Cấu trúc dữ liệu được mã hóa của Gauss vẫn là một bí ẩn |
 |
 |
 |
Trong một nghiên cứu gần đây nhất, Kaspersky Lab đã tìm thấy một loại Trojan mới với tên gọi Gauss,
một trong những gián điệp trên mạng tương tự như Stunex, Flame hay
Duqu. Cấu trúc dữ liệu được mã hóa của Gauss không chỉ là tính năng độc
đáo của Trojan này mà còn là sự bí ẩn đầy thách thức đối với các chuyên
gia bảo mật khi mà mục đích chính của cấu trúc này vẫn chưa có câu trả
lời chính xác.
Gauss là một công cụ gián điệp trên mạng
phức tạp có dấu hiệu được tài trợ bởi một tổ chức/quốc gia nào đó.
Gauss có khả năng ăn cắp nhiều thông tin, đặc biệt tập trung vào mật
khẩu của trình duyệt, thông tin tài khoản ngân hàng trực tuyến và các
cấu hình hệ thống máy tính bị nhiễm. Các chuyên gia của Kaspersky Lab
phát hiện ra Gauss bằng cách xác định sự tương đồng của chương trình độc
hại với Flame.
Từ cuối tháng 5 năm 2012, hơn 2.500
trường hợp lây nhiễm đã được ghi nhận bởi hệ thống bảo mật dựa trên đám
mây của Kaspersky Lab, với phần lớn trường hợp được tìm thấy ở Trung
Đông. Các phát hiện về Gauss chỉ ra rằng có lẽ còn nhiều phần mềm độc
hại khác liên quan đến gián điệp trên mạng hoạt động. Những căng thẳng
hiện nay ở Trung Đông càng làm gia tăng cường độ của các chiến dịch
chiến tranh không gian mạng và hoạt động gián điệp không gian mạng đang
diễn ra.
Ảnh – Hơn 1.600 máy tính đã bị lây nhiễm ở Lebanon
Các chuyên gia của Kaspersky Lab đã
công bố nghiên cứu về Gauss đồng thời phân tích các chức năng cơ bản và
đặc điểm của nó, bên cạnh cấu trúc, các mô-đun độc nhất, phương pháp
giao tiếp, và các số liệu thống kê của các trường hợp bị lây nhiễm. Tuy
nhiên, một số bí ẩn và câu hỏi về Gauss vẫn chưa được giải đáp và cấu
trúc dữ liệu được mã hóa của Gauss chính là khía cạnh hấp dẫn nhất.
Cấu trúc dữ liệu được mã hóa nằm ở
module đánh cắp dữ liệu của USB của Guass và được thiết kế để nhắm vào
một hệ thống nhất định có cài đặt một chương trình cụ thể bằng cách thức
phẫu thuật. Khi một thanh USB bị nhiễm được cắm vào một máy tính không
được bảo mật, phần mềm độc hại được thực thi và giải mã các cấu trúc dữ
liệu bằng cách tạo ra một chìa khóa để mở khóa nó. Chìa khóa này xuất
phát từ cấu hình cụ thể của hệ thống trên máy tính. Ví dụ, nó bao gồm
tên của một thư mục trong Program Files và phải có ký tự đầu tiên được
viết bằng một bộ ký tự mở rộng như tiếng Ả Rập hay tiếng Do Thái. Nếu
phần mềm độc hại xác định được các cấu hình hệ thống thích hợp, nó sẽ mở
khóa và thực hiện truyển dữ liệu đánh cắp được.
Aleks Gostev, Trưởng nhóm chuyên gia an ninh, thuộc Nhóm nghiên cứu và phân tích toàn cầu, Kaspersky Lab cho biết: "Mục
đích và chức năng của cấu trúc dữ liệu được mã hóa hiện nay vẫn là một
bí ẩn. Cách viết mật mã và các biện pháp phòng ngừa mà các tác giả đã sử
dụng để che giấu cấu trúc này cho thấy mục tiêu của nó nhắm vào các cấu
hình cao. Kích thước của cấu trúc dữ liệu cũng là một mối quan tâm. Nó
đủ lớn để chứa mã có thể được sử dụng cho sự phá hoại trên không gian
mạng, tương tự như mã SCADA của Stuxnet. Giải mã thành công cấu trúc dữ
liệu này sẽ cung cấp một sự hiểu biết tốt hơn về các mục tiêu tổng thể
và bản chất của mối đe dọa này."
Kaspersky Lab muốn mời bất cứ ai có quan
tâm đến kỹ thuật lập trình, kỹ thuật đảo ngược, hoặc toán học để giúp
tìm ra chìa khóa giải mã và mở khóa cấu trúc dữ liệu bị che giấu. Thông
tin chi tiết và mô tả kỹ thuật của cấu trúc này đã được đăng tải tại https://www.securelist.com
|
Không có nhận xét nào:
Đăng nhận xét