10/12/2013 11:38 GMT+7

Microsoft tiêu diệt mạng máy tính ma ra sao?

THÚY QUỲNH

TTO - ZeroAccess, mạng máy tính ma lớn nhất thế giới, cuối cùng đã bị Microsoft tiêu diệt trong tuần qua. Cùng nhìn lại quá trình "tìm và diệt" công phu nhiều tháng trời của đội ngũ an ninh tại hãng phần mềm lớn nhất thế giới.

Minh họa tầm lây lan và ảnh hưởng của mạng máy tính ma ZeroAccess tại Hoa Kỳ và khu vực châu Âu - Ảnh: Wall Street Journal

Microsoft triệt phá mạng "máy tính ma" Zeus Symantec đánh sập một phần "mạng ma" ZeroAccess Microsoft cùng FBI xâm nhập đường dây Citadel Botnets

Trong nhiều tháng liền, các kỹ sư an ninh tại Microsoft không lúc nào rời khỏi màn hình, âm thầm theo dõi nhất cử nhất động của những kẻ đứng đằng sau ZeroAccess, thứ được họ gọi là mạng máy tính ma (botnet) lớn và lâu đời nhất thế giới.

Cuộc phối hợp triệt phá mạng máy tính ma ZeroAccess phản ánh nỗ lực quyết liệt bởi các doanh nghiệp (công nghệ) để giữ ổn định cho một thế giới "vô chính phủ" như Internet, nơi kẻ xấu thu lợi từ dòng tiền đổ vào quảng cáo trực tuyến.

Thế rồi vào ngày 5-12, nhóm điều tra đã thu thập đủ bằng chứng để nhận được sự đồng ý của tòa án và lực lượng chức năng nước ngoài, từ đó cắt đứt các mối liên hệ đến các máy chủ ZeroAccess đặt tại châu Âu - nơi được cho là "đầu não" của mạng máy tính ma này.

Trước đó, giới tội phạm mạng đã sử dụng ZeroAccess - vốn được cấu thành từ 2 triệu máy tính bị chiếm quyền kiểm soát (còn gọi là "bot") trên khắp thế giới - để thu lợi bất chính lên đến 2,7 triệu USD mỗi tháng từ quảng cáo. Theo Wall Street Journal, Microsoft vẫn chưa thể biết chính xác ai là kẻ đứng đằng sau ZeroAccess, song mọi nghi ngờ đều hướng về khu vực Đông Âu. Hãng phần mềm đã nộp một đơn kiện dân sự lên một tòa án ở bang Texas, yêu cầu được cấp thẩm quyền để tấn công và cắt đứt đường dây liên lạc giữa các máy tính bị lây nhiễm trên lãnh thổ Mỹ và các máy chủ gồm 18 địa chỉ IP khác nhau tại Đông Âu. Microsoft cũng phối hợp cùng Europol (Cảnh sát châu Âu) để bắt giữ các máy chủ tại Latvia, Đức, Thụy Sĩ, Luxembourg và Hà Lan.

Trách nhiệm của một ông lớn công nghệ

Wall Street Journal bình luận Microsoft có lý do chính đáng để duy trì đội ngũ an ninh mạng của chính mình. Công ty này đang sở hữu một lúc nhiều mục tiêu hấp dẫn cho giới tội phạm mạng, bao gồm công cụ tìm kiếm Bing, dịch vụ Bing Ads cùng hệ điều hành Windows, vốn chiếm thị phần lên đến 90% máy tính cá nhân trên thế giới. Cũng theo đại diện Microsoft, việc triệt hạ thành công ZeroAccess cũng giúp củng cố tên tuổi và địa vị công ty.

Năm nay, Hãng nghiên cứu thị trường eMarketer nhận định chi phí cho quảng cáo trực tuyến tại Hoa Kỳ được dự báo đạt mức tăng trưởng 14,9%, tương đương 42,3 tỉ USD. Trong bối cảnh đó, việc ngành quảng cáo trực tuyến trở thành mục tiêu béo bở cho giới tội phạm điện tử cũng là điều dễ hiểu.

