Chuyên gia CMC INFOSEC “đọc vị” mã độc tấn công Cảng hàng không Nội Bài

Khoảng 16h ngày 29/7/2016, trang mạng chính thức của Vietnam Airlines đã bị chiếm quyền kiểm soát và chuyển sang trang mạng xấu ở nước ngoài và dữ liệu của một số hội viên khách hàng thường xuyên của Vietnam Airlines đã bị đánh cắp. Trước vấn đề này Vietnam Airlines và Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT đã đề nghị các cơ quan đơn vị hỗ trợ xử lý sự cố này như Viettel, FPT, CMC, VNPT…

CMC INFOSEC cho biết, mã độc có tên thực thi là: diskperf.exe. Tên mã độc trong cơ sở dữ liệu của CMC: Troijan.Win32.Dropper.Encrypt.K. Theo chuyên gia của CMC INFOSEC, hậu quả khi bị lây nhiễm: máy tính bị hiển thị ảnh trên màn hình chính, nhiều tập tin dữ liệu trên máy tính bị mã hóa không thể giải mã khôi phục được nếu không có mã khóa bí mật do tin tặc sở hữu,

Các chuyên gia của CMC INFOSEC cho biết, cách thức hoạt động tùy vào tham số truyền vào mà chương trình thực thi 2 chức năng tùy theo yêu cầu của kẻ tấn công:

–disp: deface (Hiển thị ảnh deface)

Thực hiện việc tìm kiếm và mã hóa dữ liệu trên máy tính (AES256) sau khi thực hiện mã hóa file thì cũng tiến hành hiển thị deface. Cụ thể chương trình sẽ tìm kiếm tất cả các file không có đuôi trong danh sách sau (com, bootmrg, sys, dll, msu, msi, ax, lnk, nstuser.*, scr, inf, exe, boot.ini, ntldr, ocx) và tiến hành mã hóa.

 Cách thức mã hóa là mã độc sẽ đọc file, sau đó ánh xạ tập tin (mapping file) lên bộ nhớ và tiến hành mã hóa trực tiếp trên bộ nhớ theo thuật toán AES256 với khóa được sinh ngẫu nhiên. Khóa này được mã hóa RSA1 với public key do tin tặc tạo ra.

 Khóa để mã hóa được ghi vào cuối file sau khi mã hóa, cùng với chuỗi nhận diện {2B38C1F9-13A0-4DD8-98F8-153009D1BF48} –  để đánh dấu là file đã bi nhiễm – ta có thể dùng chuỗi ký tự này để làm một trong những dấu hiệu phân biệt đã bị mã hóa.

 Mẫu mã độc này sau khi lây nhiễm sang các máy khác đều tạo ra một phần dữ liệu ngẫu nhiên (random data) vào trong mã nhị phân mới khiến việc kiểm tra bằng MD5/SHA1 là không có tác dụng.

Hiện tại, CMC INFOSEC đã cập nhật nhận dạng của diskperf.exe vào trong cơ sở dữ liệu của tất các sản phẩm diệt virus phiên bản miễn phí (CMC Anti-Virus), phiên bản trả phí (CMC Internet Security) và phiên bản dành cho doanh nghiệp (CISE).

 Doanh nghiệp và người dùng có thể tải phiên bản mới nhất của các sản phẩm này tại website www.cmcinfosec.com hoặc liên hệ hotline: 0932 206 446 để được hỗ trợ thêm.

CMC INFOSEC cho biết, quá trình điều tra vụ việc vẫn đang được triển khai và sẽ tiếp tục thông tin cập nhật về vụ việc này.