Thế giới vào cuộc đua phần mềm gián điệp mạng

Tài biến hình của những phần mềm gián điệp

Trên thế giới hiện có ít nhất 4 chương trình do chính phủ các nước tài trợ để triển khai các phần mềm gián điệp mạng như Flame, Duqu và nhất là Stuxnet. Nhưng các chuyên gia an ninh mạng thì cho rằng con số các dự án như thế trên thực tế cao hơn nhiều, và các chương trình phần mềm gián điệp đó đã được xây dựng từ rất lâu, đến tận năm 1996 - năm Internet vừa mới được mở rộng ra phạm vi toàn cầu.

Một chuyên gia an ninh mạng trong cộng đồng tình báo Anh còn khẳng định, không chỉ phương Tây và Israel, mà mọi quốc gia ở khu vực Trung Đông, Trung á và Nam á đều đang sử dụng các phần mềm này để phục vụ cho các chương trình gián điệp của riêng mình.

Sau vụ Iran phát hiện phần mềm virus Stuxnet tấn công làm gián đoạn các nhà máy hạt nhân ở Natanz, an ninh mạng trên thế giới đã liên tiếp phát hiện thêm 3 phần mềm gián điệp mạng là Flame, Duqu và mới nhất là Gauss. Hiện tượng này khiến dư luận quan tâm chú ý mạnh vào các chương trình gián điệp mạng do chính phủ các nước tài trợ, và các cơ quan tình báo nơi chịu trách nhiệm phát triển chúng.

Stuxnet là phần mềm virus mạng do Israel và Mỹ tạo nên và được sử dụng cho mục đích thay thế bom đạn tấn công phá hoại chương trình hạt nhân của Iran . Cho đến nay, Stuxnet vẫn là một trong những phần mềm gián điệp hữu dụng mặc dù nó đã bị Iran vô hiệu hóa.

Khác với Stuxnet, Flame có kích thước khá lớn đối với một phần mềm virus, lên đến trên 20 megabyte, và được phát triển như một công cụ chuyên dùng trong gián điệp công nghiệp. Nơi đầu tiên tạo ra Flame chính là hãng phần mềm chống virus máy tính Kaspersky Labs của Nga. Mục tiêu của Kaspersky Labs là triển khai Flame ở khu vực Trung Đông, do đó hãng này đã thiết kế Flame chỉ được sử dụng có giới hạn về thời gian trong một khu vực địa lý nhất định. Phương thức hoạt động của phần mềm này sau khi xâm nhập vào máy tính là chuyển quyền kiểm soát về cho máy chủ điều khiển nó. Với phương thức này, Flame có thể vừa là công cụ nghe lén từ xa, vừa là công cụ thu thập và chuyển tiếp thông tin về máy chủ điều khiển.

Các chuyên gia của Hãng Kaspersky cho rằng Flame có cấu trúc và mã lập trình gián điệp tương tự như Stuxnet, nhưng các chuyên gia an ninh mạng từng sử dụng cả 2 phần mềm này thì bảo Flame có thể là một công cụ thu thập dữ liệu ban đầu để Stuxnet tấn công. Điều này có vẻ hợp lý, vì sau khi Flame xâm nhập được máy tính đối tượng để thu thập thông tin cần thiết, để lại lỗ hổng cho Stuxnet xâm nhập dễ dàng hơn.

Đầu tháng 7/2012, các quan chức an ninh mạng ấn Độ thông báo các hệ thống máy tính của Hải quân ấn Độ đã bị các hacker Trung Quốc xâm nhập bằng phương pháp gắn virus gián điệp vào chương trình chạy ổ đĩa di động USB. Stuxnet cũng triển khai phương án lây nhiễm chương trình chạy USB để xâm nhập hệ thống máy tính ở Natanz, Iran, vì thế các chuyên gia nhận định, rất có thể các hacker Trung Quốc đã sử dụng phần mềm Stuxnet để tấn công máy tính Hải quân ấn Độ theo phương thức trên.

Giáo sư Andrew Blyth, Trưởng Nhóm nghiên cứu An ninh thông tin trực thuộc Cơ quan Tình báo GCHQ của Anh, tuyên bố, việc chi ra 1 triệu bảng Anh để xây dựng một phần mềm gián điệp phá hoại như Stuxnet, vì vậy chẳng có gì đáng ngạc nhiên khi chúng ta chứng kiến các vụ tấn công trên mạng như đã xảy ra ở Natanz, Iran và Tổng hành dinh Hải quân ấn Độ. Các công cụ gián điệp mới được xây dựng tương đối dễ dàng bằng cách gắn kết các chương trình bộ phận lại với nhau. Và bằng cách núp bóng các chương trình quảng cáo trên mạng, các công cụ gián điệp dễ dàng xâm nhập máy tính mà không bị phát hiện và ngăn chặn.

