính của chúng là chờ đợi người dùng kết nối tới website của ngân hàng, so sánh thông tin của ngân hàng với danh sách liệt kê trong mã của Trojan. Nếu trùng hợp, các thành phần của Trojan sẽ tự động kích hoạt và ghi lại toàn bộ thông tin người dùng nhập vào các ô yêu cầu của website đó. Sau đó, Trojan này sẽ “biến mất”, và vì vậy rất khó lần theo dấu vết của chúng.

Đánh cắp các thông tin bí mật khác:

Không chỉ đặc biệt quan tâm tới tài chính của nạn nhân, tin tặc còn “hứng thú” với các thông tin, dữ liệu cá nhân khác, ví dụ như cơ sở dữ liệu, văn bản kỹ thuật, tài liệu nội bộ... Cách thức xâm nhập cũng tương tự như trên, chúng cần biết được chính xác những ứng dụng nào đang được sử dụng trong hệ thống. Ví dụ, với FTP-server (hoặc hệ thống «Peer-to-Peer» — P2P), sau khi bị lây nhiễm, toàn bộ tài liệu trong máy tính nội bộ đều không thể truy cập từ bên ngoài. Những mô hình kết nối và chia sẻ ngang hàng tương tự như vậy đã bị cấm tại Pháp và Nhật Bản trong năm 2006, do số lượng các vụ tấn công xảy ra quá nhiều.

Tống tiền:

Để phục vụ cho mục đích này, tin tặc đã tạo ra Trojan có khả năng mã hóa các thông tin hoặc file cá nhân từ người sử dụng. Sau khi xâm nhập vào máy tính của nạn nhân, chúng sẽ tiến hành mã hóa tất cả dữ liệu tìm được và để lại tin nhắn với nội dung nếu họ muốn lấy lại dữ liệu hoặc giải mã những file cần thiết, hãy liên lạc với địa chỉ để lại. Việc lưu giữ các dữ liệu của nạn nhân dưới dạng file mã hóa với chuỗi ký tự dài là phương thức đặc trưng của tội phạm tống tiền trên mạng. Khi những file gốc này đã bị mã hóa, chúng sẽ yêu cầu 1 số tiền nhất định tùy vào nhu cầu sử dụng của nạn nhân, sau khi chuyển tiền cho tin tặc, chúng sẽ gửi trả lại mật khẩu cho nạn nhân.

Để đạt được mục đích như trên, các nhóm tin tặc phải tạo ra và phân phối 1 hoặc nhiều mạng lưới sâu máy tính độc hại khác nhau. Chúng sẽ cố gắng lây lan và cài đặt Trojan càng nhiều càng tốt, ví dụ như mẫu Mydoom và Bagle từ năm 2004, cho tới 2006 là mẫu Warezov – những loại sâu này có tốc độ lây lan và mức tàn phá vô cùng lớn.

Xác định các mục tiêu cần tấn công:

Không giống như các cuộc tấn công với quy mô lớn như đã mô tả bên trên, 1 kiểu xâm nhập khác cũng nguy hiểm không kém, đó là nhắm vào 1 mục tiêu, tổ chức, doanh nghiệp nhất định. Hầu hết các đối tượng bị tin tặc để mắt đến trong trường hợp này là các công ty tín dụng, ngân hàng... Nguyên nhân chính là nguồn cơ sở dữ liệu có chứa lượng thông tin khổng lồ của khách hàng bên trong, các giao dịch chuyển khoản. Khi tấn công, tin tặc sẽ nhắm đến bất cứ thông tin nào có liên quan đến tài khoản, giao dịch, số lượng cụ thể... nhằm mục đích trục lợi cho cá nhân. Tất nhiên, những mạng lưới ngân hàng lớn đều có phương pháp phòng chống khá hiệu quả, do vậy tin tặc đã chuyển hướng và nhắm đến những đối tượng “nhỏ” hơn để đảm bảo tỉ lệ thành công.

Một số hành động khác của tin tặc là thu thập các tài khoản email trong máy tính của nạn nhân và đem bán cho những kẻ phát tán thư rác khác, tìm kiếm thông tin về lỗ hổng của hệ điều hành, phần mềm ứng dụng và bán cho những tổ chức hacker khác, thậm chí chúng còn bán những mẫu Trojan nguyên bản, tùy từng mục đích sử dụng thì mức giá của từng loại cũng khác nhau.

4. Grey market business:

Bên cạnh các khía cạnh đã được đề cập tại phần trên của bài viết, còn có khái niệm Grey market business – các hoạt động xung quanh pháp luật. Việc quy tội các hình thức quảng cáo điện tử, các chương trình tiện ích, yêu cầu người dùng sử dụng những dịch vụ có trả phí, và một số loại phần mềm không mong muốn... tất cả đều phải cần đến sự hỗ trợ kỹ thuật tích cực của các lập trình viên.

Adware:

Những thành phần quảng cáo riêng biệt, sau khi xâm nhập hệ thống sẽ tự động tải các thông tin quảng cáo và hiển thị trên máy tính của nạn nhân, hầu hết chỉ xảy ra trong trường hợp người dùng sử dụng trình duyệt. Sau khi một số tiểu bang của Mỹ quyết định thông qua điều luật chống quảng cáo trái phép, những người sáng tạo và phát triển phần mềm Adware đã hoạt động bên ngoài vòng pháp luật. Và rồi họ đã được hợp pháp hóa sự phát triển này đến mức tối đa. Tuy nhiên, không phải người sử dụng nào cũng sẵn sàng chấp nhận sự có mặt của phần mềm Adware trên máy tính, do vậy dần dần chúng đã được phân phối hoàn toàn miễn phí.

Phần mềm Adware này hầu hết được cài đặt cùng với các ứng dụng khác, khi người sử dụng chỉ nhấn OK và Next, hầu như không để ý đến nội dung của các điều khoản sử dụng. Một số loại Adware người sử dụng không hề nhìn thấy hoặc biết được sự tồn tại của chúng trên hệ thống, hoặc khi gỡ bỏ, ứng dụng đi kèm cũng bị xóa bỏ.

Các dịch vụ khác:

Để tăng thêm phần hấp dẫn người sử dụng đến với các website có trả phí, tin tặc thường xuyên áp dụng các phương pháp khác nhau, và tất nhiên người dùng bình thường không thể nhận biết được họ đang bước vào thế giới đầy nguy hiểm. Những dịch vụ như này thường thấy tại các trang web khiêu dâm với nội dung không lành mạnh, nhưng lại thu hút được lượng người truy cập rất lớn.

Bên cạnh đó, còn một hình thức khá mới mẻ của tin tặc – phần mềm an ninh giả mạo. Khi xâm nhập và hệ thống của nạn nhân, chương trình sẽ hiển thị cảnh báo với thông tin rằng họ đang bị nhiễm nhiều loại virus nguy hiểm, yêu cầu họ tiếp tục tải chương trình và cài đặt lên máy tính. Khi tiến hành quét, chương trình sẽ báo rất nhiều loại virus, trojan, malware đã được tìm thấy, nếu muốn xóa bỏ toàn bộ thì người dùng phải mua bản quyền sử dụng từ phía hacker – trong khi toàn bộ quá trình đó đều là giả mạo.

Thứ Ba, 06/11/2018 16:40
31 👨 1.377