Phát hiện mã độc GhostContainer nguy hiểm

Podcast

Podcast: Phát hiện mã độc GhostContainer nguy hiểm. Video: MINH HOÀNG - THU HÀ

Mã độc này nhắm thẳng vào các hệ thống máy chủ Microsoft Exchange, một nền tảng phổ biến mà nhiều tổ chức chính phủ và doanh nghiệp vẫn đang sử dụng để quản lý email và dữ liệu nội bộ.

GhostContainer được Kaspersky phát hiện trong quá trình ứng phó sự cố tại nhiều cơ quan chính phủ ở châu Á. Đằng sau vẻ ngoài tưởng chừng hợp lệ của một thư viện hệ thống (.dll), GhostContainer thực chất là một backdoor đa chức năng, cho phép tin tặc lén cài thêm các module tấn công, kiểm soát hệ thống từ xa và âm thầm thu thập dữ liệu nhạy cảm.

Mã độc ‘tàng hình’ và biết thích nghi

GhostContainer được ngụy trang tinh vi dưới vỏ bọc một thành phần phần mềm bình thường, dễ dàng qua mặt các phần mềm diệt virus. Một khi được cài đặt thành công, mã độc cho phép hacker truy cập sâu vào hệ thống nội bộ, điều khiển máy chủ, chèn mã độc mới hoặc tạo đường hầm mã hóa (tunnel) để bí mật trao đổi dữ liệu mà người quản trị không hề hay biết.

Các chuyên gia cảnh báo rằng, mã độc này còn có khả năng hoạt động như một proxy nội bộ, giúp mở đường cho các cuộc tấn công lớn hơn, như đánh cắp email, tài liệu quan trọng hay thậm chí cài đặt thêm phần mềm gián điệp.

Điểm đáng lo ngại là GhostContainer không được viết từ đầu mà dựa trên nhiều công cụ mã nguồn mở, vốn có sẵn trên mạng. Chính điều này khiến việc truy vết và xác định nguồn gốc trở nên khó khăn hơn rất nhiều. Nó cũng đồng nghĩa bất kỳ ai có kỹ năng, từ tin tặc cá nhân đến các nhóm tội phạm có tổ chức đều có thể tận dụng mã độc này.

Mối đe dọa ngày càng tăng từ mã độc mã nguồn mở

Ông Sergey Lozhkin, Trưởng nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky, cho biết: “GhostContainer là một ví dụ điển hình cho sự kết hợp giữa kỹ thuật lẩn tránh tinh vi và khả năng tận dụng công cụ mã nguồn mở. Đây là chiến dịch được lên kế hoạch kỹ càng, nhắm vào các tổ chức trọng yếu và có khả năng mang mục đích gián điệp mạng.”

Đáng chú ý, chỉ tính riêng đến cuối năm 2024, các chuyên gia ghi nhận 14.000 gói mã độc ẩn mình trong các dự án mã nguồn mở, tăng gần 50% so với cuối năm trước. Điều này cho thấy môi trường mã nguồn mở đang trở thành mảnh đất màu mỡ cho các nhóm tấn công mạng lợi dụng, phát triển công cụ và phát tán mã độc.

Mã độc GhostContainer có khả năng lẩn tránh tinh vi. Ảnh minh họa: AI

Doanh nghiệp cần làm gì?

Trước nguy cơ này, các chuyên gia khuyến cáo doanh nghiệp và cơ quan nhà nước cần nhanh chóng nâng cao năng lực phòng vệ, đặc biệt là những tổ chức đang sử dụng Microsoft Exchange hoặc các hệ thống máy chủ web phổ biến như IIS. Ngoài ra cần triển khai thêm một số biện pháp như:

- Trang bị nền tảng tình báo an ninh mạng như Kaspersky Threat Intelligence để cập nhật kịp thời các mối đe dọa mới nhất.

- Đào tạo lại đội ngũ an ninh mạng, nhất là các kỹ thuật viên vận hành hệ thống.

- Áp dụng công nghệ phát hiện và phản ứng sớm, giúp phát hiện những bất thường trong hệ thống ngay từ đầu.

- Đào tạo nhận thức an ninh cho nhân viên, yếu tố con người luôn là mắt xích yếu nhất. Các khóa học nâng cao nhận thức về phishing, lừa đảo qua email hay giả mạo tài liệu có thể giảm thiểu nguy cơ bị tấn công có chủ đích.

Minh Hoàng - THU HÀ