Một nhà nghiên cứu an ninh tại Anh đã vô tình phát hiện ra loại code được gọi là “kill switch” (nút kết liễu) mà một số kẻ tấn công sử dụng để ngăn chặn mã độc lây lan khi mọi chuyện vượt ngoài tầm kiểm soát.
Người đàn ông 22 tuổi được biết đến với biệt danh MalwareTech đang trong kỳ nghỉ phép kéo dài một tuần của mình thì hay tin về loại mã độc tống tiền hoành hành trên thế giới. Và thế là anh đã bắt tay vào điều tra.
Sau khi vô tình tìm ra một “nút kết liễu” trên phần code thô của phần mềm này, anh đã phát hiện ra cách ngăn chặn mã độc tiếp tục lây lan.
Chia sẻ với trang BBC, anh cho biết: “Thực ra đây cũng một phần là tình cờ” sau một đêm không ngủ để điều tra tìm hiểu về loại mã độc.
Mặc dù việc khám phá ra nút kết liễu không thể khắc phục được những thiệt hại mà mã độc này đã gây ra, nhưng nó đã ngăn mã độc không tiếp tục lây lan sang các máy tính khác. Nhờ đó, anh được gọi là “người hùng tình cờ”.
“Tôi cho rằng nói như vậy là đúng”, anh trả lời phóng viên BBC. “Mọi người đã quá quan tâm đến tôi, sếp của tôi đã cho tôi nghỉ thêm một tuần để bù đắp lại tuần nghỉ ngơi không trọn vẹn vừa rồi”.
Vậy chính xác nhà nghiên cứu này đã phát hiện ra điều gì?
Ban đầu, nhà nghiên cứu an ninh này đã phát hiện ra mã độc cố gắng luôn liên hệ với một địa chỉ website cụ thể mỗi khi nó lây nhiễm vào một máy tính mới. Nhưng địa chỉ trang web mà mã độc cố gắng liên hệ là một tập hợp những chữ cái lộn xộn và chưa được đăng ký.
MalwareTech đã quyết định đăng ký tên miền đó, và mua nó với giá 10,69 USD. Sở hữu tên miền đó cho phép anh biết được các máy tính sẽ kết nối từ đâu, và mã độc này đã lây lan như thế nào.
Sở hữu tên miền đó cho phép anh biết được các máy tính sẽ kết nối từ đâu, và mã độc này đã lây lan như thế nào. |
Nhờ đó, anh đã vô tình kích hoạt một phần trong code của mã độc khiến nó ngừng phát tán.
Loại code này được gọi là “kill switch” (nút kết liễu) mà một số kẻ tấn công sử dụng để ngăn chặn mã độc lây lan khi mọi chuyện vượt ngoài tầm kiểm soát.
Anh đã kiểm tra những phát hiện của mình và vui sướng khi nhận ra anh hoàn toàn có thể kích hoạt mã độc theo yêu cầu.
“Giờ đây bạn không thể tưởng tượng ra hình ảnh một người đàn ông nhảy tưng tưng vì vui sướng sau khi vừa bị ‘tấn công đòi tiền chuộc’, nhưng đó chính là tôi”, anh viết trên blog.
MalwareTech cho rằng loại code này ban đầu được phát triển để ngăn chặn các nhà nghiên cứu cố gắng điều tra về mã độc, nhưng nó đã “phản chủ” và khiến mã độc bị vô hiệu hóa từ xa.
Điều đó có nghĩa là mã độc này đã bị đánh bại?
Mặc dù việc đăng ký địa chỉ website dường như có thể ngăn chặn mã độc lây lan từ thiệt bị này qua thiết bị khác nhưng nó không thể khắc phục được những thiết bị đã dính mã.
Các chuyên gia bảo mật cũng cảnh báo rằng biến thể mới của loại mã độc này, có khả năng phớt lờ “kill switch”, sẽ xuất hiện. “Biến thể này sẽ không thể lây lan thêm nữa, nhưng sẽ có những biến thể khác mà chúng ta sẽ không thể ngăn chặn được”, nhà nghiên cứu an ninh Troy Hunt đăng trên blog cá nhân. “Chiêu thức này có thể kiếm về rất nhiều tiền, và chẳng có lý do gì để chúng dứng lại. Thay đổi code và làm lại từ đầu là một việc rất đơn giản”.