Hãng thông tấn Reuters mới đây dẫn lời 2 nhân viên cũ của Kaspersky, một trong những công ty an ninh mạng hàng đầu thế giới, tố cáo Kaspersky đã làm hại các đối thủ bằng cách lừa các chương trình diệt virus của họ phân loại các tập tin lành tính thành độc hại từ hơn 10 năm trước.
Họ cho biết các con mồi của Kaspersky bao gồm Microsoft, AVG Technologies, Avast Software…, lừa một số xóa bỏ hay vô hiệu hóa các tập tin quan trọng trên máy tính khách hàng. Vài cuộc tấn công do đồng sáng lập công ty Eugene Kaspersky ra lệnh nhằm trả đũa các đối thủ nhỏ hơn vì ông cảm thấy họ đang bắt chước phần mềm của mình thay vì tự mình phát triển công nghệ riêng. “Eugene coi đó là hành vi ăn cắp”, 1 trong cựu nhận viên tiết lộ.
Kaspersky bác bỏ những cáo buộc này và khẳng định chưa bao giờ thi hành bất kỳ chiến dịch bí mật nào để lừa đảo đối thủ.
Kaspersky nằm trong danh sách các nhà sản xuất phần mềm diệt virus nổi tiếng nhất thế giới với hơn 400 triệu người dùng và 270.000 khách hàng doanh nghiệp. Hãng nhận được sự kính trọng nhờ nghiên cứu về các chương trình gián điệp phương Tây và virus máy tính Stuxnet đã hủy hoại chương trình nguyên tử của Iran trong năm 2009 và 2010.
Theo lời 2 cựu nhân viên, mong muốn tăng thị phần cũng là yếu tố Kaspersky cân nhắc khi lựa chọn đối tượng để phá hoại. Nó không chỉ làm ảnh hưởng đến hãng đối thủ mà còn cả máy tính của người dùng. Họ cho biết các nhà nghiên cứu thường dành vài tuần đến hàng tháng trời cho các dự án phá hoại. Nhiệm vụ chính của họ là mổ xẻ phần mềm phát hiện virus của đối thủ để tìm ra cách làm thế nào lừa chúng dán nhãn tập tin lành tính là độc hại.
Trong hơn 10 năm qua, các công ty diệt virus chia sẻ nhiều thông tin với nhau hơn, họ cấp phép sử dụng cơ chế phát hiện virus, trao đổi các mẫu mã độc, gửi đến cho bên thứ ba như VirusTotal của Google để tổng hợp. Bằng cách này, họ nhanh chóng xác định được các loại virus và nội dung độc hại mới. Tuy nhiên, nó đồng thời cho phép các hãng vay mượn công trình của nhau thay vì tự tìm ra bằng sức lực của mình.
Năm 2010, Kaspersky đã phàn nàn về vấn đề này, kêu gọi tôn trọng đối với tài sản sở hữu trí tuệ khi chia sẻ dữ liệu dần trở nên thịnh hành. Để dẫn chứng việc đối thủ đang đánh cắp công sức của mình, Kaspersky đã thực hiện một thí nghiệm: hãng tạo ra 10 file vô hại và nói với VirusTotal rằng chúng là độc hại. VirusTotal tổng hợp thông tin về các file tình nghi và chia sẻ với các hãng bảo mật khác. Hơn 1 tuần sau, khoảng 14 công ty an ninh mạng tuyên bố tất cả 10 file là nguy hiểm.
Ảnh minh họa
Chèn mã bẩn
Một kỹ thuật được sử dụng là các kỹ sư Kaspersky chèn mã bẩn (bad code) vào một phần mềm quan trọng, thường gặp trong PC để nó trông như đã bị dính mã độc. Sau đó, họ gửi file đến VirusTotal nhưng nặc danh. Sau đó, khi các đối thủ sử dụng công cụ phát hiện virus của mình, file sẽ bị dán nhãn là có nguy cơ gây hại. Họ hoàn toàn có thể bị Kaspersky lừa rằng file này có vấn đề.
VirusTotal không có bất kỳ bình luận nào về thông tin của cựu nhân viên Kaspersky, trong khi Kaspersky vừa bác bỏ, vừa cho biết mình cũng là nạn nhân của cuộc tấn công tương tự vào tháng 11-2012 khi “bên thứ ba không rõ tên tuổi” lừa công ty phân loại nhầm file từ Tencent, Mail.ru và nền tảng game Steam là độc hại.
Cựu nhân viên Kaspersky tiết lộ Microsoft bị đặt trong tầm ngắm vì nhiều hãng bảo mật nhỏ hơn theo sát Microsoft trong việc phát hiện mã độc. Theo Reuters, hồi tháng 4 năm nay, Giám đốc nghiên cứu chống mã độc Dennis Batchelder của Microsoft đã nói về giai đoạn tháng 3-2013, có nhiều khách hàng gọi đến phàn nàn vì một mã máy in bị chương trình diệt virus của Microsoft xác định nguy hiểm và bị cách ly.
Ông mất gần 6 giờ mới biết được mã máy in trông rất giống với đoạn mã mà Microsoft cho là độc hại trước đây. Ai đó đã chèn một đoạn mã bẩn vào file an toàn để lừa chương trình diệt virus. Vài tháng tiếp theo, nhóm của Batchelder phát hiện hàng trăm, thậm chí hàng ngàn file tốt bị thay đổi để trông như mã độc. Dù vậy, ông không bắt nhân viên phải tìm ra thủ phạm mà chỉ muốn vá lỗi nhanh chóng.
Khi được phỏng vấn, Batchelder từ chối bình luận về vai trò của Kaspersky trong bất kỳ sự cố nào. Reuters cũng không có bằng chứng về liên hệ giữa Kaspersky và cuộc tấn công nhằm vào mã máy in.
Avast, nhà sản xuất phần mềm diệt virus có thị phần lớn tại châu Âu và Nam Mỹ, cũng từng tìm ra một loạt driver mạng bị chỉnh sửa. Giám đốc điều hành Ondrej Vlcek cho rằng thủ phạm phải là người có trình độ cao, tuy nhiên cũng không bình luận về cáo buộc Kaspersky đứng sau các hành vi phá hoại.
Cựu nhân viên tố cáo Kaspersky làm giả mã độc trong hơn 10 năm, cao điểm là giữa năm 2009 đến năm 2013. Không rõ các cuộc tấn công loại này đã chấm dứt hay chưa song các chuyên gia an ninh cho biết chúng không còn là vấn đề lớn vì các hãng bảo mật ngày càng ít phụ thuộc vào phán quyết của đối thủ khác và dành nhiều thời gian hơn để loại bỏ các mẫu sai.
Theo cựu Giám đốc Kỹ thuật AVG, Yuval Ben-Itzhak, công ty không còn bị ảnh hưởng bởi các mẫu xấu sau khi thiết lập các bộ lọc đặc biệt để quét chúng và nâng cấp hệ thống phát hiện mã độc. Trong khi đó, Kaspersky cũng cải thiện thuật toán để chống lại các mẫu virus giả mạo.
