VƯƠNG QUỐC ĐỆ NHẤT GIAN MANH: CẢNH BÁO MÁY TÍNH SẢN XUẤT TẠI TRUNG CỘNG CHỨA MÃ ĐỘC NGUY HIỂM
Các nhà nghiên cứu của Microsoft vừa phát hiện ra một sự thật khá sốc khi cho biết các máy tính mới được xuất xưởng tại các nhà máy ở Trung Cộng được “khuyến mãi” cài đặt sẵn thêm phần mềm độc hại và sẽ phát huy tác dụng ngay khi đến tay người dùng.
Các sản phẩm của Trung Cộng một lần nữa bị đặt ra dấu hỏi về chất lượng và độ an toàn, tin cậy.
Các chuyên gia nghiên cứu bảo mật của Microsoft tại Trung Cộng đã phát hiện ra phần mềm độc hại trên những chiếc máy tính mới mà họ đặt mua tại các thành phố khác nhau ở Trung Cộng, như một phần trong chiến dịch điều tra an ninh của chuỗi cung ứng sản phẩm tại quốc gia này. Thông tin này vừa được đăng tải lên blog chính thức của Microsoft vào ngày hôm qua.
Chiến dịch với tên gọi MARS
Cụ thể, chiến dịch với tên gọi MARS được Microsoft bắt đầu tiến hành từ tháng 8 năm ngoái, khi Microsoft quyết định sẽ kiểm tra xem có phần mềm gián điệp hay phần mềm độc hại nào được cài đặt sẵn trên các máy tính được các nhà sản xuất Trung Cộng cung cấp tại các cửa hàng bán lẻ hay không.
Các nhân viên của Microsoft đã quyết định đặt mua 10 máy laptop và 10 máy tính để bàn tại các cửa hàng bán lẻ khác nhau trên khắp Trung Cộng.
“Chúng tôi đã mua những chiếc máy tính tại các trung tâm mà người Trung Cộng gọi là ‘Trung tâm mua sắm PC’. Chúng tôi muốn có được những sản phẩm mà người tiêu dùng phổ thông ở Trung Cộng sẽ sở hữu”, Richard Boscovich, Trợ lý giám đốc của Đơn vị chống tội phạm kỹ thuật số của Microsoft cho biết. “Chúng tôi đã rất ngạc nhiên khi có thể nhanh chóng phát hiện những gì mà chúng tôi đã nghi ngờ”.
Richard Boscovich, thành viên nhóm nghiên cứu của Microsoft phát hiện ra sự thật gây sốc.
Các chuyên gia của Microsoft đã phát hiện ra cả 20 máy tính đều được cài đặt phiên bản Windows không có bản quyền, đặc biệt 4 trên tổng số 20 máy tính được cài đặt kèm theo phần mềm độc hại, trong đó có một số phần mềm có khả năng lây lan thông qua ổ đĩa USB.
Chiếc máy tính đầu tiên cho thấy đã bị cài đặt sẵn loại virus với tên gọi Nitol, cho phép mở cửa hậu (backdoor) trên máy tính khiến hacker có thể loại dụng máy tính vào các mạng lưới botnet để phát tác thư rác hoặc tham gia vào các cuộc tấn công từ chối dịch vụ (DDoS). Nguy hiểm hơn, loại virus này còn có thể giúp hacker dễ dàng đánh cắp các thông tin cá nhân của người dùng như mật khẩu, thông tin ngân hàng… Thậm chí, Nitol còn có thể bật micro và webcam trên máy tính để ghi âm hoặc ghi hình lại các hoạt động của họ.
Một máy tính khác có cài đặt sẵn loại mã độc có tên gọi Trafog backdoor, cho phép hacker dễ dàng truy cập và điều khiển từ xa máy tính thông qua giao thức FTP (File Transfer Protocol). Máy tính thứ 3 bị lây nhiễm loại backdoor trên phần mềm chat IRC và chiếc máy tính thứ 4 bị lây nhiễm loại mã độc EggDrop.
