a. Giới thiệu về mạng botnet Nitol
Nitol là tên gọi do Microsoft đặt tên theo chiến dịch bóc gỡ mã độc B70. Nitol có 3 biến thể A, B, C. Mạng botnet Nitol được phát hiện lần đầu vào tháng 8 năm 2011 khi một nhóm nghiên cứu của Micosoft tại Trung Quốc đã thực hiện cuộc điều tra tại các cửa hàng máy tính. Sau khi kiểm tra các sản phẩm thu được, các nhà nghiên cứu thấy 20% máy tính bị nhiễm phần mềm độc hại và có khả năng lây nhiễm qua USB.
Mã độc Nitol cho phép tin tặc đánh cắp thông tin cá nhân (email, tài khoản mạng xã hội, tài khoản ngân hàng của người dùng) và lợi dụng dịch vụ trực tuyến của họ để tiếp tục lừa đảo thông qua các mối quan hệ cá nhân, bán các loại mặt hàng giả mạo và thực hiện các cuộc tấn công DDoS với quy mô lớn...Theo các nghiên cứu, mạng botnet Nitol hoạt động chính trên tên miền 3322.org, và tên miền này còn chứa 500 loại mã độc khác nhau. Các phần mềm độc hai được lưu trữ trên
32
tính bị nhiễm phần mềm độc hai, có khả năng theo dõi và nghe trộm các cuộc trao đổi trên máy tính. Ngoài ra nó còn có thể ghi lại thông tin quan trọng của người dùng trong Registry.
Nitol lây nhiễm vào máy tính nạn nhân thông qua một loạt các cơ chế thông thường và có thể tự phát triển và lây lan qua các thiết bị di động như: ổ đĩa USB, ổ cứng di động, các tập tin .Zip, .Zar, các thiết bị hoặc mạng chia sẻ. Đặc biệt là Nitol có khả năng lựa chọn vùng thiết bị lưu trữ để sao chép chính nó và nó thường chọn các thư mục có chứa các tập tin ứng dụng (.exe, .dll, .ocx) và các tập tin có dạng .rar, .zip. Tuy nhiên để tránh bị phát hiện mã độc này được thiết kế để ẩn các tập tin với các thuộc tính mặc định system/read-only/hidden.
b. Tình hình lây nhiễm Nitol trên không gian mạng Việt Nam
Microsoft đã đưa ra một chiến dịch bóc gỡ mạng botnet Nitol trên toàn cầu và sử dụng hệ thống theo dõi để phát hiện, cảnh báo và kiểm soát tình hình lây nhiễm. Ở Việt Nam Trung tâm VNCERT đã thiết lập kênh chia sẻ thông tin với Microsoft để hợp tác trong việc bóc bỡ mạng botnet này, hiện có trên 30.000 địa chỉ IP của Việt Nam nằm trong mạng botnet Nitol trong đó có cả địa chỉ IP thuộc cơ quan nhà nước ở các Bộ Ngành và tỉnh thành phố. Đây là một trong những điểm đáng lo ngại về tình hình an toàn thông tin ở Việt Nam nói chung và hoạt động của mạng botnet nói riêng.