Phóng to

Các dự án hạt nhân, vũ khí hạt nhân thuộc Bộ Năng lượng Mỹ thường là mục tiêu của các gián điệp mạng - Ảnh: Flickr/Certbert

Nghiên cứu ban đầu của các chuyên viên phân tích bảo mật từ Hãng bảo mật Invincea cho thấy mã tấn công khai thác một lỗi dạng 0-day (zero-day) trong trình duyệt web Internet Explorer 8 chạy trên phiên bản hệ điều hành Windows XP. Tuy nhiên, sau khi công bố khám phá trên với cộng đồng an ninh mạng thì mức độ và phạm vi đã tăng lên theo phản hồi từ nhiều phía.

Theo Invincea, nạn nhân của đợt tấn công này gồm một website của Bộ Lao động Hoa Kỳ, chuyển hướng khách truy cập đến hàng loạt địa chỉ chứa các mã khai thác nhiều lỗi hơn. Khi bị tấn công, máy tính dùng Windows sẽ không thể chống cự một số loại mã độc như biến thể trojan "cửa sau" (backdoor) "Poison Ivy". Loại trojan này được cải tiến nên chỉ bị 2 trong số 46 chương trình anti-virus nhận diện trong quá trình thử nghiệm.

* Cập nhật tại thời điểm bài viết đăng tải, website Invincea đã hoàn toàn bị ngưng trệ không thể truy cập.

Nạn nhân kế tiếp là các nhân viên thuộc Bộ Năng lượng Mỹ bị thâm nhập khi truy cập website đã bị chiếm dụng (hack) và nhúng mã độc.

Các chuyên gia an ninh cho biết cuộc tấn công khá tinh vi với mục đích cuối cùng là thâm nhập vào máy tính nhân viên của các công ty, tổ chức liên quan đến năng lượng, hạt nhân... bằng cách chiếm dụng website mà các nhân viên mục tiêu thường truy cập, nhúng mã độc để lây nhiễm.

Phía Microsoft đã xác nhận đoạn mã độc hại có thể khai thác lỗi trong IE8. Các phiên bản khác gồm IE6, IE7, IE9 và IE10 "miễn dịch" với cách khai thác này. Microsoft khuyến cáo người dùng IE8 nên nâng cấp ngay lên các phiên bản mới hơn gồm IE9 và IE10, hoặc theo các thao tác hiệu chỉnh sau:

• Mở Internet Explorer, chọn Tools - Internet Options, trong thẻ Security lần lượt điều chỉnh sang mức "High" (bảo mật cao) ở phần Internet và Local Intranet. Thao tác này nhằm khóa các đoạn mã ActiveX Controls và Active Scripting.
• Các website tin cậy, uy tín nên được đưa vào danh sách "Trusted Sites" để Internet Explorer không khóa mã.
• Cấu hình Internet Explorer xuất hiện bảng thông báo khi một đoạn mã từ website được thực thi, người dùng cần cấp phép. Tinh chỉnh Active Scripting hoặc khóa hẳn Active Scripting trong cả hai phần Internet và Local Intranet.
• Người dùng có thể tải công cụ Microsoft EMET để tự động thiết lập bảo mật cho các phiên bản Windows XP.

Một số phản hồi gửi đến Invincea cho biết IE8 chạy trên Windows 7 vẫn có nguy cơ bị khai thác tương tự. Công ty bảo mật FireEye đã xác nhận điều này vào ngày 6-5.

* Nhịp Sống Số: |

Thông tin cập nhật mới nhất với sự phối hợp từ Hãng bảo mật AlienVault cho thấy có sự liên quan của một nhóm tin tặc bí danh "DeepPanda" ở Trung Quốc, và nhóm này cũng đang thực hiện các hoạt động gián điệp ở những quốc gia khác. Bằng chứng được đưa ra là các máy chủ ra lệnh cho mã độc "Poison Ivy" được DeepPanda chăm sóc.

Cũng theo AlienVault, không chỉ website Bộ Lao động Mỹ bị ảnh hưởng, còn có 9 website khác bị hack và điều hướng truy cập đến địa chỉ chứa mã độc gồm website các học viện, các tổ chức phi lợi nhuận và một công ty lớn tại châu Âu đóng vai trò quan trọng trong lĩnh vực không gian, quốc phòng và an ninh.

* Xem:

Thêm một lý do để người dùng nâng cấp ngay lên phiên bản Internet Explorer mới nhất, công cụ chuyên khai thác lỗi bảo mật Metasploit đã được Rapid7 bổ sung mã khai thác. Theo đó, bất kỳ ai mua Metasploit cũng có thể tận dụng lỗ hổng chưa có bản vá này.

(*) Lỗ hổng zero-day (hay 0-day) là cách gọi những lỗ hổng bảo mật bị kẻ xấu khai thác trước khi hãng phần mềm hay bộ phận an ninh có liên quan kịp nhận biết và tung ra cách khắc phục. Khi một lỗ hổng bị xếp loại “zero-day” có nghĩa phần mềm chứa lỗ hổng đó đã bị tấn công và khai thác. Nếu lỗ hổng được nhà sản xuất phát hiện trước khi bị kẻ xấu lợi dụng, nó sẽ không được gọi là “zero-day”.