Phát hiện chiến dịch tấn công dùng mã độc hiếm gặp

TH| 13/10/2020 08:16
Theo dõi ICTVietnam trên

Các nhà nghiên cứu của Kaspersky đã phát hiện ra một chiến dịch tấn công nguy hiểm sử dụng một loại mã độc rất hiếm gặp có tên là MosaicRegressor.

Mã độc MosaicRegressor và phương thức lây nhiễm

Mã độc mới tấn công vào quá trình khởi tạo của máy tính với mục đích xâm nhập hệ thống của nạn nhân. Nó lợi dụng một giao diện firmware mở rộng hợp nhất UEFI (Unified Extensible Firmware Interface) bị nhiễm độc để tấn công vào hệ thống, khiến cho việc phát hiện và gỡ bỏ mã độc khỏi các thiết bị bị lây nhiễm rất khó khăn.

Mã độc này được phát hiện bởi công nghệ quét UEFI/BIOS của Kaspersky với khả năng phát hiện cả mối đe dọa đã biết và chưa biết. Bootkit UEFI được sử dụng với mã độc này là một phiên bản tùy biến của bootkit của nhóm Hacking Team, bị rò rỉ trên mạng từ 2015.

Firmware UEFI là một phần thiết yếu của mọi máy tính, chạy trước hệ điều hành và tất cả các chương trình khác được cài đặt trên hệ điều hành đó. Nếu UEFI bị chỉnh sửa để cài mã độc, mã độc đó sẽ chạy trước hệ điều hành, làm cho hoạt động của họ trở nên vô hình trước bất kỳ giải pháp bảo mật nào. Điều này cùng thực tế là firmware đó nằm trên một chip flash tách biệt khỏi ổ cứng, làm cho các vụ tấn công nhằm vào UEFI trở nên dai dẳng và khó phát hiện. Việc lây nhiễm trên firmware có nghĩa là cho dù có cài đặt lại hệ điều hành bao nhiêu lần đi nữa, mã độc mà bootkit đã cài vẫn cứ tồn tại trên thiết bị.

Kaspersky cho biết: "Một kẻ tấn công tinh vi có thể sửa đổi firmware và khiến nó triển khai những dòng mã độc hại sau khi hệ điều hành được tải."

Các nhà nghiên cứu của Kaspersky phát hiện một mẫu mã độc như vậy được sử dụng trong một chiến dịch tấn công nhắm đến các nhà ngoại giao và nhân viên của một tổ chức phi chính phủ đến từ châu Phi, châu Á, cho đến châu Âu và đặt tên là MosaicRegressor.

Phát hiện mã độc bootkit tấn công giao diện firmware UEFI - Ảnh 1.

Mã độc UEFI mới này là phiên bản tùy chỉnh của VectorEDK bootkit được Hacking Team phát triển và bị rò rỉ trên mạng vào năm 2015. Mã nguồn bị rò rỉ dường như sẽ cho phép tội phạm mạng phát triển phần mềm dễ dàng và làm giảm khả năng bị phát hiện.

Các vụ tấn công đã được phát hiện với sự hỗ trợ của Firmware Scanner, một sản phẩm có trong các sản phẩm của Kaspersky từ đầu năm 2019. Công nghệ này được phát triển để phát hiện các nguy cơ an ninh bảo mật ẩn nấp trong ROM BIOS, bao gồm cả các image UEFI firmware.

Mặc dù không thể phát hiện được chính xác véc-tơ lây nhiễm nào đã cho phép tin tặc ghi đè lên firmware UEFI gốc ban đầu, các nhà nghiên cứu của Kaspersky đã suy luận được giả thuyết về cách mà nó có thể được thực hiện dựa trên những kiến thức về VectorEDK trong những tài liệu bị rò rỉ của Hacking Team.

Theo đó, lây nhiễm được thực hiện thông qua truy cập vật lý vào máy tính của nạn nhân, đặc biệt là bằng một chiếc thẻ nhớ USB có thể khởi động, trong đó chứa một tiện ích cập nhật đặc biệt. Sau đó, firmware được vá sẽ thực hiện cài đặt trình tải xuống Trojan, mã độc cho phép tải xuống bất kỳ payload (tải trọng) nào phù hợp với nhu cầu của kẻ tấn công, được tải xuống khi hệ điều hành được bật lên và đang hoạt động.

