Tìm thấy mối liên hệ giữa NSA, Regin và trình theo dõi thao tác bàn phím Qwerty

Thứ năm - 29/01/2015 23:01

Các nhà nghiên cứu vừa tìm ra bằng chứng mới cho thấy chương trình máy tính nguy hiểm được phát hiện năm ngoái Regin, có chức năng giống hệt một loại mã độc đang được Cơ quan An ninh Quốc gia Hoa kỳ (NSA) và Liên minh Ngũ nhãn sử dụng.

Các nhà nghiên cứu vừa tìm ra bằng chứng mới cho thấy chương trình máy tính nguy hiểm được phát hiện năm ngoái Regin, có chức năng giống hệt một loại mã độc đang được Cơ quan An ninh Quốc gia Hoa kỳ (NSA) và Liên minh Ngũ nhãn sử dụng.

Tìm thấy mối liên hệ giữa NSA, Regin và trình theo dõi thao tác bàn phím Qwerty 1

Regin là một loại mã độc cấp cao và cực kỳ tinh vi, theo các nhà nghiên cứu, được viết ra bởi một tổ chức nhà nước nhắm vào các mục tiêu quốc tế trong đó có chính phủ, công ty tư nhân và các cá nhân từ năm 2008.

Regin được phát hiện lần đầu tiên tháng 11/2014 bởi các nhà nghiên cứu của Symantec và được đánh giá là phức tạp hơn cả Stuxnet và Duqu.

Mã độc từng được sử dụng để tấn công các mục tiêu tại Algeria, Afghanistan, Bỉ, Brazil, Fiji, Đức, Iran, Ấn Độ, Indonesia, Kiribati, Malaysia, Pakistan, Nga và Syria.

Qwerty là một chương trình theo dõi bàn phím độc hại được thiết kế để bẻ khóa và ghi lại hoạt động bàn phím một cách lén lút. Chương trình bị phát hiện đầu tháng 1/2015 khi tạp chí Der Spiegel đăng bài báo nêu chi tiết cách thức hoạt động của cuộc tấn công không gian mạng vào NSA theo tài liệu cung cấp từ Edward Snowden.

Qwerty được tích hợp trong các sản phẩm độc hại được NSA và các cơ quan tình báo khác trên toàn thế giới thuộc Liên minh Ngũ nhãn (Five Eyes Alliance) (Hoa Kỳ, Úc, Canada, New Zealand và Anh Quốc) sử dụng để nghe trộm và tiến hành các hành vi tấn công mạng vào các tổ chức này.

Sau khi nghiên cứu code của Qwerty, các chuyên gia phân tích của Kaspersky kết luận mã nguồn của trình theo dõi bàn phím có liên quan đến mã độc Regin, và các bên viết 2 mã độc này thực chất là một bên hoặc làm việc cùng nhau.

Hơn nữa, các nhà nghiên cứu cũng phát hiện thấy cả Qwerty và plug-in 50251 đều phụ thuộc vào một module khác của nền Regin mang hiệu 50225 nằm trong các hàm hooking trong nhân hệ điều hành (kernel hooking functions). Điều này cho thấy rõ ràng là Qwerty chỉ có thể hoạt động như một phần của nền tảng Regin.

Theo báo cáo của Der Spiegel, có khả năng Qwerty là một plug-in của khung mã độc đồng nhất có tên WARRIORPRIDE đang được tất cả các đối tác của Ngũ nhãn sử dụng. Mã độc có tuổi thọ vài năm và dường như đã bị thay thế.

Tuy nhiên, liên kết giữa Qwerty và Regin cho thấy nền tảng mã độc thực hiện tấn công mạng chính là WARRIORPRIDE.

Theo WhiteHat.vn

Nguồn tin: vnreview.vn


 
 Từ khóa: liên minh
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết

Những tin mới hơn

 

Những tin cũ hơn

Thống kê truy cập
  •   Đang truy cập 74
  •   Máy chủ tìm kiếm 1
  •   Khách viếng thăm 73
 
  •   Hôm nay 510
  •   Tháng hiện tại 35,131
  •   Tổng lượt truy cập 6,769,094
Đăng nhập thành viên
 
 

Đăng nhập bằng OpenID Đăng nhập bằng OpenID