Đáng chú ý, 3 trong tổng số 4 loại mã độc kể trên chưa được kích hoạt, ngoại trừ loại mã độc Nitol, cũng là loại mã độc nguy hiểm nhất. Nitol đã được kích hoạt sẵn và sẽ phát huy tác dụng khi đến tay người sử dụng, sẽ kết nối với máy chủ C&C (ra lệnh và điều khiển), trên tên miền được sở hữu bởi một công ty Trung Cộng - 3322.org.
Microsoft cho biết tên miền 3322.org này đã chứa các loại mã độc từ năm 2008 cho đến nay. Hiện tại máy chủ thuộc sở hữu của công ty Trung Cộng này chứa 564 loại phần mềm độc hại khác nhau và gần 70.000 tên miền con (sub-domain) liên quan đến các trang web có mã độc. Microsoft cho biết đây là “kho lưu trữ” phần mềm độc hại lớn nhất mà hãng từng gặp phải.
Đây không phải là lần đầu tiên 3322.org bị các chuyên gia bảo mật nhắc đến. Trước đó, vào năm 2009, theo hãng bảo mật Zscaler, có trụ sở tại San Jose (Mỹ), 3322.org chiếm đến 17% lưu lượng các trang web mã độc trên toàn cầu. Trong khi đó, vào năm 2008, hãng bảo mật danh tiếng Kaspersky của Nga cũng đã cho biết 40% phần mềm độc hại trên toàn thế giới có kết nối đến 3322.org.
Được biết, 3322.org thuộc sở hữu của một công ty dịch vụ Internet tại Trung Cộng, thuộc quyền sở hữu của doanh nhân Peng Yong. Tuy nhiên Peng đã lên tiếng phủ nhận sự liên quan của tên miền 3322.org và công ty của mình đến việc phát tác và chứa phần mềm độc hại, bất chấp sự thật nhiều hãng bảo mật đã lên tiếng khẳng định điều này.
Trong khi đó những chiếc máy tính có cài đặt sẵn phần mềm độc hại được sản xuất bởi Shady, một công ty sản xuất máy tính có trụ sở tại Quảng Châu (Trung Cộng). Tuy nhiên hiện phía công ty này từ chối đưa ra bình luận về phát hiện của Microsoft.
Các biện pháp khắc phục tạm thời của Microsoft
Ngay sau khi phát hiện của Microsoft được công bố, tòa án Liên bang ở Virginia (Mỹ) đã cho phép Microsoft sử dụng công nghệ của mình để thiết lập một mạng ảo, cắt đứt mối liên hệ giữa các máy tính bị nhiễm loại mã độc Nitol đến các máy chủ của 3322.org.
Microsoft cũng đã yêu cầu một lệnh cấm tạm thời đối với chủ sở hữu của tên miền và tiến hành một cụ kiện nhằm vào Peng Yong và công ty Trung Cộng về việc sở hữu tên miền chứa mã độc này.
Để đáp ứng yêu cầu lệnh cấm tạm thời của Microsoft, cơ quan Đăng ký Internet công cộng, cơ quan chịu trách nhiệm cho các đăng ký tên miền .org, đã bắt đầu chuyển tên miền 3322.org sang hệ thống máy chủ tền miền do Microsoft quản lý. Hệ thống này sẽ cho phép Microsoft khóa lại mọi hoạt động của mạng lưới botnet do Nitol tạo ra và 70 ngàn tên miền con chứa mã độc của 3322.org.
Dự kiến một phiên tòa sẽ được diễn ra vào ngày 26/9 tới đây trong trường hợp Microsoft không thể thuyết phục được chủ sở hữu của 3322.org tiết lộ danh tính của những người tải mã độc lên máy chủ của trang web này.
