Đội Tin Tặc Elite của Nga Có Mánh Mới Rất Khó Khắc Phục năm 2025

Nhóm Tin Tặc Fancy Bear có rất nhiều công cụ trong tay, như đã chứng minh qua các cuộc tấn công vào Ủy ban Quốc gia Dân chủ, Olympic Pyeongchang và nhiều hơn nữa. Nhưng công ty an ninh mạng ESET dường như đã phát hiện đội tin tặc Nga này sử dụng một kỹ thuật cực kỳ tiên tiến, mà cho đến bây giờ chưa từng xuất hiện trong tự nhiên.

ESET phát hiện một loại rootkit UEFI, một cách để truy cập vĩnh viễn vào máy tính mà rất khó phát hiện và thậm chí còn khó dọn dẹp hơn, trên một máy tính của nạn nhân chưa xác định. Kỹ thuật này không phải là không có tiền lệ; các nhà nghiên cứu đã khám phá các bằng chứng thực tế trong quá khứ, và các tệp tin rò rỉ đã chỉ ra rằng cả CIA và công ty chuyên về khai thác lỗ hổng độc lập Hacking Team đều có khả năng này. Nhưng bằng chứng rằng điều đó đã xảy ra, dưới dạng phần mềm độc hại gọi là LoJax, đại diện cho một bước leo thang đáng kể trong bộ công cụ của Fancy Bear—mà ESET gọi là Sednit.

Trong Nháy Mắt

Nếu “LoJax” nghe quen quen một chút, có thể bạn nhớ đến LoJack - trước đây được biết đến với tên là Computrace - phần mềm bảo mật cho phép bạn theo dõi laptop của bạn trong trường hợp bị đánh cắp. LoJack hóa ra là thứ mạnh mẽ. Nó nằm trong firmware của máy tính, thường xuyên gửi tin về một máy chủ để thông báo vị trí của nó. Quan trọng là điều đó cũng có nghĩa là bạn không thể loại bỏ nó bằng cách cài đặt lại hệ điều hành hoặc thay ổ cứng mới.

Đó là một tính năng bảo mật có chủ ý: Nếu ai đó lấy cắp máy tính của bạn, bạn muốn làm cho việc trốn tránh phát hiện của họ càng khó càng tốt. Nhưng nó cũng mở ra cơ hội độc đáo cho những diễn viên xấu, như đã được mô tả trong một bài thuyết trình năm 2016 tại một hội nghị an ninh mang tên Zero Nights, và lại một lần nữa vào tháng 5 này bởi các nhà nghiên cứu tại công ty an ninh NetScout. Về cơ bản, Fancy Bear đã tìm ra cách để thao túng mã từ phiên bản LoJack cách đây mười năm để khiến nó không gọi về máy chủ dự định, mà thay vào đó là một máy chủ được điều hành bởi điệp viên Nga. Đó là LoJax. Và làm sao để loại bỏ nó là điều vô cùng khó khăn.

“Mỗi khi một máy tính bị nhiễm malware UEFI khởi động, nó sẽ đặt đặc vụ LoJax trên hệ thống tệp Windows, để khi Windows khởi động, nó đã bị nhiễm với đặc vụ LoJax. Ngay cả khi bạn dọn sạch LoJax khỏi Windows, ngay khi bạn khởi động lại, implant UEFI sẽ nhiễm lại Windows,” Alexis Dorais-Joncas, trưởng nhóm tình báo an ninh của ESET nói.

Hoàn toàn có thể loại bỏ LoJax khỏi hệ thống của bạn, nhưng việc làm điều đó đòi hỏi kỹ năng kỹ thuật nghiêm túc. “Bạn không thể chỉ khởi động lại. Bạn không thể đơn giản cài đặt lại ổ cứng. Bạn không thể thay thế ổ cứng. Thực sự bạn phải flash firmware của bạn,” Richard Hummel, quản lý tình báo đe dọa cho NetScout nói. “Hầu hết mọi người không biết cách làm điều đó. Việc nó đến điểm khó sử dụng thực sự làm cho nó rất nguy hiểm.”

Hầu hết các chương trình quét virus và các sản phẩm bảo mật khác cũng không tìm kiếm vấn đề UEFI, làm cho việc phát hiện xem có mã độc hại nào đó ở đó càng khó khăn hơn. Và nếu có, bạn gặp rắc rối.

"Những lỗ hổng phần mềm và phần cứng cách đây mười năm dễ dàng bị tận dụng bởi những kẻ tấn công hiện đại, vì vậy các công ty phải sử dụng các thực hành vệ sinh đầu cuối tốt bao gồm đảm bảo các điểm cuối và firmware luôn được cập nhật, tận dụng phần mềm chống malware và xác nhận các điểm bảo vệ cuối khác luôn hiện diện và lành mạnh," Dean Ćoza, phó chủ tịch điều hành sản phẩm tại nhà phát triển LoJack Absolute nói. “Chúng tôi rất nghiêm túc trong việc bảo mật nền tảng của chúng tôi, và đang làm việc để xác nhận các vấn đề này không ảnh hưởng đến khách hàng hoặc đối tác của chúng tôi.”