Theo Microsoft, ở mức độ cơ bản nhất, những chiêu lừa đảo trực tuyến đều sử dụng phương thức gian lận mức lưu lượng dữ liệu (traffic). Điều này đến từ thực tế các chủ trang web được trả tiền để trưng bày nội dung quảng cáo, với mức giá tùy thuộc vào số nhấp chuột mà người ghé thăm trang web dành cho nội dung quảng cáo đó. Như vậy, kẻ xấu sẽ lập các trang web và điều khiển các máy tính bị kiểm soát (hijacked) truy cập vào trang đó, nhằm tạo ra các lưu lượng (traffic) ảo. Lúc này, những nhà quảng cáo sẽ bị hấp dẫn bởi số lượng truy cập (ảo) đến trang web nói trên và đương nhiên bị... mất tiền oan cho chủ trang web.

Đối với ZeroAccess, "chuyên môn" của mạng máy tính ma này là "lừa đảo cú nhấp chuột" (click fraud). Cụ thể, ZeroAccess sẽ ra lệnh cho đội quân 2 triệu máy tính của nó cùng nhấp chuột vào 48 mẩu quảng cáo liên tục trong mỗi ngày. Ngoài ra, chiêu kiếm tiền gian lận ưa thích khác của ZeroAccess còn có "đánh cắp phiên tìm kiếm" (search hijacking), trong đó một phiên tìm kiếm của người dùng trên các công cụ tìm kiếm như Google hay Bing sẽ bị trỏ đến trang web lừa đảo của kẻ xấu.

Việc đối phó với một mạng máy tính ma không phải chuyện dễ, vì tất cả đều được bảo vệ bằng nhiều lớp mật khẩu và mã hóa, được điều khiển từ các máy chủ đặt tại những quốc gia và vùng lãnh thổ lỏng lẻo về luật pháp chống tội phạm điện tử, hoặc dễ qua mặt cơ quan chức năng. Microsoft cho biết đã chống lại hàng loạt mạng máy tính ma trong vòng ba năm qua. Cách đây vài tháng, gã khổng lồ phần mềm đã phối hợp cùng Cục Điều tra liên bang Mỹ (FBI) để triệt hạ mạng "Citadel", vốn trước đó đã lấy cắp thông tin từ nhiều ngân hàng. Còn vào năm ngoái (2012), cũng chính Microsoft đã tiêu diệt thành công mạng máy tính ma nổi tiếng "Zeus".

Kế hoạch chi tiết

Trong suốt quá trình điều tra của mình, Microsoft đã nghiên cứu kỹ lưỡng ZeroAccess trong phòng thí nghiệm, thậm chí còn dựng lên cả một hệ thống máy tính mô phỏng trạng thái bị lây nhiễm để xem botnet này hoạt động ra làm sao. Theo ông Richard Boscovich, phó giám đốc pháp lý của bộ phận điều tra, toàn bộ quá trình được thực hiện trong bí mật. "Nếu kẻ xấu biết chúng đang bị theo dõi, chúng sẽ tiến hành xóa mọi dấu vết", ông cho biết.

Không giống những botnet truyền thống, ZeroAccess không phụ thuộc vào một hệ thống máy chủ duy nhất. Thay vào đó, bất cứ máy tính đơn lẻ nào trong mạng lưới 2 triệu máy bị kiểm soát cũng đều có thể thực hiện việc gửi lệnh tấn công đến các máy khác.

Wall Street Journal bình luận câu hỏi lớn giờ đây là liệu vụ bố ráp của Microsoft lên ZeroAccess sẽ có tác dụng to lớn như mong muốn hay không. Bởi vì cũng chính ZeroAccess từng bị Hãng bảo mật Symantec tấn công, tiêu diệt và... hồi sinh trước khi đến lượt Microsoft ra tay.

Giờ đây, khi đã chặn đứng thành công các máy chủ của ZeroAccess, Microsoft vẫn rất muốn biết cá nhân hay tập thể nào đứng đằng sau nó. Do đó, hồ sơ của vụ việc đã được chuyển sang cho FBI phụ trách. Nói như quản lý cấp cao Craig Schmidt của bộ phận điều tra tội phạm điện tử của Microsoft: "Nếu không thể tống kẻ chủ mưu vào tù, ít nhất chúng ta cũng có thể lấy một phần tiền của chúng".

THÚY QUỲNH