Mã độc MosaicRegressor và phương thức lây nhiễm
Mã độc mới tấn công vào quá trình khởi tạo của máy tính với mục đích xâm nhập hệ thống của nạn nhân. Nó lợi dụng một giao diện firmware mở rộng hợp nhất UEFI (Unified Extensible Firmware Interface) bị nhiễm độc để tấn công vào hệ thống, khiến cho việc phát hiện và gỡ bỏ mã độc khỏi các thiết bị bị lây nhiễm rất khó khăn.
Mã độc này được phát hiện bởi công nghệ quét UEFI/BIOS của Kaspersky với khả năng phát hiện cả mối đe dọa đã biết và chưa biết. Bootkit UEFI được sử dụng với mã độc này là một phiên bản tùy biến của bootkit của nhóm Hacking Team, bị rò rỉ trên mạng từ 2015.
Firmware UEFI là một phần thiết yếu của mọi máy tính, chạy trước hệ điều hành và tất cả các chương trình khác được cài đặt trên hệ điều hành đó. Nếu UEFI bị chỉnh sửa để cài mã độc, mã độc đó sẽ chạy trước hệ điều hành, làm cho hoạt động của họ trở nên vô hình trước bất kỳ giải pháp bảo mật nào. Điều này cùng thực tế là firmware đó nằm trên một chip flash tách biệt khỏi ổ cứng, làm cho các vụ tấn công nhằm vào UEFI trở nên dai dẳng và khó phát hiện. Việc lây nhiễm trên firmware có nghĩa là cho dù có cài đặt lại hệ điều hành bao nhiêu lần đi nữa, mã độc mà bootkit đã cài vẫn cứ tồn tại trên thiết bị.
Kaspersky cho biết: "Một kẻ tấn công tinh vi có thể sửa đổi firmware và khiến nó triển khai những dòng mã độc hại sau khi hệ điều hành được tải."
Các nhà nghiên cứu của Kaspersky phát hiện một mẫu mã độc như vậy được sử dụng trong một chiến dịch tấn công nhắm đến các nhà ngoại giao và nhân viên của một tổ chức phi chính phủ đến từ châu Phi, châu Á, cho đến châu Âu và đặt tên là MosaicRegressor.
Mã độc UEFI mới này là phiên bản tùy chỉnh của VectorEDK bootkit được Hacking Team phát triển và bị rò rỉ trên mạng vào năm 2015. Mã nguồn bị rò rỉ dường như sẽ cho phép tội phạm mạng phát triển phần mềm dễ dàng và làm giảm khả năng bị phát hiện.
Các vụ tấn công đã được phát hiện với sự hỗ trợ của Firmware Scanner, một sản phẩm có trong các sản phẩm của Kaspersky từ đầu năm 2019. Công nghệ này được phát triển để phát hiện các nguy cơ an ninh bảo mật ẩn nấp trong ROM BIOS, bao gồm cả các image UEFI firmware.
Mặc dù không thể phát hiện được chính xác véc-tơ lây nhiễm nào đã cho phép tin tặc ghi đè lên firmware UEFI gốc ban đầu, các nhà nghiên cứu của Kaspersky đã suy luận được giả thuyết về cách mà nó có thể được thực hiện dựa trên những kiến thức về VectorEDK trong những tài liệu bị rò rỉ của Hacking Team.
Theo đó, lây nhiễm được thực hiện thông qua truy cập vật lý vào máy tính của nạn nhân, đặc biệt là bằng một chiếc thẻ nhớ USB có thể khởi động, trong đó chứa một tiện ích cập nhật đặc biệt. Sau đó, firmware được vá sẽ thực hiện cài đặt trình tải xuống Trojan, mã độc cho phép tải xuống bất kỳ payload (tải trọng) nào phù hợp với nhu cầu của kẻ tấn công, được tải xuống khi hệ điều hành được bật lên và đang hoạt động.
