Luke Jennings, kỹ sư IT thuộc công ty bảo mật Countercept đã viết một phần mềm nhằm phát hiện ứng dụng gián điệp Doublepulsar. Các nhà nghiên cứu tin rằng mã độc doublepulsar có nguồn gốc từ Cơ quan An ninh Quốc gia Mỹ (NSA). Mã này được sử dụng để tìm kiếm những lỗ hổng trong hệ điều hành Windows, từ đó có thể đánh cắp thông tin và sử dụng để tải phần mềm độc hại khác về máy tính bị xâm nhập.
Công cụ này, đòi hỏi một số kỹ năng lập trình để sử dụng, có sẵn để tải về miễn phí trên GitHub.
Một số nhà nghiên cứu bảo mật thử nghiệm sử dụng tập lệnh của Jennings thông qua mạng Internet quét rà tìm các máy bị nhiễm mã độc. Kết quả thu được rất đa dạng, cho thấy có khoảng từ 30.000 đến 100.000 máy tính bị nhiễm mã độc của NSA.
Below0Day, một công ty kiểm tra bảo mật, đăng tải trên trang mạng xã hội Twitter bản đồ họa, cho thấy những quốc gia bị nhiễm nhiều nhất. Mỹ chiếm vị trí hàng đầu với 11.000 máy. Một số nước khác, như Anh, Đài Loan và Đức, có hơn 1.500 máy bị nhiễm virus.
Jennings cho biết: "Hoàn toàn không rõ ràng, khi nào và bằng cách nào những máy tính này bị nhiễm virus. Nhưng các cuộc tấn công mạng bị nghi ngờ từ NSA đã đã khiến cho mã độc Doublepulsar bị rò rỉ một tuần trước. Hiện nay, bất cứ ai có một số kỹ năng hack cũng có thể bắt đầu sử dụng phần mềm này để tấn công các máy tính khác".
Các chuyên gia bảo mật lo ngại rằng tội phạm mạng hoặc các các tổ chức tấn công mạng của chính phủ nước ngoài có thể sử dụng Doublepulsar khai thác những lỗ hổng tìm được và tấn công những máy tính dễ bị tổn thương thông qua internet. Các chuyên gia cho rằng, những máy tính có hệ thống Windows cũ hoặc chưa được cập nhật các bản vá lỗi có nguy cơ rất cao. Cài đặt lại hệ thống sẽ loại bỏ mã độc, nhưng không thể loại bỏ những phần mềm độc hại mà phần mềm của NSA tải về.
Jennings cho biết ông đã phát triển công cụ của mình bằng cách phân tích phương pháp mã độc Doublepulsar truyền qua internet tới máy chủ mà nó kiểm soát. Nhưng ý định ban đầu của ông là hỗ trợ các doanh nghiệp xác định mã độc trong mạng lưới của các tổ chức, doanh nghiệp chứ không phải quét toàn bộ mạng Internet để phát hiện virus.
"Trên Twitter diễn ra nhiều cuộc thảo luận," ông nói. "Mọi người đang tự hỏi liệu công cụ quét mã độc có sai không, do người dùng ngạc nhiên bởi số lượng quá lớn các hệ thống bị nhiễm virus. Nhưng không ai tìm thấy bằng chứng cho thấy công cụ phát hiện mã độc sai". Jennings cho biết.
"Có thể có một nhóm người nào đó ngoài tổ chức, hoặc nhiều người đã sử dụng các virus này để khai thác các máy tính dễ bị tổn thương", Jennings nhận xét.
Các hệ điều hành Windows Server cũ hơn, đặc biệt là các hệ thống không sử dụng tường lửa sẽ dễ dàng bị tấn công bằng virus này. Hàng nghìn máy tính và máy chủ kết nối với internet dường như đã bị nhiễm virus.
Dan Tentler, Giám đốc điều hành của công ty cung cấp dịch vụ bảo mật Phobos Group, đã nghiên cứu tính chính xác của công cụ tìm kiếm. Ông đã thực hiện kiểm tra thủ công 50 máy bị gắn cờ xác định nhiễm virus và tất cả 50 máy đó đã nhiễm thực sự.
"Thông thường nếu bạn kiểm tra nhiều máy tính và công cụ truy quét không tốt, bạn sẽ tìm thấy một số ít các máy tính cho kết quả sai", ông nói. "Nhưng tôi không tìm thấy một máy nào sai cả."
Sẽ cần nhiều thời gian hơn nữa để các nhà nghiên cứu bảo mật kiểm tra tính chính xác những kết quả tìm kiếm virus Doublepulsar. Tentler khuyến cáo các nhà khai thác hệ thống nên thực hiện các biện pháp cần thiết để ngăn chặn sự lây nhiễm những phần mềm độc tấn công mạng gần đây bị rò rỉ từ các tổ chức nhà nước như NSA.
Người dùng nên cập nhật tất cả các bản vá lỗi khả dụng trên hệ thống Windows. Các bản vá lỗi từ Microsoft sẽ làm giảm nguy cơ tấn công mạng nhưng các hệ điều hành cũ hơn như Windows XP và Windows Server 2003 không còn nhận được sự hỗ trợ từ Microsoft, do đó mức độ lây nhiễm mã độc thực sự rất lớn. Các máy tính cần phải nâng cấp lên hệ điều hành mới hơn, chạy các phần mềm chống virus như Windows Defender nhằm loại trừ bất kỳ phần mềm độc hại nào có thể. Nhưng tất cả các biện pháp này không đảm bảo chắc chắn rằng máy tính có được an toàn hay không khi kết nối Internet.
QA