Trong hầu hết các trường hợp, các thành phần của MosaicRegressor được cung cấp đến máy nạn nhân sử dụng các biện pháp ít tinh vi hơn. Cấu trúc nhiều mô-đun của khung giải pháp này cho phép tin tặc che giấu các khung lớn hơn trước hoạt động phân tích, và chỉ triển khai các thành phần trên máy tính mục tiêu theo nhu cầu. Mã độc ban đầu được cài đặt trên máy tính bị lây nhiễm là một trình tải xuống Trojan với khả năng tải về thêm nhiều payload và mã độc khác.

Ông Mark Lechtik, nghiên cứu viên cao cấp thuộc Bộ phận Nghiên cứu và Phân tích Toàn cầu (Global Research and Analysis Team - GReAT) của Kaspersky cho biết: "Mặc dù các vụ tấn công UEFI mang đến cho tin tặc nhiều cơ hội, MosaicRegressor là trường hợp được đầu tiên biết đến một cách rộng rãi trong đó tin tặc sử dụng một firmware UEFI độc hại, được tùy biến trên mạng. Các vụ tấn công đã được biết đến trước đây trên mạng chỉ đơn giản là làm thay đổi phần mềm chính thống (ví dụ như LoJax), biến nó trở thành vụ tấn công an ninh mạng đầu tiên sử dụng bootkit UEFI được tùy biến.

Vụ tấn công này cho thấy rằng, mặc dù rất hiếm gặp nhưng trong các trường hợp đặc biệt, tin tặc vẫn muốn khai thác sâu để đạt được những cấp độ tấn công lâu dài trên máy tính của nạn nhân. Tin tặc tiếp tục phát triển đa dạng hóa các bộ công cụ cũng như phương thức tấn công máy tính của nạn nhân, do đó các nhà cung cấp giải pháp bảo mật cũng cần phải như vậy để có thể đi trước tội phạm.

Ông Igor Kuznetsov, nghiên cứu viên bảo mật thuộc bộ phận GReAT của Kaspersky cho biết: "Việc khai thác mã nguồn của bên thứ ba bị rò rỉ và các phiên bản tùy biến để phát triển mã độc có chủ đích mới đã một lần nữa nêu bật tầm quan trọng của vấn đề bảo mật dữ liệu. Sau khi phần mềm - cho dù đó là một bootkit, mã độc hoặc bất kỳ thứ gì đi nữa – bị rò rỉ, tin tặc sẽ giành được lợi thế đáng kể. Các công cụ được cung cấp miễn phí mang đến cho chúng một cơ hội để phát triển và tùy biến các công cụ một cách dễ dàng hơn đồng thời giảm bớt xác suất bị phát hiện".

Một số biện pháp bảo vệ

Theo khuyến nghị của Kaspersky, để luôn được bảo vệ trước các mối đe dọa bảo mật từ bootkit trên, cần đảm bảo trung tâm điều hành an ninh mạng (SOC) của tổ chức, doanh nghiệp truy cập vào thông tin cập nhật nhất về mối đe dọa bảo mật. Cổng thông tin về nguy cơ bảo mật của Kaspersky (Kaspersky Threat Intelligence Portal) là đầu mối tin cậy cung cấp thông tin và dữ liệu về các vụ tấn công an ninh mạng được Kaspersky thu thập trong suốt hơn 20 năm qua.

Ngoài ra, hãy triển khai các giải pháp phát hiện tấn công và ứng phó trên thiết bị đầu cuối của EDR (Endpoint Detection and Response) nhằm phát hiện, điều tra và khắc phục sự cố kịp thời ở cấp độ thiết bị đầu cuối.

Việc cung cấp cho nhân viên chương trình đào tạo cơ bản về an ninh mạng cũng rất cần thiết, bởi vì rất nhiều vụ tấn công có chủ đích bắt đầu từ kỹ thuật lừa đảo hoặc các hoạt động đánh lừa khác. Bên cạnh đó, cần thường xuyên cập nhật firmware UEFI và chỉ sử dụng firmware từ các nhà cung cấp tin cậy.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Phát hiện chiến dịch tấn công dùng mã độc hiếm gặp
POWERED BY ONECMS - A PRODUCT OF NEKO