Thậm chí, ông Blyth còn cho biết đã từng biết đến 3 phần mềm gián điệp có khả năng biến hình liên tục và đa dạng. Các phần mềm này thông minh đến nỗi, chúng có các nội dung và chức năng tương tự như các chương trình máy tính bình thường khác, nhưng một khi xâm nhập vào nơi cần xâm nhập, lập tức chúng tự động phát triển thêm các chức năng mới cần cho việc thực hiện nhiệm vụ thu thập thông tin hoặc phá hoại hệ thống máy tính đối phương. Còn có loại phần mềm gián điệp cực kỳ tinh quái, có khả năng tự tách rời ra thành nhiều mảnh, các mảnh rời này bám vào các gói TCP/IP để chui lọt qua các hệ thống tường lửa rồi sau đó tự động ráp lại như cũ.

Ngay từ những ngày đầu Internet được phổ biến trên phạm vi toàn cầu, giới chuyên gia an ninh đã cảnh báo về nguy cơ xảy ra "chiến tranh thông tin", và việc phát triển nhanh các loại "vũ khí" trên không gian ảo là điều không thể tránh khỏi. 15 năm sau, lời cảnh báo đó đã thành hiện thực. Trong cuộc chiến này không có xe tăng, máy bay hay đạn pháo, mà là những "con sâu" chui vào các hệ thống máy tính sục tìm thông tin quan trọng và lấy cắp một cách gọn gàng, không ai hay biết.

Taliban cũng làm tình báo mạng

Mảnh đất không gian ảo giờ đây không còn là của riêng làng tình báo chính thống nữa mà đã từ lâu có sự hiện diện của tình báo khủng bố, cụ thể trong trường hợp mới phát hiện gần đây là Taliban ở Afghanistan .

Sau khi 5 binh sĩ Australia bị quân nổi dậy Taliban phục kích giết chết vào cuối tháng 8 đầu tháng 9, Chính phủ Australia đã tung ra một báo cáo điều tra về các nguy cơ tình báo khủng bố trên các trang mạng xã hội. Báo cáo cho biết, Cơ quan Tình báo Quốc phòng Australia đã phát hiện các tay súng Taliban đã giả dạng làm các cô gái Afghanistan xinh đẹp trên mạng xã hội Facebook để câu nhử, dụ dỗ binh sĩ liên quân NATO vào mạng kết bạn nhằm mục đích dò la thông tin về cá nhân những binh sĩ đó và quan trọng nhất là thông tin tình báo nhạy cảm về các hoạt động của liên quân ở Afghanistan nhằm thực hiện các cuộc tấn công nhắm vào lính liên quân.

Mối nguy hiểm từ việc Taliban lợi dụng các trang mạng xã hội trên Internet để thu thập thông tin tình báo nhắm vào liên quân NATO đã được đề cập trong một báo cáo tình báo của Bộ Quốc phòng Australia hoàn tất từ tháng 3/2012. Vấn đề đáng lo ngại là, phần nhiều người dùng Internet lại không cảnh giác trước mối nguy hiểm này. Qua khảo sát, Bộ Quốc phòng Australia đã phát hiện bạn bè và người thân của binh sĩ Australia tham chiến tại Afghanistan khá vô tư chia sẻ những thông tin riêng tư, thuộc dạng cần giữ kín trên mạng Internet, tạo cơ hội cho Taliban khai thác.

Hiện nay, trước khi được triển khai ra tiền tuyến, mỗi binh sĩ Australia đều được phát cho một bản thông tin ngắn mô tả cách thức kẻ thù tạo tài khoản giả để làm gián điệp. Các binh sĩ Australia cũng được khuyến cáo về mối nguy hiểm xuất phát từ việc cập nhật thông tin, hay hình ảnh lên mạng xã hội do các trang web hiện nay đều bí mật cài đặt chức năng định vị địa lý giúp nhà điều hành có thể dễ dàng xác định vị trí địa lý thực của máy vi tính nơi người dùng tải thông tin, hình ảnh lên mạng Internet.

Tình báo khủng bố hoàn toàn có khả năng lợi dụng chức năng này để định vị binh sĩ liên quân ở Afghanistan để thực hiện các vụ tấn công. Peter Hannay, một chuyên gia về an ninh tại khoa Công nghệ máy tính của Đại học Edith Cowan (Australia) đúc kết: chức năng định vị địa lý hoàn toàn có thể trở thanh "mỏ thông tin" và bất cứ ai cũng có thể khai thác được, không riêng gì Taliban.

Để hạn chế tối đa những nguy hiểm trong tương lai đối với binh sĩ Australia ở Afghanistan, Bộ Quốc phòng Australia khuyến cáo nên tổ chức tập huấn cho bạn bè và người thân binh sĩ về những nguy cơ của việc chia sẻ thông tin cá nhân như tên họ, cấp bậc, đơn vị và vị trí đóng quân cũng như địa chỉ liên lạc. Thậm chí cả hình ảnh cá nhân cũng nên hạn chế đưa lên Internet để tránh rủi ro