Văn Thiện
Tin tặc Trung Quốc có thể đang sử dụng phần mềm độc hại có thể tồn tại ngay cả khi hệ điều hành Windows được cài đặt lại để do thám máy tính, theo PC Mag.
PC Mag đưa tin rằng công ty bảo mật Kaspersky Lab đã phát hiện ra một phần mềm độc hại khai thác UEFI (Giao diện firmwave mở rộng hợp nhất) để duy trì tồn tại trên máy tính Windows.
Tấn công UEFI là đáng báo động vì phần mềm này được sử dụng để khởi động máy tính và tải hệ điều hành. Nó cũng hoạt động riêng biệt với ổ cứng chính của máy tính và thường nằm trong bộ nhớ flash SPI của bo mạch chủ dưới dạng firmware, những chương trình máy tính cố định và điều khiển cấp thấp nhiều thiết bị điện tử. Kết quả là, bất kỳ quá trình độc hại nào được nhúng trong UEFI đều có thể tồn tại trong quá trình cài đặt lại hệ điều hành trong khi né tránh được các giải pháp chống virus truyền thống.
Nhà nghiên cứu Mark Lechtik của Kaspersky Lab cho biết cuộc tấn công này chứng tỏ rằng, các tác nhân sẵn sàng cố gắng hết sức để đạt được mức độ duy trì cao nhất trên máy của nạn nhân.
Công ty đã phát hiện ra phần mềm độc hại dựa trên UEFI trên các máy của hai nạn nhân. Nó tạo một tệp Trojan, một loại phần mềm độc hại không có chức năng tự sao chép nhưng lại có chức năng hủy hoại tương tự virus, có tên “IntelUpdate.exe” trong Thư mục Khởi động. Tệp này sẽ tự cài đặt lại ngay cả khi người dùng tìm thấy và xóa nó.
Kaspersky Lab cho biết: “Vì logic máy tính này được thực thi từ flash SPI, nên không có cách nào để tránh quá trình này ngoài việc loại bỏ firmwae độc hại”.
Mục tiêu của phần mềm độc hại là chuyển tải các công cụ tấn công khác trên máy tính của nạn nhân, bao gồm cả công cụ đánh cắp tài liệu, sẽ lấy các tệp từ thư mục “Recent Documents” trước khi tải chúng lên máy chủ chỉ huy và kiểm soát của tin tặc.
Trong khi xem xét mã máy tính của phần mềm độc hại, Kaspersky Lab cũng nhận thấy các quá trình có thể tiếp cận với một máy chủ chỉ huy và kiểm soát trước đây được gắn với một nhóm hack được nhà nước Trung Quốc tài trợ có tên Winnti. Ngoài ra, công ty bảo mật đã tìm thấy bằng chứng cho thấy những kẻ tạo ra phần mềm độc hại đã sử dụng ngôn ngữ Trung Quốc trong khi lập trình mã.
Kaspersky Lab đã hạn chế nêu tên các nạn nhân, nhưng cho biết thủ phạm đã săn lùng các máy tính thuộc “các tổ chức ngoại giao và tổ chức phi chính phủ ở Châu Phi, Châu Á và Châu Âu”. Tất cả các nạn nhân đều có mối liên hệ nào đó với Triều Tiên, có thể là thông qua các hoạt động phi lợi nhuận hoặc sự hiện diện thực tế ở nước này.
Vẫn chưa rõ cách phần mềm độc hại dựa trên UEFI được phân phối và các kiểu máy tính nào dễ bị tấn công. Kaspersky Labs lưu ý rằng việc thao tác với UEFI rất khó vì nó đòi hỏi kiến thức về chương trình cơ sở của máy và cách khai thác chip flash SPI trên bo mạch.
Tuy nhiên, hãng bảo mật nhận thấy phần mềm độc hại dựa trên UEFI được tạo ra với sự trợ giúp của các tài liệu bị rò rỉ từ một công ty giám sát Ý có tên Hacking Team. Vào năm 2015, công ty này được cho là cũng đang thực hiện một cuộc tấn công dựa trên UEFI có khả năng lây nhiễm các máy tính Asus X550C và Dell Latitude E6320 thông qua ổ USB.
Kaspersky Lab cho biết thêm: “Tất nhiên, chúng tôi không thể loại trừ các khả năng khác, theo đó firmwave giả mạo được đẩy từ xa, có thể thông qua một cơ chế cập nhật bị xâm phạm. Một tình huống như vậy thường yêu cầu khai thác các lỗ hổng trong quy trình xác thực cập nhật BIOS. Trong khi điều này có thể xảy ra, chúng tôi không có bất kỳ bằng chứng nào để chứng minh điều đó”.
Để loại bỏ phần mềm độc hại, Kaspersky Lab cho biết nạn nhân cần cập nhật chương trình cơ sở của bo mạch chủ lên phiên bản hợp pháp.
Đây là lần thứ hai các nhà nghiên cứu bảo mật phát hiện ra phần mềm độc hại được thiết kế để khai thác UEFI. Vào năm 2018, nhà cung cấp phần mềm chống virus ESET đã báo cáo một trường hợp phần mềm độc hại dựa trên UEFI, có tên là Lojax, có thể đến từ các tin tặc được nhà nước Nga tài trợ.