Qua phân tích, CyRadar nhận định các gói tin SMB được gửi nội bộ giữa các máy tính chính là mã khai thác lỗ hổng MS17-010 của Windows. Đây là mã khai thác nổi tiếng còn được biết đến dưới cái tên EternalBlue, do NSA phát triển (National Security Agency), bị lộ ra vào tháng 4/2017 bởi nhóm hacker Shadow Brokers. Ngay sau thời điểm công bố, mã khai thác này đã trở thành công cụ ưa thích của giới tin tặc trong việc tấn công, phát tán mã độc. Trong đó, đặc biệt nổi bật là dòng mã độc tống tiền WannaCry đã bùng nổ trên phạm vi toàn cầu từ tháng 5/2017.
Từ một máy tính bị nhiễm trong mạng, mã độc sẽ tự động thực hiện dò quét các IP trong cùng mạng nội bộ (LAN) và sử dụng mã khai thác EternalBlue để lây lan qua cổng 445 của những máy tính tồn tại lỗ hổng. Sau khi mã khai thác được chạy thành công, bộ các files độc hại sẽ được tải xuống những máy mới bị nhiễm, và các máy này tiếp tục có khả năng lây lan, nên nếu chúng được kết nối sang mạng khác, việc lây lan lại tiếp diễn và nhân rộng.
Đi cùng với xu thế tiền ảo (còn gọi tiền số, tiền mã hóa - cryptocurrency) ngày càng được biết đến và chấp nhận rộng rãi, thì việc phát triển mạng lưới mã độc, lợi dụng tài nguyên của các máy bị nhiễm để “đào” tiền ảo cũng đang là lựa chọn của nhiều tin tặc.
Người Việt Nam đứng sau vụ tấn công mã độc này ?
Kết quả phân tích virus cho thấy, tên miền điều khiển được sử dụng cho mã độc là: ccc.njaavfxcgk3[dot]club, mới được đăng ký vào ngày 17/11/2017, và chỉ bắt đầu trỏ đến một máy chủ (IP 45.32.127[dot]108) từ ngày 08/01/2018.
Hệ thống đánh giá tên miền CyRadar MalwareGraph xây dựng đồ thị liên quan đến tên miền này, có kết quả như sau:
Như vậy liên quan gần đến tên miền njaavfxcgk3[dot]club còn có : phimhayhdviet1[dot]us và phimhayhdviet2[dot]us, tất cả các tên miền này đều được đăng ký vào cuối năm 2017, và cùng mới được trỏ tới server 45.32.127[dot]108 vào đầu năm 2018.
CyRadar dự đoán cả ba tên miền này (njaavfxcgk3[dot]club, phimhayhdviet1[dot]us, phimhayhdviet2[dot]us) cùng thuộc sở hữu bởi một người hoặc nhóm người biết tiếng Việt. Các tên miền phimhayhdviet hiện chưa ghi nhận có mã độc nào kết nối tới, nhưng rất có thể chúng đang được tin tặc chuẩn bị cho một chiến dịch tấn công khác dùng trong thời gian tới.
Khuyến cáo
Những chiến dịch mã độc như này có lẽ sẽ tiếp tục xuất hiện nhiều trong tương lai, người dùng cá nhân và các doanh nghiệp nên chú ý các biện pháp bảo vệ:
- Thường xuyên cập nhật các bản vá cho Hệ điều hành và các phần mềm chạy trên đó.
- Trang bị các phần mềm diệt virus của các hãng uy tín.
- Trang bị hệ thống giám sát mạng để kịp thời phát hiện các cuộc tấn công vào máy tính của người sử dụng, hoặc các kết nối của mã độc tới server điều khiển.
- Tổ chức hoặc doanh nghiệp có thể thực hiện thêm bước cô lập mạng (isolation) giữa các máy tính trong mạng với nhau, để tránh khả năng lây lan nội bộ như trường hợp lần này.