Sự tiếp quản

Phần mềm độc hại mà ESET quan sát không tự mình lấy cắp dữ liệu từ thiết bị bị nhiễm. Hãy nghĩ về nó không phải là kẻ trộm, mà như một cánh cửa vào nhà bạn được che giấu đến mức bạn không thể nhìn thấy nó ngay cả khi bạn xem xét từng bức tường. LoJax cung cấp cho Fancy Bear quyền truy cập từ xa và khả năng cài đặt phần mềm độc hại bổ sung vào bất kỳ lúc nào.

“Thực tế, nó cho phép kẻ tấn công tiếp quản máy và tải xuống bất cứ điều gì họ muốn,” Richard Hummel nói. “Họ cũng có thể sử dụng mục đích ban đầu của phần mềm, đó là để theo dõi vị trí của các máy nhiễm, có thể là chủ nhân cụ thể mà kẻ tấn công quan tâm.”

Nhiều chi tiết về cuộc tấn công UEFI của Fancy Bear vẫn mơ hồ hoặc chưa biết rõ. Dorais-Joncas của ESET xác nhận rằng thiết bị mà họ nhận ra nó đã “bị nhiễm bởi một số lượng lớn phần mềm độc hại,” và nhóm hacker đã nhắm vào các tổ chức chính phủ ở châu Âu. Họ không biết chính xác làm thế nào nhóm hacker Fancy Bear tiếp cận thiết bị của nạn nhân ban đầu, nhưng Dorais-Joncas đề xuất rằng họ có thể đã tuân theo chiến lược thông thường của họ, bằng một cuộc tấn công spearphishing để có một điểm bắt đầu ban đầu, tiếp theo là di chuyển qua mạng để tìm các mục tiêu có giá trị cao hơn.

Công ty bảo mật có thông tin cụ thể hơn về cách Fancy Bear hoạt động sau khi họ có kiểm soát ban đầu. Đầu tiên, những hacker sử dụng một công cụ phổ biến để đọc bộ nhớ firmware UEFI, để hiểu rõ hơn thiết bị cụ thể mà họ đang tấn công. Khi có bức ảnh đó, họ sửa đổi nó để thêm mã độc hại, sau đó ghi đè bức ảnh bị nhiễm trở lại bộ nhớ firmware. Quá trình này không được tự động hóa, Dorais-Joncas nói; một con người sau bàn phím đã thực hiện từng bước.

Những chi tiết này mang lại một số hy vọng cho các nạn nhân tiềm năng trong tương lai. Đặc biệt, những kẻ tấn công chỉ có thể viết vào firmware máy tính mục tiêu ban đầu vì nó là thiết bị cũ hơn; Intel và những người khác đã tích hợp các biện pháp bảo vệ tốt hơn chống lại hành vi đó, đặc biệt sau các tiết lộ của Hacking Team và CIA. Việc sử dụng tính năng Windows Secure Boot cũng ngăn chặn loại tấn công này, vì nó kiểm tra để đảm bảo rằng bức ảnh firmware trên máy tính của bạn khớp với bức ảnh mà nhà sản xuất đã đặt ở đó.

“Mặt khác,” Dorais-Joncas nói, “có lẽ sẽ xảy ra nhiều cuộc tấn công hơn,” bởi vì Fancy Bear đã tìm ra cách làm thành công. Và bây giờ khi mọi người biết rõ rằng Fancy Bear đã làm điều đó, những kẻ sao chép có thể không xa.

“Mỗi khi chúng ta thấy những chiến thuật mới này, không mất nhiều thời gian cho các hacker khác để tìm ra cách họ đã làm và bắt chước,” Richard Hummel nói.

Các hacker của Nga đã có một bộ công cụ hack phức tạp. Nhưng việc giới thiệu một UEFI rootkit - tinh vi, phức tạp, nguy hại - khẳng định rõ ràng khả năng tiên tiến của họ đã trở nên như thế nào. Và quan trọng hơn, làm thế nào khó khăn để phòng thủ chống lại chúng.

Cập nhật 28/9/18 3:25 PM: Câu chuyện này trước đây ghi Arbor Networks là nơi làm việc của Richard Hummel. Arbor Networks trước đây đã được NetScout mua lại, và câu chuyện này đã được cập nhật để phản ánh điều đó.

Nhiều câu chuyện tuyệt vời từ blog.mytour.vn

• Làm thế nào để xây dựng một cây cầu nổi trong 12 phút
• YubiKey mới sẽ giúp tiêu diệt mật khẩu
• HÌNH ẢNH: Khách du lịch từ khắp nơi trên thế giới mệt mỏi một cách hài hước
• Khoa học thảm họa đằng sau sự chuẩn bị cho thảm họa
• Chúng ta cần có một viên pin tốt hơn. Nhưng làm thế nào?
• Nhận thêm nhiều thông tin bí mật hơn với bản tin hàng tuần của chúng tôi, Backchannel