Tội phạm không gian mạng đánh qua Windows vào quá lớn - Phần 1

Cyber crims smash through Windows into the great beyond

Phần mềm độc hại đã trở thành một trò chơi đa nền tảng thế nào

How malware became a multi-platform game

By Tom Brewster, 29 May 2014

Theo: http://www.theregister.co.uk/2014/05/29/cyber_crime_vaults_beyond_the_pc/

Bài được đưa lên Internet ngày: 29/05/2014

Lời người dịch: Các tin tặc không chỉ tận dụng các lỗi của hệ điều hành, mà bây giờ phần nhiều nhằm vào các ứng dụng chạy trên các hệ điều hành đó. Vì vậy, bây giờ hầu như không có hệ điều hành nào là miễn nhiễm với phần mềm độc hại.

Windows từng là một mẩu phần mềm bị bủa vây qua năm tháng. Đó là vì các tin tặc độc hại, như bấy kỳ ai khác, muốn đi co đường dễ nhất để tới thắng lợi lớn nhất.

Hệ điều hành của Microsoft từng phổ biến nhất trong 20 năm qua, nên nó đã thu hút hầu hết các phần mềm độc hại. Một người chuyên nghiệp về CNTT đã nói cho tờ Register anh ta nghĩ 100% phần mềm độc hại làm việc từng nhằm vào Windows.

Tất nhiên, anh ta không thật lòng một chút. Bây giờ tất cả đang báo trước kỷ nguyên hậu PC, hình như đang trở nên rõ rằng các tác giả phần mềm độc hại đã chuyển sự chú ý tới các hệ điều hành khác nữa.

“Thời điểm khi mà Windows từng là nền tảng duy nhất có liên quan tới phần mềm độc hại đã qua lâu rồi”, Marta Janus, nhà nghiên cứu an ninh ở Kaspersky Lab, nói.

“Bây giờ, các tội phạm không gian mạng nhằm vào bất kỳ hệ thống nào có khả năng tiềm tảng khai thác được và tấn công bất kỳ nền tảng nào có thể thu lợi được”.

Quả táo thối

Chỉ nhìn vào máy tính để bàn, Windows không nghi ngờ gì vẫn là phổ biến lớn giữa các tội phạm số. Các dạng phần mềm độc hại tinh vi phức tạp nhất được thấy tới nay, từ Stuxnet tới Flame, đều dựa vào Windows.

Nhưng một đống ví dụ gợi ý rằng cả các phần mềm độc hại ăn cắp dữ liệu và các trojan tài chính đã bắt đầu chỉ ra sự ưa thích Apple Macs. Dù được cho là an ninh hơn so với các máy tính cá nhân PC Windows, thì Mac OS X từng bị đánh với một số cơn bột phát đáng kể đánh gần đây.

Flashback Trojan đã lây nhiễm ít nhất 650.000 máy Macs vào năm 2012, khai thác chỗ bị tổn thương về an ninh của Java mà Apple đã vá 6 tuần sau khi sửa mã Windows được phát hành.

Từng là một kẻ ăn cắp dữ liệu nguy hiểm được thấy bắt quả tang các mật khẩu cho thư điện tử, các tài khoản của Skype và khác. Nó cũng chứng minh rằng các botnet nổi tiếng có thể được tạo ra trong nền tảng Mac OS X.

Windows has been a beleaguered piece of software over the years. That is because malicious hackers, like everyone else, want to walk the simplest path to the greatest glory.

Microsoft’s operating system has been the most popular one for the past 20 years, so it has attracted the most malware. One IT professional told The Register he thought 100 per cent of working malware was aimed at Windows.

He was, of course, being a tad disingenuous. Now that all and sundry are heralding the post-PC era, it is becoming apparent that malicious software authors have turned their attention to other operating systems.

“The time when Windows was the only platform associated with malware is long gone,” says Marta Janus, security researcher at Kaspersky Lab.

