Hacking Team, một nhà thầu hay còn được biết đến là một tổ chức gián điệp khét tiếng của Ý đã bị đánh cắp mã nguồn của một công cụ gián điệp Stealthy Spyware, lén lút theo dõi nhưng rất khó bị phát hiện, khi chúng tấn công vào hệ thống UEFI của máy tính. Và theo một báo cáo mới đây từ hai nhà nghiên cứu, họ đã phát hiện công cụ gián điệp này đã lọt vào tay những hacker Trung Quốc.
Spyware này được phát triển dựa trên một công cụ hack của Hacking Team tên là VectorEDK. Tuy nhiên, Hacking Team hiện không còn tồn tại, vì năm 2015 Hacking Team đã bị tấn công bởi một tổ chức khác tên là Phineas Fisher, tổ chức này đã làm rò rỉ rất nhiều dữ liệu của Hacking Team, trong đó có cả VectorEDK, công cụ này ban đầu được thiết kế để sử dụng quyền truy cập vật lý vào máy mục tiêu, nhưng sau đó đã được tái sử dụng lại và có một số tùy biến mới, giúp cho spyware mới
Hai nhà nghiên cứu Mark Lechnik và Igor Kuznetsov đã dự định công bố nghiên cứu của mình về việc này thông qua sự kiện trực tuyến Kaspersky Security Analyst, khi hai người phát hiện phần mềm độc hại này trên PC của hai khách hàng của Kaspersky. Kaspersky còn nói thêm rằng đối tượng cũng như nạn nhân mà spyware này hướng đến là các nhà ngoại giao ở châu Á, châu Âu và châu Phi, đáng chú ý hơn là những người này đều từng làm việc những vấn đề liên quan đến Triều Tiên.
Điểm đặc biệt và đáng lo ngại của Stealthy Spyware là chúng được thiết kế để tấn công vào hệ thống UEFI của máy tính, thường dùng để load hệ điều hành cho máy tính, mà UEFI được xem như một hệ điều hành tối giản, nằm trên một con chip được đóng trên bo mạch chủ của máy tính và không dính dáng tới ổ cứng. Cho nên, việc xóa hết dữ liệu hoặc cài lại hệ điều hành cũng chưa chắc hiệu quả, vì chúng vẫn còn nằm ở đó, chính vì vậy mà việc phát hiện ra nó và xử lý triệt để rất khó khăn.
Tiền thân là phần mềm gián điệp VectorEDK
Spyware này được phát triển dựa trên một công cụ hack của Hacking Team tên là VectorEDK. Tuy nhiên, Hacking Team hiện không còn tồn tại, vì năm 2015 Hacking Team đã bị tấn công bởi một tổ chức khác tên là Phineas Fisher, tổ chức này đã làm rò rỉ rất nhiều dữ liệu của Hacking Team, trong đó có cả VectorEDK, công cụ này ban đầu được thiết kế để sử dụng quyền truy cập vật lý vào máy mục tiêu, nhưng sau đó đã được tái sử dụng lại và có một số tùy biến mới, giúp cho spyware mới
Hai nhà nghiên cứu Mark Lechnik và Igor Kuznetsov đã dự định công bố nghiên cứu của mình về việc này thông qua sự kiện trực tuyến Kaspersky Security Analyst, khi hai người phát hiện phần mềm độc hại này trên PC của hai khách hàng của Kaspersky. Kaspersky còn nói thêm rằng đối tượng cũng như nạn nhân mà spyware này hướng đến là các nhà ngoại giao ở châu Á, châu Âu và châu Phi, đáng chú ý hơn là những người này đều từng làm việc những vấn đề liên quan đến Triều Tiên.
