An ninh mạng

Mã độc CCleaner muốn còn nhắm cả Microsoft, Google và Samsung

Nguồn ảnh mạng

Mã độc CCleaner mới đây được công bố không chỉ nguy hiểm mà nó còn nguy hiểm hơn nhiều những gig người ta biết. Theo các chuyên gia an ninh mạng, mã độc này không chỉ được phát tán trên diện rộng mà hacker thực hiện vụ phi vụ này còn muốn dùng nó để tấn công những tập đoàn công nghệ lớn như Intel, Google, Samsung, Microsoft.

Hàng trăm nghìn máy tính bị lây nhiễm mã độc do một phiên bản bị chỉnh sửa của một phần mềm dọn rác phổ biến sẽ không thể nào có một cái kết tốt đẹp. Sau thời gian điều tra tìm hiểu, hậu quả của vụ bùng phát mã độc CCleaner gần đây đang dần trở nên rõ ràng hơn. Các nhà nghiên cứu tin rằng (các) hacker đứng đằng sau cuộc tấn công không chỉ muốn phát tán mã độc trên diện rộng, mà còn tìm cách truy cập vào mạng lưới của ít nhất 20 tập đoàn công nghệ.

Theo trang tin Extreme Tech, vào đầu tuần này, hai công ty an ninh Morphisec và Cisco đã tiết lộ thông tin CCleaner, một phần mềm bảo mật được phân phối bởi Avast, đã bị hacker cài backdoor và qua mặt được quá trình kiểm tra an ninh của công ty này.

Ước tính có hơn 700.000 máy tính đã cài đặt phiên bản bị tấn công. Vào ngày 20/9, các nhà nghiên cứu thuộc bộ phần an ninh Talos của Cisco đã tìm ra được máy chủ điều khiển và ra lệnh của hacker.

Trên máy chủ đó, họ đã tìm ra nhiều bằng chứng cho thấy hacker đã tiến hành lọc máy tính của các nạn nhân để tìm các cỗ máy thuộc hệ thống mạng của ít nhất 20 công ty công nghệ, bao gồm: Intel, Google, Microsoft, Akamai, Samsung, Sony, VMware, HTC, Linksys và thậm chí là chính Cisco.

Giám đốc nghiên cứu của Talos, ông Craig Williams cho biết, trong một nửa số trường hợp, hacker đã thành công trong việc xâm nhập vào mạng lưới và dùng backdoor để lây nhiễm sang các máy tính khác với mục đích gián điệp.

Ông nói: “Khi chúng tôi phát hiện ra điều này, chúng tôi biết nó đã lây nhiễm tới rất nhiều công ty. Bây giờ chúng tôi đã phát hiện ra rằng nó được sử dụng để tấn công vào 20 công ty trên toàn thế giới để đánh cắp những thông tin có giá trị, không may là Cisco cũng nằm trong danh sách”.

Một mạng lưới rộng lớn

Cisco nói họ đã thu được một bản sao kĩ thuật số của máy chủ điều khiển của hacker từ một nguồn vô danh có liên quan trong cuộc điều tra của CCleaner. Máy chủ này có chứa một cơ sở dữ liệu của mọi máy tính bị cài mã độc đã kết nối với hacker trong khoảng từ 12/9 đến 16/9. Số máy bị lây nhiễm là hơn 700.000 (ít hơn khá nhiều so với con số 2,27 triệu máy mà Avast đưa ra). Tuy nhiên, cơ sở dữ liệu này cũng tồn tại một danh sách các tên miền mà hacker đã tìm cách tấn công lần 2, cũng như máy nào sẽ tham gia cuộc tấn công ấy.

Cuộc tấn công lần hai nhắm đến hơn 20 công ty, nhưng ông Williams ghi nhận rằng một số công ty có nhiều hơn 1 máy bị lây nhiễm, còn một số khác thì không có. Ông từ chối cho biết thông tin công ty nào đã bị tấn công thành công, nhưng Cisco khẳng định họ sẽ cảnh báo tất cả những công ty bị ảnh hưởng.