Trong hầu hết các trường hợp, các thành phần của MosaicRegressor được cung cấp đến máy nạn nhân sử dụng các biện pháp ít tinh vi hơn. Cấu trúc nhiều mô-đun của khung giải pháp này cho phép tin tặc che giấu các khung lớn hơn trước hoạt động phân tích, và chỉ triển khai các thành phần trên máy tính mục tiêu theo nhu cầu. Mã độc ban đầu được cài đặt trên máy tính bị lây nhiễm là một trình tải xuống Trojan với khả năng tải về thêm nhiều payload và mã độc khác.
Ông Mark Lechtik, nghiên cứu viên cao cấp thuộc Bộ phận Nghiên cứu và Phân tích Toàn cầu (Global Research and Analysis Team - GReAT) của Kaspersky cho biết: "Mặc dù các vụ tấn công UEFI mang đến cho tin tặc nhiều cơ hội, MosaicRegressor là trường hợp được đầu tiên biết đến một cách rộng rãi trong đó tin tặc sử dụng một firmware UEFI độc hại, được tùy biến trên mạng. Các vụ tấn công đã được biết đến trước đây trên mạng chỉ đơn giản là làm thay đổi phần mềm chính thống (ví dụ như LoJax), biến nó trở thành vụ tấn công an ninh mạng đầu tiên sử dụng bootkit UEFI được tùy biến.
Vụ tấn công này cho thấy rằng, mặc dù rất hiếm gặp nhưng trong các trường hợp đặc biệt, tin tặc vẫn muốn khai thác sâu để đạt được những cấp độ tấn công lâu dài trên máy tính của nạn nhân. Tin tặc tiếp tục phát triển đa dạng hóa các bộ công cụ cũng như phương thức tấn công máy tính của nạn nhân, do đó các nhà cung cấp giải pháp bảo mật cũng cần phải như vậy để có thể đi trước tội phạm.
Ông Igor Kuznetsov, nghiên cứu viên bảo mật thuộc bộ phận GReAT của Kaspersky cho biết: "Việc khai thác mã nguồn của bên thứ ba bị rò rỉ và các phiên bản tùy biến để phát triển mã độc có chủ đích mới đã một lần nữa nêu bật tầm quan trọng của vấn đề bảo mật dữ liệu. Sau khi phần mềm - cho dù đó là một bootkit, mã độc hoặc bất kỳ thứ gì đi nữa – bị rò rỉ, tin tặc sẽ giành được lợi thế đáng kể. Các công cụ được cung cấp miễn phí mang đến cho chúng một cơ hội để phát triển và tùy biến các công cụ một cách dễ dàng hơn đồng thời giảm bớt xác suất bị phát hiện".
Một số biện pháp bảo vệ
Theo khuyến nghị của Kaspersky, để luôn được bảo vệ trước các mối đe dọa bảo mật từ bootkit trên, cần đảm bảo trung tâm điều hành an ninh mạng (SOC) của tổ chức, doanh nghiệp truy cập vào thông tin cập nhật nhất về mối đe dọa bảo mật. Cổng thông tin về nguy cơ bảo mật của Kaspersky (Kaspersky Threat Intelligence Portal) là đầu mối tin cậy cung cấp thông tin và dữ liệu về các vụ tấn công an ninh mạng được Kaspersky thu thập trong suốt hơn 20 năm qua.
Ngoài ra, hãy triển khai các giải pháp phát hiện tấn công và ứng phó trên thiết bị đầu cuối của EDR (Endpoint Detection and Response) nhằm phát hiện, điều tra và khắc phục sự cố kịp thời ở cấp độ thiết bị đầu cuối.
Việc cung cấp cho nhân viên chương trình đào tạo cơ bản về an ninh mạng cũng rất cần thiết, bởi vì rất nhiều vụ tấn công có chủ đích bắt đầu từ kỹ thuật lừa đảo hoặc các hoạt động đánh lừa khác. Bên cạnh đó, cần thường xuyên cập nhật firmware UEFI và chỉ sử dụng firmware từ các nhà cung cấp tin cậy.