“Nowadays, cyber criminals target every system that is potentially exploitable and attack any that may result in a profit.”

Rotten Apples

Looking solely at desktops, Windows is undoubtedly still massively popular among digital criminals. The most sophisticated malware types seen to date, from Stuxnet to Flame, were Windows based.

But a host of examples hint that both data-stealing malware and financial Trojans have started showing a fondness for Apple Macs. Although it is supposed to be more secure than Windows PCs, Mac OS X has been hit by some significant outbreaks recently.

The Flashback Trojan infected at least 650,000 Macs back in 2012, exploiting a Java security vulnerability that Apple patched six weeks after the Windows code fix was released.

It was a pernicious data stealer that sought to nab passwords for email, Skype and other accounts. It also proved that epic botnets could be created on the Mac OS X platform.

A wide range of malware used for espionage is Mac compatible too. In February, Kaspersky Lab researchers uncovered “one of the most advanced global cyber espionage operations” ever seen, called the Mask.

The attackers targeted government organisations and energy companies using a complex set of attack tools, including rootkits, bootkits and other malware for PC, Linux and, yes, Mac OS X.

These were seriously talented hackers, looking for SSH keys and access to remote desktop clients while scooping up communications and files from victims’ machines. The world’s most advanced cyber spies were targeting Macs.

Though the iPhone maker’s locked down approach to security does bring benefits, attacks on Apple’s mobile offering, iOS, as well as its desktop software can no longer be ignored, according to Bob Tarzey, security analyst at Quocirca.

Một dải rộng lớn các phần mềm độc hại được sử dụng để gián điệp cũng là tương thích với Mac. Vào tháng 2, các nhà nghiên cứu của Kaspersky Lab đã phát hiện “một trong những chiến dịch gián điệp không gian mạng toàn cầu tiên tiến nhất” từ trước tới nay được thấy, được gọi là Mask.

Những kẻ tấn công đã nhằm vào các tổ chức chính phủ và các công ty năng lượng bằng việc sử dụng một tập hợp phức tạp các công cụ tấn công, bao gồm cả các rootkits, các bootkits và các phần mềm độc hại khác cho PC, Linux và vâng, Mac OS X.

Đó từng là những tin tặc cực kỳ tài năng, tìm kiếm các khóa SSH và truy cập tới các máy trạm để bàn từ xa trong khi xúc các giao tiếp truyền thông và các tệp từ các máy các nạn nhân. Các vụ gián điệp không gian mạng tiên tiến nhất từng nhằm vào Macs.

Dù tiếp cận khóa lại về an ninh của nhà sản xuất iPhone có mang lại những lợi ích, thì các cuộc tấn công vào di động của Apple đưa ra, iOS, cũng như phần mềm máy để bàn của nó có thể không còn bị bỏ qua nữa, theo Bob Tarzey, nhà phân tích an ninh ở Quocirca.

“iOS và Mac OS không bị miễn dịch mà cái vường có tường bao của Apple giúp cho, vì thị phần nhỏ hơn của nó [so với Android]”, ông nói.

“Hơn nữa, các ứng dụng được tải về sử dụng trong các thiết bị của công ty có thể không là không an ninh, mà điều đó không có nghĩa là chúng không phải là một rủi ro về an ninh cho các dữ liệu của doanh nghiệp”.

Những ngày tinh cậy hoàn toàn vào các sản phẩm của Apple chống được các tin tặc độc hại đã qua lâu rồi.

“Sự tự phụ rằng các nền tảng của Apple là miễn nhiễm với các cuộc tấn công đã tới từ thực tế rằng các thiết bị đang chạy các phần mềm Apple được sử dụng ít hơn nhiều so với các PC Windows, nên chúng đã không thu hút được sự chú ý nhiều của tội phạm không gian mạng”, Janus nói.

“Bây giờ sự tăng trưởng thị phần khổng lồ của nó, Apple đối mặt với các vấn đề an ninh y hệt mà Microsoft từng trải nghiệm kể từ đầu những năm 1990”.