Phát hiện của Microsoft thực sự gây nên một sự lo lắng với người dùng trên toàn cầu, khi mà hàng hóa Trung Cộng đang rất phổ biến ở thị trường thế giới. Microsoft cho rằng các nhà hoạch định chính sách, đặc biệt tại Trung Cộng cần phải nhận ra các vấn đề và cần phải có hành động để đảm bảo chuỗi cung ứng sản phẩm là an toàn.
Để kiểm tra xem máy tính của bạn có chứa các loại mã độc có khả năng mở cửa hậu để hacker xâm nhập hay không, đồng thời bịt lại các cửa hậu (nếu có), bạn có thể nhờ đến phần mềm McAfee Stinger của hãng bảo mật danh tiếng McAfee, download miễn phí.
Theo baomaihttp://lamtamnhu.blogspot.com/2012/09/vuong-quoc-e-nhat-gian-manh-canh-bao.html
Chinese-Built Microprocessor Includes Programmable Backdoor
ReplyDeletePosted by Richard_Dudley
ProASIC3 FPGA microprocessor hardware kit.
In yet another startling revelation surrounding the continuing saga vilifying the Chinese for involvement in selling counterfeit electronics, research scientists with Cambridge University have released a report claiming they have discovered that a Chinese-built microprocessor in widespread use by the US armed forces comes complete with a built-in “backdoor” that can be reprogrammed.
The microchip in question has been employed in many applications including military weapons, nuclear power facilities, and public transportation systems. The built-in backdoor, according to the Cambridge scientists, cannot be “fixed” and the only remedy is to replace the chip itself.
Chinese companies have long been suspected of producing counterfeit electronic components that have eventually been incorporated into vital US military weapon’s systems placing US national security at risk and endangering the lives of American servicemembers. A US Senate Armed Forces Committee (SASC) report released in May and a General Accountability Office (GAO) report released in March appear to provide irrefutable evidence to support these suspicions.
Cambridge scientists focused their efforts on examining the American-designed, Chinese-manufactured ProASIC3 A3P250 microprocessor, a component more commonly known as the PA3 distributed by the Microsemi Corporation of San Jose, California. The PA3 is a Field Programmable Gate Array (FPGA) designed to be programmed by the end user as needed.
Sergei Skorobogatov with Cambridge University’s Quo Vadis Laboratory said his team “scanned the silicon chip in an affordable time and found a previously unknown backdoor inserted by the manufacturer.”
Skorobogatov went on to say that this backdoor could be programmed to create an advanced Stuxnet Trojan horse that could disable or disrupt millions of automated systems. The chip has a “key” that Skorobogatov says his team was able to extract, a key that could be accessed for reprogramming even after the user locked the chip with their own key.
No one at Cambridge can say with absolute certainty that the backdoor originated with the Chinese manufacturer and not with the American designer. The PA3 may have been designed with the backdoor included as an integral part of the chip and was meant to be constructed with a backdoor in place.
Alec Muffett, writing for ComputerWorldUK, stated that the backdoor is a serious concern, but claims that making use of the backdoor would not be an easy task. Muffett says that associated security measures would have to be overcome, hardware would have to be accessed, and some very high-tech equipment would have to make a physical connection to actually make reprogramming possible. Such an endeavor, he says, would be on the same level as a “Mission Impossible” scenario.
The PA3 is considered to be one of the best military-grade microprocessors available today and is used in military weapons, guidance systems, flight control networks, and communications. Nuclear power facilities, power distribution grids, public transportation systems, and automotive components also make use of the PA3.
While discovery of this backdoor is a concern, any unauthorized reprogramming efforts appear to be reasonably unlikely and much less of a threat than initially believed. From a real-world perspective, the chip is in widespread use and replacing all of those now in use is a virtual impossibility. And besides, it’s also realistic to believe the chip was designed to have a backdoor in place.
Of course, the possibility that cyber warriors somewhere in the world can exploit this backdoor cannot be lightly dismissed. Finding a backdoor feature in a chip of such vital importance does call into question the reliability and security of critical electronics everyone in the world relies on to energize the modern world we live in.