Cách thức tấn công của spyware mới
Điểm đặc biệt và đáng lo ngại của Stealthy Spyware là chúng được thiết kế để tấn công vào hệ thống UEFI của máy tính, thường dùng để load hệ điều hành cho máy tính, mà UEFI được xem như một hệ điều hành tối giản, nằm trên một con chip được đóng trên bo mạch chủ của máy tính và không dính dáng tới ổ cứng. Cho nên, việc xóa hết dữ liệu hoặc cài lại hệ điều hành cũng chưa chắc hiệu quả, vì chúng vẫn còn nằm ở đó, chính vì vậy mà việc phát hiện ra nó và xử lý triệt để rất khó khăn.
Từ việc xâm nhập và tận dụng lỗ hổng của hệ thống UEFI, chúng sẽ tạo ra một phần mềm gián điệp thứ hai, tồn tại ở ổ cứng máy tính của người dùng như một phần mềm spyware thông thường, được Kaspersky gọi tên mã là MosaicRegressor. Nếu lúc này hệ thống bảo mật của máy tính phát hiện và khử nó, nó vẫn tồn tại và có thể dễ dàng tạo lại một bản mới bất kì lúc nào. Đây chính là lí do tại so nó lại nguy hiểm với máy tính của người dùng đến như vậy.
Hacker nói tiếng Trung có thể là người đứng sau
Đối với danh tính hoặc quốc tịch của các tin tặc đằng sau spyware mới này, Kaspersky cho biết họ chỉ tìm thấy manh mối thưa thớt, không đủ chứng cứ cần thiết để kết luận một nhóm cụ thể nào. Nhưng các nhà nghiên cứu ghi nhận nhiều gợi ý ngôn ngữ trong mã của tin tặc: một gợi ý cho biết họ đã viết bằng tiếng Hàn hoặc tiếng Trung, và một gợi ý khác cho thấy rõ ràng hơn là họ đã viết bằng tiếng Trung giản thể được sử dụng ở Trung Quốc đại lục.
Các tin tặc dường như đã sử dụng một công cụ tạo tài liệu có tên là Royal Road, một công cụ phổ biến đối với các tin tặc nói tiếng Trung. Nhưng cuối cùng, Kaspersky chỉ ra một bài blog được đăng bởi các nhà nghiên cứu tại công ty bảo mật ProtectWise đã nhắc tới các nhóm hacker Trung Quốc, thường được biết tới với cái tên là Winnti và APT 41. Tuy nhiên, 5 trong số những tin tặc của các nhóm trên đã bị truy tố hồi tháng trước và bị cáo buộc bởi làm việc cho Bộ An Ninh Trung Quốc.
Đây không phải là lần đầu spyware kiểu này được sử dụng
Bên cạnh nhóm hacker Trung Quốc và Hacking Team - spyware dạng như VectorEDK và cái mà hacker Trung Quốc sử dụng đã được sử dụng vài lần trước đây. Năm 2018, công ty an ninh mạng ESET phát hiện một nhóm hacker Nga có tên Fancy Bear hoặc APT28 đang dùng LoJack, một dạng của spyware này để hack hệ thống UEFI của các nạn nhân. Hay WikiLeaks đã tung ra một loạt tài liệu bí mật của CIA đã sử dụng công cụ hack này với cái tên Vault 7, hack các máy tính mục tiêu thông qua cổng Thunderbolt, hay những vụ tấn công WannaCry và NotPetya gây thiệt hại hàng tỷ đô la.
Điều đó cho thấy, sự nguy hiểm và rủi ro lớn ra sao nếu như những công cụ này lởn vởn bên ngoài mà không có một giải pháp ngăn chăn hiệu quả. Kaspersky hi vọng rằng với nghiên cứu và phát hiện mới đây của mình, các công ty bảo mật và các hãng sản xuất máy tính sẽ chú trọng hơn vào những phần mềm bảo mật hệ thống như hệ thống BIOS và UEFI, giúp giảm thiểu tối đa những lỗ hổng có thể bị hacker khai thác với ý đồ xấu.
Quảng cáo
Theo Wired.
