Hé lộ mới về loạt máy chủ phát tán mã độc Petya 2017

14:01, Thứ Tư, 05/07/2017 (GMT+7)

(XHTT) - Cảnh sát Ucraina cho biết đã tịch thu các máy chủ của Intellect Service, hãng sản xuất phần mềm kế toán M.E.Doc vốn bị nghi ngờ là nguồn phát tán mã độc Petya 2017 liên quan đến đợt tấn công không gian mạng nhằm vào nhiều tổ chức, công ty lớn trên vi toàn cầu.

Ông Serhiy Demedyuk - Người đứng đầu cơ quan cảnh sát không gian mạng Ucraina nói với hãng thông tấn Reuters rằng, các máy chủ của M.E.Doc - phần mềm kế toán thông dụng bậc nhất tại Ucraina đã bị thu giữ như một phần trong cuộc điều tra vụ tấn công mạng.

Chuyên gia tại hãng bảo mật ISSP đang nghiên cứu 1 đoạn mã nguồn được cho là của mã độc Petya phiên bản 2017 (hiển thị trên màn hình máy tính bên phải) - Ảnh: Reuters
Chuyên gia tại hãng bảo mật ISSP đang nghiên cứu 1 đoạn mã nguồn được cho là của mã độc Petya phiên bản 2017 (hiển thị trên màn hình máy tính bên phải) - Ảnh: Reuters

Dù rằng đang cố gắng tra xét xem ai đã đứng sau vụ tấn công mạng hồi tuần trước, nhưng giới chức tình báo Ucraina lẫn các hãng bảo mật đều cho biết vài trường hợp lây nhiễm ban đầu dường như khởi nguồn từ một bản nâng cấp độc hại được cung cấp bởi M.E.Doc.

Trước đó, đại diện Intellect Service đã phủ nhận mọi cáo buộc mà giới chức sở tại đưa ra.

Theo tường thuật của Reuters, Premium Service - công ty tự nhận là một đại lý chính thức của phần mềm M.E.Doc - đã viết trên trang Facebook của M.E.Doc rằng "các nhân viên đeo mặt nạ đã tiến hành lục soát các văn phòng của M.E.Doc, và các máy chủ và dịch vụ của hãng phần mềm này đã bị vô hiệu".

Nữ phát ngôn viên của Cơ quan Cảnh sát an ninh không gian mạng Ucraina cho biết, các hoạt động điều tra đang tiếp tục triển khai tại các văn phòng của M.E.Doc, đồng thời khẳng định nhiều thông tin liên quan sẽ được công bố vào ngày thứ Tư (5/7, theo giờ địa phương).

Cảnh sát không gian mạng Ucraina bắt đầu "ra quân" sau khi các nhà điều tra trong lĩnh vực an ninh mạng phát hiện ra rằng vụ tấn công đã được lên kế hoạch từ nhiều tháng trước bởi những nhóm hacker kỹ năng cao vốn bị cho là đã chèn mã độc vào phần mềm kế toán M.E.Doc.

Được biết, có khoảng 80% doanh nghiệp tại Ucraina có sử dụng phần mềm kế toán M.E.Doc và đáng chú ý là M.E.Doc cho phép liên thông dữ liệu với cơ quan thuế quốc gia.

Cũng theo Reuters, hôm 4/7, nhà chức trách Ucraina đã quyết định lùi thời hạn chót nộp thuế định kỳ thêm 1 tháng nữa nhằm giúp các tổ chức, doanh nghiệp tại quốc gia này chống lại làn sóng tấn công của mã độc.

Các nhà nghiên cứu tại hãng bảo mật Slovakia ESET nói rằng họ đã phát hiện một cửa hậu (backdoor) được chèn vào bản cập nhật phần mềm M.E.Doc, hệt như việc viết vào mã nguồn, và từ đó giúp hacker có thể thâm nhập các hệ thống của doanh nghiệp mà không bị phát hiện.

HÀNH ĐỘNG RẤT LÉN LÚT

Chuyên gia cao cấp về mã độc Anton Cherepanov tại hãng ESET viết trong một bản ghi chú kỹ thuật rằng: "Chúng tôi đã nhận diện một backdoor rất lén lút mà kẻ tấn công cho lây nhiễm vào một trong những mô-đun hợp pháp của M.E.Doc".

Theo chuyên gia này, dường như kẻ tấn công đã thực hiện việc lây nhiễm mà không cần truy cập vào mã nguồn của phần mềm M.E.Doc, và điều đó cho thấy hacker có trình độ cao, lên kế hoạch kỹ lưỡng và ra tay chuẩn xác.

Có ít nhất 3 bản cập nhật M.E.Doc bị cài mã độc đã được tung ra, và bản đầu tiên đã được gửi đến khách hàng từ ngày 14/4, tức hơn 2 tháng trước khi xảy ra vụ tấn công mạng hôm 27/6.

Rất có thể hacker đã truy cập vào mã nguồn của M.E.Docs ngay từ đầu năm 2017, ông Anton nhận định.

Ông Oleg Derevianko - Chủ tịch công ty an ninh mạng ISSP (của Ucraina) nói rằng, bản nâng cấp mà M.E.Doc cung cấp hồi tháng 4 đã gửi đến khách hàng một con virus, mà từ đó nó hướng dẫn các máy tính tải về 350MB dự liệu từ một nguồn "chưa rõ" từ Internet. Tiếp đến, virus sẽ trích xuất 35MB dữ liệu của doanh nghiệp bị lây nhiễm cho hacker.

"Với 35MB dữ liệu này, bạn có thể lọc ra mọi thứ - email từ mọi ngân hàng, tài khoản người dùng, mật khẩu, và nói chung là tất cả mọi thứ", ông Oleg nói trong buổi trả lời phỏng vấn Reuters tại văn phòng ở thủ đô Kiev.

Thiên Uy

.
.
.

.
.
.