Máy tính sản xuất tại Trung Quốc chứa mã độc nguy hiểm

Các chuyên gia nghiên cứu bảo mật của Microsoft tại Trung Quốc đã phát hiện ra phần mềm độc hại trên những chiếc máy tính mới mà họ đặt mua tại các thành phố khác nhau ở Trung Quốc, như một phần trong chiến dịch điều tra an ninh của chuỗi cung ứng sản phẩm tại quốc gia này. Thông tin này vừa được đăng tải lên blog chính thức của Microsoft vào ngày hôm qua.

Cụ thể, chiến dịch với tên gọi MARS được Microsoft bắt đầu tiến hành từ tháng 8 năm ngoái, khi Microsoft quyết định sẽ kiểm tra xem có phần mềm gián điệp hay phần mềm độc hại nào được cài đặt sẵn trên các máy tính được các nhà sản xuất Trung Quốc cung cấp tại các cửa hàng bán lẻ hay không. 

Các nhân viên của Microsoft đã quyết định đặt mua 10 máy laptop và 10 máy tính để bàn tại các cửa hàng bán lẻ khác nhau trên khắp Trung Quốc.

“Chúng tôi đã mua những chiếc máy tính tại các trung tâm mà người Trung Quốc gọi là ‘Trung tâm mua sắm PC’. Chúng tôi muốn có được những sản phẩm mà người tiêu dùng phổ thông ở Trung Quốc sẽ sở hữu”, Richard Boscovich, Trợ lý giám đốc của Đơn vị chống tội phạm kỹ thuật số của Microsoft cho biết. “Chúng tôi đã rất ngạc nhiên khi có thể nhanh chóng phát hiện những gì mà chúng tôi đã nghi ngờ”.

Các chuyên gia của Microsoft đã phát hiện ra cả 20 máy tính đều được cài đặt phiên bản Windows không có bản quyền, đặc biệt 4 trên tổng số 20 máy tính được cài đặt kèm theo phần mềm độc hại, trong đó có một số phần mềm có khả năng lây lan thông qua ổ đĩa USB. 

Các sản phẩm của Trung Quốc một lần nữa bị đặt ra dấu hỏi về chất lượng và độ an toàn, tin cậy

Chiếc máy tính đầu tiên cho thấy đã bị cài đặt sẵn loại virus với tên gọi Nitol, cho phép mở cửa hậu (backdoor) trên máy tính khiến hacker có thể loại dụng máy tính vào các mạng lưới botnet để phát tác thư rác hoặc tham gia vào các cuộc tấn công từ chối dịch vụ (DDoS). Nguy hiểm hơn, loại virus này còn có thể giúp hacker dễ dàng đánh cắp các thông tin cá nhân của người dùng như mật khẩu, thông tin ngân hàng… Thậm chí, Nitol còn có thể bật micro và webcam trên máy tính để ghi âm hoặc ghi hình lại các hoạt động của họ.

Một máy tính khác có cài đặt sẵn loại mã độc có tên gọi Trafog backdoor, cho phép hacker dễ dàng truy cập và điều khiển từ xa máy tính thông qua giao thức FTP (File Transfer Protocol). Máy tính thứ 3 bị lây nhiễm loại backdoor trên phần mềm chat IRC và chiếc máy tính thứ 4 bị lây nhiễm loại mã độc EggDrop. 

Đáng chú ý, 3 trong tổng số 4 loại mã độc kể trên chưa được kích hoạt, ngoại trừ loại mã độc Nitol, cũng là loại mã độc nguy hiểm nhất. Nitol đã được kích hoạt sẵn và sẽ phát huy tác dụng khi đến tay người sử dụng, sẽ kết nối với máy chủ C&C (ra lệnh và điều khiển), trên tên miền được sở hữu bởi một công ty Trung Quốc - 3322.org. 

