Mã độc này lây lan qua USB bằng cách chèn mã độc dưới dạng một phần bổ hỗ (plug-in) hoặc thư viện liên kết động (DLL) vào phiên bản không cần cài đặt (portable) của các ứng dụng phổ biến như: Firefox, Chrome, Notepad++, TrueCrypt… Khi người dùng chạy các ứng dụng này, mã độc sẽ được thực thi và đánh cắp dữ liệu nhạy cảm của người dùng, lưu trữ dưới dạng mã hóa trên cùng USB. Khi USB được rút ra khỏi máy tính, mã độc này không để lại bất cứ dấu vết nào trên máy tính bị tấn công, do đó rất khó phát hiện và điều tra.
Mã độc "USB Thief" được thiết kế rất tinh vi, trang bị nhiều kỹ thuật chuyên sâu như: chống gỡ lỗi (anti-debug), chống sao chép, tự phát hiện và tạm dừng hoạt động khi trên máy tính người dùng có cài đặt các phần mềm diệt mã độc. Mã độc này có 04 tập tin thực thi, 02 tập tin cấu hình và phải chạy theo một trình tự nhất định, nếu không biết trình tự này thì không thể tái tạo lại hành vi độc hại của mã độc. Cơ chế này giúp mã độc rất khó bị theo dõi, phân tích. Bên cạnh đó, "USB Thief" liên kết tới từng USB, sử dụng những thông tin chi tiết của từng USB làm khóa mã, do đó nếu bị sao chép sang thiết bị lưu trữ khác, mã độc sẽ tự động ngắt mã hóa, nội dung tập tin độc hại không thể xác định. Mặt khác, các tập tin của "USB Thief" được tạo ra tự động dựa trên các yếu tố mật mã, nội dung tập tin và thời gian tạo. Thủ đoạn này giúp chống sao chép mã độc sang thiết bị khác để phân tích, điều tra vì khi thay đổi thời gian tạo tập tin, các hành động liên quan vị trí USB trước đó sẽ không thể tái tạo lại.
Các yếu tố trên cho thấy "USB Thief" được thiết kế rất tinh vi cho nhiệm vụ tấn công có chủ đích nhằm vào các máy tính, mạng máy tính cách ly để chiếm đoạt thông tin. Để tăng cường bảo đảm an ninh, an toàn thông tin, bảo vệ bí mật Nhà nước, phòng, chống hoạt động chiếm đoạt thông tin qua thiết bị lưu trữ ngoài giao tiếp USB, ngày 21/7/2016, Ủy ban nhân dân tỉnh ban hành công văn số 2028/UBND-TTTH yêu cầu Thủ trưởng các sở, ban, ngành tỉnh và Chủ tịch UBND các huyện, thành phố cần quán triệt cán bộ, công chức, viên chức nghiêm túc thực hiện các nội dung sau:
Sử dụng phần mềm diệt mã độc (Kaspersky, BitDefender, AVG…) phiên bản mới nhất hoặc đĩa cứu hộ (CD Rescue) có bản quyền để rà quét, phát hiện và diệt mã độc "USB Thief".
Ưu tiên sử dụng CD, DVD hạn chế và tiến tới không sử dụng USB để sao chép dữ liệu chứa bí mật nhà nước, bí mật công tác.
Khi chưa có giải pháp sao chép dữ liệu an toàn hơn, đề nghị thực hiện đồng thời các biện pháp sau:
Quản lý chặt chẽ việc sử dụng các thiết bị lưu trữ ngoài: Xác định rõ các máy tính được phép, không được phép kết nối với thiết bị lưu trữ ngoài; Xác định rõ, phân loại, dán nhãn các thiết bị lưu trữ được phép kết nối với máy tính, mạng máy tính lưu trữ dữ liệu chứa bí mật nhà nước; Nghiêm cấm cắm các thiết bị lưu trữ ngoài đã từng kết nối với máy tính, mạng máy tính nội bộ vào máy tính kết nối Internet hoặc các mạng khác không đảm bảo an toàn, không được phép; Vô hiệu hóa việc kết nối của thiết bị lưu trữ ngoài không được phép vào máy tính, mạng máy tính nội bộ, đặc biệt chú ý các thiết bị di động thông minh có chức năng kết nối Internet qua cổng USB.
Đối với các máy tính, mạng máy tính không cho phép kết nối thiết bị lưu trữ ngoài thì vô hiệu hóa cổng kết nối USB (cấu hình trong BIOS máy tính, trong Registry của hệ điều hành Windows, tháo bỏ cổng USB trên bo mạch…).
Dữ liệu chứa bí mật nhà nước, bí mật công tác phải được mã hóa cơ yếu trước khi sao chép vào thiết bị lưu trữ ngoài, đề phòng trường hợp thất lạc thiết bị hoặc dữ liệu trên thiết bị bị chiếm đoạt. Ưu tiên sử dụng các thiết bị lưu trữ ngoài có tích hợp tính năng mã hóa hoặc các thiết bị cho phép thiết lập mật khẩu trước khi kết nối vào máy tính.
Tạo môi trường an toàn làm trung gian trong quá trình sao chép dữ liệu, vào máy tính, mạng máy tính nội bộ. Theo đó, nếu máy tính nội bộ sử dụng hệ điều hành Windows thì máy trung gian cài hệ điều hành Linux, không kết nối với bất kỳ mạng nào, chỉ sử dụng cho mục đích làm môi trường sao chép dữ liệu. Lưu ý, máy trung gian chỉ sử dụng cho một mục đích duy nhất là sao chép dữ liệu qua lại giữa các thiết bị lưu trữ ngoài, tuyệt đối không mở các tập tin sao chép, không lưu trữ dữ liệu chứa bí mật nhà nước, bí mật công tác trên máy tính trung gian.
TĐ