Với nỗ lực toàn cầu, một loại sâu mới bị chậm

Trước đây, trước đây đã có một đợt bùng phát sâu máy tính lớn, nhưng không có gì giống như Conficker.

Được phát hiện lần đầu tiên vào tháng 11, sâu đã sớm lây nhiễm nhiều máy tính hơn bất kỳ con sâu nào trong những năm gần đây. Theo một số ước tính, nó được cài đặt trên hơn 10 triệu PC. Nhưng kể từ lần xuất hiện đầu tiên của nó, nó đã được kỳ lạ yên tĩnh. Conficker lây nhiễm cho PC và lây lan qua mạng, nhưng nó không làm gì khác. Nó có thể được sử dụng để khởi động một cuộc tấn công mạng khổng lồ, làm tê liệt hầu như bất kỳ máy chủ nào trên Internet, hoặc nó có thể được thuê cho những người gửi thư rác để bơm ra hàng tỷ hàng trăm thư rác. Thay vào đó, nó nằm ở đó, một công cụ hủy diệt khổng lồ đang chờ ai đó biến chìa khóa.

Cho đến gần đây, nhiều nhà nghiên cứu bảo mật đơn giản không biết mạng Conficker đang chờ đợi điều gì. Tuy nhiên, vào thứ năm, một liên minh quốc tế đã tiết lộ rằng họ đã thực hiện các bước chưa từng có để giữ cho con sâu tách khỏi các máy chủ điều khiển và kiểm soát có thể kiểm soát nó. Nhóm này bao gồm các nhà nghiên cứu bảo mật, công ty công nghệ, công ty đăng ký tên miền đã tham gia lực lượng với Tổng công ty Internet về tên miền và số (ICANN), giám sát Hệ thống tên miền của Internet.

[Đọc thêm: Cách xóa phần mềm độc hại từ máy tính Windows của bạn]

Các nhà nghiên cứu đã lấy mã của Conficker và phát hiện ra rằng nó sử dụng một kỹ thuật mới khéo léo để gọi điện về nhà để được hướng dẫn mới. Mỗi ngày, sâu này tạo ra một danh sách mới gồm khoảng 250 tên miền ngẫu nhiên như aklkanpbq.info. Sau đó, khi kiểm tra các tên miền đó để có hướng dẫn mới, xác minh chữ ký mã hóa của chúng để đảm bảo chúng được tạo bởi tác giả của Conficker.

Khi mã Conficker được giải mã lần đầu tiên, các chuyên gia bảo mật bắt cóc một số miền được tạo ngẫu nhiên, tạo ra cái được gọi là lỗ chìm máy chủ để nhận dữ liệu từ các máy bị tấn công và quan sát cách thức hoạt động của con sâu. Nhưng khi nhiễm trùng trở nên phổ biến hơn, họ bắt đầu đăng ký tất cả các lĩnh vực - gần 2.000 mỗi tuần - đưa họ ra khỏi lưu thông trước khi bọn tội phạm có một chanc. Nếu bao giờ những kẻ xấu cố gắng đăng ký một trong những tên miền kiểm soát và kiểm soát này, họ sẽ thấy rằng họ đã bị bắt đi, bởi một nhóm hư cấu tự gọi mình là "Conficker Cabal". Địa chỉ của nó? 1 Microsoft Way, Redmond Washington.

Đây là một loại trò chơi mèo và chuột mới cho các nhà nghiên cứu, nhưng nó đã được thử nghiệm một vài lần trong vài tháng qua. Ví dụ, vào tháng 11, một nhóm khác đã sử dụng kỹ thuật này để kiểm soát các tên miền được sử dụng bởi một trong những mạng botnet lớn nhất thế giới, được gọi là Srizbi, cắt nó khỏi các máy chủ điều khiển và lệnh của nó. tuy nhiên, chiến thuật này có thể tốn thời gian và tốn kém. Vì vậy, với Conficker, nhóm đã xác định và khóa tên bằng cách sử dụng một kỹ thuật mới, được gọi là đăng ký trước miền và khóa.

Bằng cách chia công việc xác định và khóa miền của Conficker, nhóm đã chỉ giữ con sâu trong kiểm tra Andre DiMino, người đồng sáng lập tổ chức The Shadowserver Foundation, một tổ chức giám sát tội phạm mạng, cho biết, không phải là một đòn chí mạng. "Đây thực sự là nỗ lực quan trọng đầu tiên ở cấp độ này có khả năng tạo ra một sự khác biệt đáng kể," ông nói. "Chúng tôi muốn nghĩ rằng chúng tôi đã có một số hiệu ứng trong việc làm tê liệt nó."

Đây là lãnh thổ chưa được thám hiểm cho ICANN, nhóm chịu trách nhiệm quản lý hệ thống địa chỉ của Internet. Trong quá khứ, ICANN đã bị chỉ trích vì chậm sử dụng sức mạnh của mình để thu hồi giấy chứng nhận từ các công ty đăng ký tên miền đã được bọn tội phạm sử dụng rộng rãi. Nhưng lần này nó nhận được lời khen ngợi cho các quy tắc thư giãn khiến việc khóa các tên miền trở nên khó khăn và tập hợp những người tham gia của nhóm.

"Trong trường hợp cụ thể này, họ bôi bánh xe để mọi thứ di chuyển nhanh", David Ulevitch, người sáng lập của OpenDNS. "Tôi nghĩ họ nên được khen ngợi vì điều đó … Đây là lần đầu tiên ICANN thực sự làm điều gì đó tích cực."

Thực tế là một nhóm các tổ chức đa dạng như vậy đang làm việc cùng nhau rất đáng chú ý, Rick Wesson, Giám đốc điều hành tư vấn bảo mật mạng Support Intelligence cho biết. "Trung Quốc và Mỹ đã hợp tác để đánh bại một hoạt động độc hại trên quy mô toàn cầu … điều đó nghiêm trọng. Điều đó chưa bao giờ xảy ra", ông nói.

ICANN đã không trả lời các cuộc gọi tìm kiếm bình luận cho câu chuyện này và nhiều người tham gia trong nỗ lực Conficker, bao gồm cả Microsoft, Verisign và Trung tâm thông tin mạng Internet Trung Quốc (CNNIC) đã từ chối phỏng vấn bài viết này.

Riêng tư, một số người tham gia nói rằng họ không muốn thu hút sự chú ý đến những nỗ lực cá nhân của họ nhóm tội phạm mạng. Người khác nói rằng bởi vì nỗ lực rất mới, vẫn còn quá sớm để thảo luận về chiến thuật.

Dù câu chuyện đầy đủ, cổ phần rõ ràng là cao. Conficker đã được phát hiện trên các mạng lưới chính phủ và quân sự và đặc biệt nguy hiểm trong các mạng công ty. Một lần nữa, và những người sáng tạo của Conficker có thể lập trình lại mạng của họ, cho các máy tính một thuật toán mới có thể bị bẻ khóa và cho họ cơ hội sử dụng các máy tính này cho mục đích bất chính. "Chúng tôi phải chính xác 100 phần trăm", Wesson nói. "Và trận chiến là một trận chiến hàng ngày."

(Sumner Lemon ở Singapore đã góp phần vào báo cáo này.)