Flamer có lẽ là loại mã độc đầu tiên trên HĐH Windows sử dụng kết nối Bluetooth để thực hiện các cuộc tấn công. Tại sao những kẻ tấn công lại tích hợp chức năng này cho “siêu mã độc” vẫn đang được các chuyên gia nghiên cứu, tuy nhiên, các chuyên gia Symantec đã phân tích và đưa ra 3 giả định:

1. Xác định vùng mạng lưới xã hội và mạng nghề nghiệp của những người dùng bị lây nhiễm bằng cách phân loại những thiết bị có chức năng kết nối Bluetooth

2. Xác định khu vực địa lý mà người dùng bị lây nhiễm đang ở để từ đó nhắm tới những đối tượng mục tiêu tấn công có mức ưu tiên cao ở xung quanh, cho dù đó là những người dùng cá nhân hoặc các hệ thống máy tính

3. Nhắm tới những thiết bị có kết nối Bluetooth khác trong phạm vi và ăn cắp thông tin từ các thiết bị đó, sử dụng các thiết bị này để nghe lén hoặc lợi dụng kết nối từ những thiết bị này để lấy đi những dữ liệu đã bị đánh cắp.    

Mặc dù chưa thể xác định rõ mục đích của những kẻ tấn công khi tích hợp kết nối Bluetooth vào mã độc này nhưng 3 giả thuyết nêu trên giúp các chuyên gia khẳng định chắc chắn hơn Flamer là một công cụ gián điệp cao cấp từng được biết đến. 

Ngoài ra, để hiểu sâu về Flamer, các chuyên gia phải phân tích khoảng gần 60 đoạn mã nhúng viết bằng ngôn ngữ Lua, đảo ngược kiến trúc của mỗi thành phần phụ trong đoạn mã và sau đó lắp ghép chúng lại với nhau. Tương tự vậy, kỹ thuật đảo ngược của Flamer đối nghịch với những phần mềm độc hại truyền thống bởi muốn xem xét nó, các chuyên gia cần phải tái tạo lại bức tranh cấu trúc, đó không chỉ là vẽ một ngôi nhà đơn thuần mà là cả một thành phố.

Flamer là một mối đe dọa phức tạp và việc sử dụng ngôn ngữ lập trình Lua – một ngôn ngữ viết mã gọn nhẹ giúp cho những kẻ tấn công dễ dàng viết tính năng mới cho phần mềm độc hại này. Hiện nay, Symantec đang tiếp tục phân tích rất kỹ các cấu phần khác nhau của loại mã độc này và sẽ công bố thêm những chi tiết chuyên sâu về kỹ thuật trong thời gian sớm nhất.

H.T (st)