Nguyễn Văn Hưởng » Không gian mạng » Trend Micro bị Triều Tiên sao chép mã phần mềm chống virus nổi tiếng

(Không gian mạng) - Ngày 01/05, một trong những hãng bảo mật lớn nhất thế giới – Trend Micro (Nhật) tiết lộ phát hiện một phần mềm chống virus nổi tiếng nhất ở Triều Tiên có chứa một vài đoạn mã code của hãng trong suốt 13 năm qua.

Trend Micro bị Triều Tiên sao chép mã phần mềm chống virus nổi tiếng

Trend Micro bị Triều Tiên sao chép mã phần mềm chống virus nổi tiếng

Trend Micro cho biết tài sản trí tuệ của hãng đã bị công cụ chống virus SiliVaccine của Triều Tiên sao chép bất hợp pháp, theo như các chuyên gia hãng bảo mật Check Point (Israel) tìm thấy trong nhiều sản phẩm từ năm 2005. Tuy nhiên, Trend lại không chắc chắn công nghệ của hãng bị sao chép bất hợp pháp bằng cách nào. Các chuyên gia tin rằng, không phải hãng mà là một trong những đối tác của hãng đã bị nhắm mục tiêu hoặc đã có quan hệ thương mại với tác giả phần mềm chống virus của Triều Tiên.

Theo phát ngôn viên của Trend Micro, VSAPI – một phiên bản máy dò 10 năm tuổi của hãng, đã bị viết lại trong SiliVaccine, nhưng lại không rõ bằng cách nào nó lại nằm ngay trong giai đoạn đầu. “Nó có trên hàng loạt sản phẩm chủ chốt, công cụ kiểm tra trực tuyến và thậm chí là những sản phẩm bảo mật bên thứ 3 thông qua nhiều nhà sản xuất thiết bị gốc (OEM)”, phát ngôn viên cho biết.

“Một thư viện mã code được biên soạn đã bị sao chép bất hợp pháp, đóng gói lại và đính kèm với code ứng dụng bổ sung không phải xuất phát từ Trend Micro, để tạo ra một ứng dụng dò tìm virus thông thường có tên là SiliVaccine”.

Hiện Đại sứ quán Triều Tiên tại London vẫn chưa đưa ra bình luận nào về thông tin trên.

Email bí ẩn

Phát hiện về địa chỉ IP của hãng bảo mật Trend Micro trên SiliVaccine được tìm thấy bởi các chuyên gia tại Check Point sau khi họ nhận một bản sao từ chuyên gia công nghệ Triều Tiên và phóng viên Martyn Williams. Năm 2014, Williams nhận được 1 bản sao trong một email bí ẩn từ kỹ sư người Nhật tự xưng là Kang Yong Hak. Trong khi phiên bản SiliVaccine hoạt động như một phần mềm chống virus thông thường, nó đã mang theo mã độc Jaku, từng bị Check Point báo cáo liên quan đến tin tặc Triều Tiên. Vì nghi ngờ những email đính kèm dạng tập tin như vậy và để tránh bị nhiễm mã độc, Williams đã gửi lá thư đến Check Point.

“Jaku là một botnet truyền mã độc có độ bền bỉ cao và đã lây nhiễm khoảng 19.000 nạn nhân, chủ yếu qua công cụ chia sẻ tập tin BitTorrent độc. Tuy nhiên, nó nhắm mục tiêu và theo dõi nhiều cá nhân đặc biệt hơn ở Hàn Quốc và Nhật Bản, trong đó có thành viên của các tổ chức phi chính phủ quốc tế, công ty kỹ thuật, viện khoa học, những nhà khoa học và nhân viên chính phủ”, báo cáo của Check Point viết.

Và một điểm bí ẩn khác trong khi điều tra kỹ thuật, Check Point phát hiện SiliVaccine cũng được thiết kế để giám sát một tập tin đặc biệt mà bộ máy Trend Micro đã chặn. Nhưng họ lại không rõ tập tin đó là gì. Check Point nói thêm: “Dù không rõ chữ ký này thật sự là gì, nhưng rõ ràng một điều rằng Triều Tiên không muốn cảnh báo người dùng về nó”.

Check Point cho biết chữ ký của tập tin không trực tiếp liên quan đến mã độc, điều này dẫn đến 3 khả năng có thể xảy ra. Có thể Triều Tiên đã phát triển một công cụ mã độc có khả năng bị phát hiện bởi các thành phần mã nguồn Trend Micro và muốn tránh khỏi sự phát hiện này. Hoặc nó có thể là một backdoor xâm nhập vào chương trình, cho phép truy cập từ xa vào phần mềm SiliVaccine trên máy tính người dùng. Cuối cùng, có thể nó vô hại: một sản phẩm để sửa lỗi phần mềm xảy ra do sự thêm vào của hãng Trend hay do mã code từ phần mềm không chính thức (homebrew).

Williams đã lúng túng về sự xuất hiện lạ lùng của công nghệ Trend trong phần mềm SiliVaccine. Ông nói: “Tôi không hiểu bằng cách nào mà mã code của Trend cuối cùng lại xuất hiện ở đó. Hãng bảo mật Trend nằm ở Nhật và ở đó có nhiều cấp bậc giao thương khác nhau (giữa Nhật) với Triều Tiên trong hơn 1 thập kỷ qua. Khoảng 15 năm trước, tôi nhớ cuộc gặp với công ty phần mềm ở Seoul (Hàn Quốc) cùng những nhà lập trình Triều Tiên, vậy nên rất có thể một thỏa thuận đã được tạo ra ở một điểm nào đó với một công ty Hàn Quốc hoặc 1 bên thứ 3, dẫn đến hậu quả là mã nguồn bị công khai. Tôi e rằng đây chỉ là một dự đoán”.

Trend cho biết hãng chưa bao giờ thỏa thuận bất cứ điều gì với Triều Tiên. Hơn nữa, hãng cũng không thực hiện thỏa thuận nào với các nhà sản xuất thiết bị gốc trong đó yêu cầu công khai mã nguồn.

Một phát ngôn viên Check Point cho biết: “Đây là mã code 10 năm tuổi nên có thể nó có nguồn gốc từ một phiên bản phần mềm cũ của một đối tác OEM của Trend, nhưng là ai thì chúng tôi vẫn chưa biết”.

Lâm Quang Dũng (Lược dịch từ: Forbes)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenvanhuong.org