Ông Williams cũng bổ sung thêm là Cisco nhận định cuộc tấn công này chưa phải là “tổng lực”, mà đã bị “cắt tỉa” đi. “Nhiều khả năng hacker sẽ chỉnh sửa phần mềm trong chiến dịch kéo dài hàng tháng trời, và danh sách những mục tiêu chắc chắn cũng sẽ bị thay đổi tùy thuộc vào tiến độ của cuộc tấn công và lúc đó sẽ có thêm nhiều công ty bị nhắm đến”, ông nói.

Danh sách mục tiêu này đã tạo ra thêm nhiều khó khăn trong công cuộc phân tích vụ tấn công; nó đã biến đổi từ một cuộc lây lan mã độc trên diện rộng sang một mạng lưới gián điệp, với mục tiêu là những công ty công nghệ hàng đầu. Cisco và công ty bảo mật Kaspersky cũng đã phát hiện ra rằng mã độc được sử dụng trong vụ tấn công này có nhiều điểm tương đồng với mã độc của nhóm hacker Group 72, hay Axiom, được công ty bảo mật Novetta đặt tên sau “chiến dịch” của chính phủ Trung Quốc năm 2015.

Tuy nhiên, Cisco cũng bổ sung rằng việc có điểm tương đồng trong mã lệnh không có nghĩa là Axiom và Trung Quốc có dính líu đến cuộc tấn công CCleaner. Tệp cấu hình (configuration file) trên máy chủ của kẻ tấn công được thiết lập theo múi giờ của Trung Quốc, nhưng như vậy vẫn là chưa đủ để khẳng định.

Tuy chưa có bằng chứng thuyết phục, nhưng nhiều khả năng các hacker Trung Quốc đứng sau vụ tấn công này

Mối lo ngại từ chuỗi cung ứng

Đối với bất kì công ty nào đã bị tấn công, Cisco cảnh báo rằng theo như nghiên cứu của họ, việc xóa đi phần mềm có chưa mã độc cũng chưa chắc đã ngăn cản được việc nó phát tán những mã độc khác trên mạng lưới. Thay vào đó, Cisco khuyến cáo rằng các máy tính bị lây nhiễm nên khôi phục bản sao lưu của mình trước khi cài đặt CCleaner. “Nếu không khôi phục hệ thống từ bản sao lưu, có nhiều nguy cơ bạn sẽ không thể hoàn toàn quét sạch được mã độc”, ông Williams nhận định.

Quy mô của vụ tấn công CCleaner nhiều khả năng sẽ còn được mở rộng hơn nữa trong thời gian tới, khi các cuộc nghiên cứu vẫn đang được triển khai. Tuy nhiên, nó đã trở thành một ví dụ mới của một loạt các vụ tấn công chuỗi cung ứng phần mềm đã làm rung chuyển internet trong khoảng thời gian gần đây. Hai tháng trước, hacker tấn công cơ chế cập nhật của phần mềm kế toán MeDoc để phát tán mã độc NotPetya, gây nhiều thiệt hại lớn ở các công ty Ukraine cũng như châu Âu và Mỹ. Tương tự như vụ tấn công CCleaner, các nạn nhân đã cài đặt phần mềm có độ tin cậy cao và chỉ nhận ra khi đã quá muộn.

Trong những ngày tiếp theo của cuộc tấn công NotPetya, nhiều chuyên gia trong cộng đồng bảo mật đã chuyển nhận định của họ từ một vụ tấn công đòi tiền chuộc sang một thứ gì đó bí hiểm hơn, khó lường hơn. Giờ đây, những bí ẩn xung quanh vụ việc CCleaner cũng sẽ đi theo chiều hướng tương tự.

Nhấn vào đây để bình luận

Trả lời bình luận

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

ĐỌC NHIỀU

Lên trên
Chuyển đến thanh công cụ