“Cả Mac OS và iOS đều đã trở thành các mục tiêu có sinh lợi, và thậm chí dù các phần mềm độc hại hướng Apple vẫn còn nhỏ hơn nhiều so với đối thủ Windows, thì không hệ điều hành nào có thể được gọi là 100% an ninh cả”.

Sự cuốn hút của Android

Trong khi bùng nổ chuyện thần thoại về an ninh của Apple là một sự theo đuổi đáng khâm phục, thì rõ ràng là người giả đò về vương miện hệ điều hành nhiều phần mềm độc hại cưỡi nhất là mjột sáng tạo của Google.

“Sự tăng trưởng phần mềm độc hại lớn nhất là trong Android, mà giống như Windows được sử dụng rộng rãi và mở - cả 2 đều là những điều tốt nhưng chúng trở thành một mục tiêu đáng giá”, Tarzey nói.

Các hệ điều hành di động khác cũng bị các tội phạm không gian mạng ngắm đích, và nhiều cuộc tấn công, như qua các mạng Wifi công cộng, làm việc bất kể hệ điều hành nào.

Nhưng Android cuốn hút hầu hết tất cả các phần mềm độc hại di động. Nghiên cứu của F-Secure từ tháng 4 đã tiết lộ đã có 277 họ các phần mềm độc hại mới trong quý đầu năm 2014, 275 trong số đó đã nhằm vào hệ điều hành của Google.

Đa số là các Trojan SMS, gửi các thông điệp văn bản tới các số điện thoại loạt đầu được những người tạo ra phần mềm độc hại sở hữu hoặc một trong những đội quân không ngay thẳng của họ.

Phần mềm tống tiền - khóa người sử dụng khỏi các điện thoại của họ bằng việc mã hóa các tệp và yêu cầu trả tiền để giải mã, đang ngày càng trở thành một mối đe dọa - như là Koler Trojan gợi ý, đã nhằm vào những nội dung dâm ô.

Phần mềm chống virus giả cũng đang bắt đầu nở rộ. Vào tháng 5, Kaspersky đã phát hiện một dải các sản phẩm chống virus giả mạo qua Google Play (một sản phẩm thậm chí được thấy trong thị trường của Windows Phone).

Chúng có thể đã không gây ra bất kỳ sự mất mát dữ liệu nào nhưng chúng vẫn thuyết phục được một số lượng lớn những người mua bỏ tiền ra vì các ứng dụng mà không làm bất kỳ điều gì ngoài việc hứa hẹn an ninh. Nó hình như đi theo phiên bản Virus Shield ngẫu nhiên, theo đó những người sử dụng Android đã mua ứng dụng đã được bù đắp.

Hệ điều hành, ai quan tâm?

Như với Mac và iPhone, phần mềm gián điệp cũng từng đánh các thiết bị Android. Điều này chỉ tới một thực tế là bất kỳ ai, từ các nhân viên với các lãnh đạo CNTT, cần có nhận thức về: các cuộc tấn công có chủ đích không quan tâm về hệ điều hành.

“Tuyên bố rằng các hệ thống phù hợp là ít có xu hướng bị lây nhiễm hơn không còn đúng nữa. Thậm chí các nền tảng ít phổ biến hơn gặp rủi ro miễn là có bất kỳ lý do nào cho việc tấn công chúng”, Janus nói. Những kẻ tấn công do nhà nước bảo trợ ít quan tâm về bản chất tự nhiên của một hệ điều hành đích so với chúng là về các ứng dụng ngồi trên các hệ điều hành đó.

Điều đó giải thích vì sao có sự hoảng loạn như vậy khi một chỗ bị tổn thương ngày số 0 cho phần mềm phổ biến, thường là các sản phẩm của Adobe và Internet Explorer, nổi lên.

