Phần mềm độc hại của CIA nhắm mục tiêu vào tất cả phần mềm Windows
Giống như phần mềm gián điệp (ransomware) WannaCry dựa trên một lỗ hổng của hệ điều hành Windows được nắm giữ bởi Cơ quan An ninh Quốc gia Mỹ (NSA) và sử dụng chính những công cụ của cơ quan này để lây lan mã độc. Cuối tuần vừa qua, WikiLeaks đã tiết lộ rằng lỗ hổng khai thác đang được Cơ quan Tình báo Trung ương Hoa Kỳ (CIA) áp dụng đối với tất cả các phiên bản Windows và có khả năng kiểm soát toàn bộ các hệ thống mục tiêu.
Codenamed Athena là tên dự án phát triển mã độc của CIA có thể làm tổn thương bất cứ phiên bản phần mềm Windows nào hiện có mặt trên thị trường, từ Windows XP đến Windows 10. Tin tặc sử dụng phần mềm độc hại của CIA để truy cập vào các tệp tin cục bộ và truyền mã độc vào hệ thống máy chủ.
Phần mềm Windows 10 cũng không nằm ngoài tầm ngắm của CIA
Theo WikiLeaks, sau khi được cài đặt, phần mềm độc hại cung cấp khả năng beaconing (bao gồm xử lý cấu hình và xử lý tác vụ), tải / dỡ tải các tải trọng nguy hiểm cho các tác vụ cụ thể, cũng như phân phối và truy xuất các tệp tin đến / từ một thư mục nhất định trên hệ thống đích. Nó cho phép các nhà điều hành để cấu hình cài đặt trong thời gian chạy (trong khi cấy ghép là trên mục tiêu) để tùy chỉnh cho nó hoạt động.
Điều này về cơ bản có nghĩa là CIA có thể kiểm soát hoàn toàn một hệ thống Windows, lấy bất kỳ dữ liệu từ máy tính mục tiêu và tải nó lên các máy chủ của chính mình.
Phần mềm độc hại Athena đã được tạo ra vào tháng 8 năm 2015, có nghĩa là CIA đã có thể khai thác toàn bộ Windows 10 chỉ trong vòng 01 tháng kể từ lúc nhà sản xuất đưa hệ điều hành này ra thị trường vào tháng 7/2015.
Qua mặt các phần mềm chống virus hiện đại
Phần mềm độc hại Athena không phải là sản phẩm của một mình CIA mà là sự hợp tác của Cơ quan này với một công ty có trụ sở ở Mỹ có tên gọi là Siege Technologies và mô tả về công ty này chuyên về an ninh mạng, tập trung vào "công nghệ mạng tấn công".
Ngay từ ban đầu, dự án Athena đã được phát thiết kế rất tinh vi và có khả năng “qua mặt” cả những phần mềm chống virus hàng đầu thế giới như Kaspersky và Kaspersky Labs Symantec. Ngay cả sản phẩm diệt virus Windows Defender của Microsoft cũng không thể phát hiện ra loại virus của CIA .
Theo các tài liệu hướng dẫn sử dụng Athena, việc cài đặt sẽ chiếm quyền điều khiển dịch vụ DNS Cache (Nhiễm độc bộ nhớ đệm DNS (DNS cache poisoning), hay còn được gọi là giả mạo DNS, là một kiểu tấn công khai thác lỗ hổng trong hệ thống tên miền (DNS - domain name system) để chuyển hướng lưu lượng truy cập Internet từ máy chủ hợp pháp tới các máy chủ giả mạo). Theo mặc định của nhà sản xuất, Windows 7 và 8 đang chạy dưới hệ thống máy chủ có tên gọi netsvcs nhưng trên Windows 8.1 và Windows 10 lại chạy trên NetworkService. Vì vậy, người dùng NetworkService đã gần như mất khả năng bảo mật trên hệ thống khi tin tặc cài mã độc vào đây. Do triển khai trên hệ thống máy chủ srvhost, nên dịch vụ phần mềm sẽ chỉ chạy trong trường hợp máy chủ netsvcs khởi động lại lần kế tiếp. Để giải quyết tình trạng thiếu hụt này và vẫn hoạt động ngay sau khi cài đặt, dịch vụ hiện tại sẽ chạy như NetworkService cho đến khi khởi động lại máy tính vào thời điểm người dùng hệ thống sẽ được gài vào netsvcs.
Đến thời điểm này, không rõ phía Microsoft đã cung cấp bản vá lỗi chống lại việc khai thác nói trên hay chưa, nhưng cả Microsoft lẫn CIA đều không đưa ra bình luận về những thông tin về lỗ hổng mới nhất do Wikileaks phát hành.
Hoàng Thanh (theo Msoft)