Microsoft cho biết tên miền 3322.org này đã chứa các loại mã độc từ năm 2008 cho đến nay. Hiện tại máy chủ thuộc sở hữu của công ty Trung Quốc này chứa 564 loại phần mềm độc hại khác nhau và gần 70.000 tên miền con (sub-domain) liên quan đến các trang web có mã độc. Microsoft cho biết đây là “kho lưu trữ” phần mềm độc hại lớn nhất mà hãng từng gặp phải.

Đây không phải là lần đầu tiên 3322.org bị các chuyên gia bảo mật nhắc đến. Trước đó, vào năm 2009, theo hãng bảo mật Zscaler, có trụ sở tại San Jose (Mỹ), 3322.org chiếm đến 17% lưu lượng các trang web mã độc trên toàn cầu. Trong khi đó, vào năm 2008, hãng bảo mật danh tiếng Kaspersky của Nga cũng đã cho biết 40% phần mềm độc hại trên toàn thế giới có kết nối đến 3322.org.

Được biết, 3322.org thuộc sở hữu của một công ty dịch vụ Internet tại Trung Quốc, thuộc quyền sở hữu của doanh nhân Peng Yong. Tuy nhiên Peng đã lên tiếng phủ nhận sự liên quan của tên miền 3322.org và công ty của mình đến việc phát tác và chứa phần mềm độc hại, bất chấp sự thật nhiều hãng bảo mật đã lên tiếng khẳng định điều này.

Trong khi đó những chiếc máy tính có cài đặt sẵn phần mềm độc hại được sản xuất bởi Shady, một công ty sản xuất máy tính có trụ sở tại Quảng Châu (Trung Quốc). Tuy nhiên hiện phía công ty này từ chối đưa ra bình luận về phát hiện của Microsoft.

Các biện pháp khắc phục tạm thời của Microsoft

Ngay sau khi phát hiện của Microsoft được công bố, tòa án Liên bang ở Virginia (Mỹ) đã cho phép Microsoft sử dụng công nghệ của mình để thiết lập một mạng ảo, cắt đứt mối liên hệ giữa các máy tính bị nhiễm loại mã độc Nitol đến các máy chủ của 3322.org. 

Microsoft cũng đã yêu cầu một lệnh cấm tạm thời đối với chủ sở hữu của tên miền và tiến hành một cụ kiện nhằm vào Peng Yong và công ty Trung Quốc về việc sở hữu tên miễn chứa mã độc này. 

Để đáp ứng yêu cầu lệnh cấm tạm thời của Microsoft, cơ quan Đăng ký Internet công cộng, cơ quan chịu trách nhiệm cho các đăng ký tên miền .org, đã bắt đầu chuyển tên miền 3322.org sang hệ thống máy chủ tền miền do Microsoft quản lý. Hệ thống này sẽ cho phép Microsoft khóa lại mọi hoạt động của mạng lưới botnet do Nitol tạo ra và 70 ngàn tên miền con chứa mã độc của 3322.org. 

Dự kiến một phiên tòa sẽ được diễn ra vào ngày 26/9 tới đây trong trường hợp Microsoft không thể thuyết phục được chủ sở hữu của 3322.org tiết lộ danh tính của những người tải mã độc lên máy chủ của trang web này.

Phát hiện của Microsoft thực sự gây nên một sự lo lắng với người dùng trên toàn cầu, khi mà hàng hóa Trung Quốc đang rất phổ biến ở thị trường thế giới. Microsoft cho rằng các nhà hoạch định chính sách, đặc biệt tại Trung Quốc cần phải nhận ra các vấn đề và cần phải có hành động để đảm bảo chuỗi cung ứng sản phẩm là an toàn.

Để kiểm tra xem máy tính của bạn có chứa các loại mã độc có khả năng mở cửa hậu để hacker xâm nhập hay không, đồng thời bịt lại các cửa hậu (nếu có), bạn có thể nhờ đến phần mềm McAfee Stingercủa hãng bảo mật danh tiếng McAfee, download miễn phí tại đây.