Một ví dụ tốt đã ngóc đầu xấu xí của nó lên vào tháng 4, khi được nêu rằng những người Siri từng là các mục tiêu của những kẻ tấn công có sử dụng một lỗi ngày số 0 của Adobe Flash. Nó từng là một phần cua một cuộc tấn công có nguyên nhân từ việc tải về, khi mà các khai thác tận dụng lỗi ngày số 0 từng được phục vụ cho các khách viếng thăm một website Bộ Tư pháp của chính phủ Siri.

Mã của cuộc tấn công có thể kiểm tra phiên bản hệ điều hành, theo Kaspersky Lab, thông báo cho các tin tặc về cách mà chúng có thể muốn xử lý. Adobe đã đưa ra một bản vá ngoài luồng cho lỗi sống còn đó, bao trùm không chỉ Windows mà còn cả Mac OS X và Linux nữa. Tất cả đã mở cho sự tổn thương.

“iOS and Mac OS are not immune but the walled garden of Apple does help, as does its smaller market share [compared with Android]," he says.

“Also, apps downloaded for use on company devices may not be insecure per se, but that does not mean they are not a security risk for business data.”

The days of wholly trusting in Apple products to fend off malicious hackers are long gone.

“The presumption that Apple platforms are attack-proof came from the fact that devices running Apple software used to be far less popular than Windows PCs, so they didn't draw so much cyber-criminal attention,” says Janus.

“Now with its huge growth in market share, Apple faces the same security problems Microsoft has been experiencing since the early 90s.

“Both Mac OS and iOS have become lucrative targets, and even though Apple-oriented malware is still far smaller than its Windows counterpart, no operating system can be called 100 per cent secure.”

Android attraction

While exploding the myth of Apple security is a noble pursuit, it is clear the pretender to the crown of most malware-ridden operating system is a Google creation.

“The biggest growth of malware is in Android, which like Windows is widely used and open – both good things but they make it a worthwhile target,” says Tarzey.

Other mobile operating systems too are targeted by cyber criminals, and many attacks, such as those over public Wi-Fi networks, work regardless of operating system.

But Android attracts almost all mobile malware. F-Secure research from April revealed there were 277 new malware families in the first quarter of 2014, 275 of which targeted Google’s operating system.

The majority are SMS Trojans, sending text messages to premium-rate telephone numbers owned by the malware creators or one of their crooked cohorts.

Ransomeware - locking users out of their phones by encrypting files and asking for payment for decryption, is becoming more of a menace - as hinted at by the Koler Trojan, which targeted those drawn to prurient content.

Fake anti-virus is also starting to proliferate. In May, Kaspersky uncovered a range of fake anti-virus products across Google Play (one was even found on the Windows Phone market).

They may not have caused any apparent data loss but they still convinced a large number of shoppers to part with cash for apps that did nothing whatsoever despite promising security. It followed the apparently accidental release of Virus Shield, for which Android users who bought the app were compensated.

OS, who cares?

As with Mac and iPhone, espionage malware has also been seen hitting Android devices. This points to a reality that everyone, from employees to IT chiefs, needs to be aware of: targeted attacks do not care about the operating system.

“The statement that niche systems are less prone to infections is no longer true. Even the least popular platforms are at risk as long as there is any potential reason for attacking them,” says Janus.

State-sponsored attackers are less concerned about the nature of a target’s operating system than they are about the applications sitting on those operating systems.

That is why there is such panic when a zero-day vulnerability for popular software, often Internet Explorer and Adobe products, emerges.

A good example reared its ugly head in April, when it was reported that Syrians were being targeted by attackers using an Adobe Flash zero-day. It was part of a drive-by download attack, as exploits taking advantage of the zero-day were served to visitors to a Syrian government website for the Justice Ministry.

The attack code would check the operating system version, according to Kaspersky Lab, informing the hackers about how they might want to proceed. Adobe issued an out-of-band patch for the critical bug, covering not just Windows but Mac OS X and Linux too. All were open to compromise.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com