Việc tiêm nhiễm ransomware vào máy ảnh DSLR dễ dàng như thế nào

Cuộc tấn công đã được thực hiện trên máy ảnh Canon EOS 80D và có thể được thực hiện qua cả USB và Wi-Fi nếu nạn nhân được kết nối với mạng công cộng không bảo mật.

Ransomware có thể chiếm lấy một chiếc máy ảnh DSLR hiện đại bằng cách khai thác Giao thức truyền hình ảnh phổ biến (Picture Transfer Protocol - PTP), được sử dụng bởi các máy ảnh cho toàn bộ các tác vụ như truyền hình ảnh, chụp ảnh trực tiếp và thậm chí cập nhật chương trình cơ sở của máy ảnh.

Nhà nghiên cứu Eyal Itkin của Check Point cho biết trong một bài đăng trên blog: “Giao thức này là một con mồi béo bở cho những kẻ tấn công vì nó không được xác thực và hỗ trợ hàng tá các lệnh phức tạp khác nhau".

Check Point đã chọn nhắm mục tiêu Canon EOS 80D do sự thống trị của Canon trong thị trường DSLR (kiểm soát hơn 50% thị trường) và thực tế là nó hỗ trợ cả Wi-Fi và USB.

Canon cũng có một cộng đồng mod rộng rãi với tên gọi Magic Lantern, giới thiệu một số khám phá ban đầu về phần sụn của máy ảnh đã được thực hiện bởi người dùng.

Itken cho biết: "Những kẻ tấn công là những người muốn tối đa hóa lợi nhuận, họ cố gắng để có được tác động tối đa (lợi nhuận) với nỗ lực tối thiểu (chi phí). Trong trường hợp này, nghiên cứu về máy ảnh Canon sẽ có tác động cao nhất đối với người dùng và sẽ dễ bắt đầu nhất, nhờ vào những tài liệu hiện có được tạo bởi cộng đồng Magic Lantern"

Hình thức phân phối ransomware này có thể đặc biệt sinh lợi cho những kẻ tấn công, do giá trị tình cảm cao mà người dùng đặt vào những bức ảnh. Người dùng có thể có nhiều khả năng chi trả các yêu cầu đòi tiền chuộc của kẻ tấn công để lưu giữ những ký ức ấp ủ của bản thân cũng như những người thân xung quanh.

Cuộc tấn công có thể đặc biệt hiệu quả ở các khu vực điểm nóng du lịch, nơi những nạn nhân tiềm năng được kết nối với các mạng Wi-Fi không bảo mật tương tự như những kẻ tấn công. Các nhà nghiên cứu cho thấy một máy ảnh có thể bị lây nhiễm nhanh như thế nào trong video dưới đây, hoàn thành với những ransomware điển hình - giống như trên PC.

Itkin cho biết: "Để có thể xâu chuỗi mọi thứ lại với nhau, đòi hỏi kẻ tấn công phải thiết lập Điểm truy cập WiFi giả mạo.  Điều này có thể dễ dàng đạt được. Đầu tiên, kẻ tấn công cần biết nắm được những thông tin của mạng wifi, sau đó giả mạo AP để có cùng tên với mạng mà máy ảnh tự động cố gắng kết nối. Một khi kẻ tấn công nằm trong cùng mạng LAN với máy ảnh, hắn có thể bắt đầu khai thác."

Khai thác Giao thức truyền hình ảnh không có gì mới. Tại hội nghị bảo mật Hack in the Box năm 2013, nhà nghiên cứu Daniel Mende đã chỉ ra cách có thể tận dụng để truy cập máy ảnh, nhưng Check Point được cho là đơn vị đầu tiên cho thấy phần mềm độc hại có thể được triển khai bằng phương pháp này.

Canon đã phát hành một bản vá cho vấn đề này cùng với những khuyến nghị bảo mật vào tuần trước.

Itkin trả lời phỏng vấn vơi tờ The Verge: “Mặc dù việc khai thác chỉ được chứng minh bằng máy ảnh Canon, nhưng do sự phức tạp của giao thức, chúng tôi tin rằng các nhà cung cấp khác cũng có thể dễ bị tổn thương. Tuy nhiên điều đó phụ thuộc vào việc triển khai tương ứng của họ".

Javvad Malik, người ủng hộ nhận thức bảo mật tại KnowBe4 cho biết: "Đây là một lỗ hổng thú vị. Tuy nhiên, nó yêu cầu nạn nhân phải được kết nối với một điểm phát wifi lừa đảo. Nhưng điều này lại hạn chế phạm vi vật lý giữa kẻ tấn công và nạn nhân".

Ông cũng cho biết thêm: "Đối với một số người, việc có ransomware trên máy ảnh chỉ hơi bất tiện một chút vì thẻ nhớ có thể tháo rời và vứt đi một cách dễ dàng. Tuy nhiên, những tác động đối với một nhiếp ảnh gia chuyên nghiệp, như một nhà báo, hoặc nhiếp ảnh gia đám cưới sẽ rất đáng kể - vì vậy những chuyên gia đó nên có những biện pháp phòng ngừa bổ sung để đối phó với lỗ hổng đặc biệt này."

Theo số liệu từ SonicWall vào tháng Bảy: Ransomware đã cho thấy phần nào sự hồi sinh vào năm 2019.

Tấn công sử dụng Ransomware vào các doanh nghiệp tại vương quốc Anh đã giảm vào đầu năm 2019, nhưng đã tăng 195% trong nửa cuối năm - tổng cộng 6,4 triệu trường hợp.

Ở một diễn biến khác, hai thị trấn tại Floridian đã phải trả tiền chuộc, tổng cộng hơn 1 triệu đô la để giành lại quyền kiểm soát hệ thống thành phố của họ. Baltimore cũng bị những kẻ xấu tấn công một tháng trước đó.