Phát hiện siêu phần mềm gián điệp Regin

(PCWorldVN) Regin, mã độc chuyên "do thám" các công ty tư nhân, chính phủ, viện nghiên cứu và người dùng cá nhân được Symantec cho rằng đã xuất hiện từ đầu năm 2008 nhưng đến nay mới bị phát hiện.

• Công khai danh tính những nạn nhân đầu tiên của Stuxnet
• Sâu Stuxnet: gián điệp công nghiệp chưa được “hóa giải”
• Iran: Sâu Stuxnet "tổng tấn công" các hệ thống công nghiệp
• Xác định ngôn ngữ lập trình lạ của trojan Duqu khét tiếng

Hãng thông tấn Reuters dẫn lại báo cáo phát đi hôm 23/11 của hãng bảo mật Symantec cho biết các nghiên cứu của hãng này cho thấy Regin (hay Backdoor) dường như là sản phẩm của một "quốc gia" nào đó nhưng không chỉ rõ đó là quốc gia nào cũng như các nạn nhân của loại phần mềm độc hại được tường thuật có khả năng tàng hình nói trên.

Symantec nói rằng Regin có khả năng thực thi giám sát lâu dài và liên tục nhằm vào các mục tiêu và phần mềm gián điệp này đã bị "thu hồi" vào năm 2011 trước khi "tái xuất" từ năm ngoái 2013.

Regin là mã độc cực kỳ nguy hiểm và có khả năng che giấu hành vi ở mức độ cao.

Regin sử dụng vài tính năng tàng hình, do đó ngay khi sự hiện diện của mình bị phát hiện thì cũng rất khó để xác định phần mềm gián điệp này đang làm gì, theo báo cáo của Symantec.

Regin thậm chí còn được tường thuật có nhiều thành phần, tính năng chưa được khám phá cũng như đang tồn tại ở nhiều biến thể.

Báo cáo của Symantec chỉ ra rằng gần một nửa sự lây nhiễm Regin diễn ra tại địa chỉ của các nhà cung cấp dịch vụ ISP, tuy nhiên mục tiêu của Regin là khách hàng của các công ty chứ không phải chính các công ty nói trên.

Khoảng 28% nạn nhân của Regin là công ty hoạt động trong lĩnh vực viễn thông, trong khi những nạn nhân khác thuộc các ngành như năng lượng, hàng không, bệnh viện và các đơn vị nghiên cứu.

Theo mô tả của Symantec, Regin có 5 bước (giai đoạn) tấn công, mỗi bước đều được "ẩn mình" và mã hóa, trừ bước đầu tiên.

Mỗi bước chỉ cung cấp rất ít thông tin về tổng thể Regin, do đó chỉ có cách thu thập đủ 5 bước thì các chuyên gia mới có thể phân tích và hiểu được cặn kẽ mối đe dọa này.

Bên cạnh đó, Regin cũng có khả năng tải lên và thực thi các tính năng tương ứng với từng nạn nhân, tương tự phương thức từng được áp dụng trên hai mã độc khét tiếng là Flamer và Weevil (The Mask). Thậm chí, cũng theo Symantec, vài tính năng trên Regin và kiến trúc đa tầng của phần mềm gián điệp này được khẳng định là giống với sâu máy tính Duqu vốn được phát hiện hồi tháng 9.2011 và có liên quan đến sâu máy tính từng gây tê liệt hàng loạt nhà máy trong chương trình hạt nhân của Iran - siêu virus máy tính Stuxnet.

Được biết, Stuxnet bị phát hiện vào tháng 6/2014 và được tường thuật là sản phẩm do Mỹ - Israel đặt hàng.

Symantec cho biết, hơn một nửa số nạn nhân được xác nhận lây nhiễm Regin là tại Nga và Ả-rập Xê-út, trong khi số còn lại được ghi nhận ở Mexico, Ireland, Ấn Độ, Iran, Afghanistan, Bỉ, Áo và Pakistan.