Tin tặc tấn công phần mềm cập nhật của ASUS, cài đặt Backdoor vào hàng nghìn máy tính

123

“Ông lớn” làng công nghệ mang quốc tịch Đài Loan, ASUS, được tin là đã khiến cho hàng loạt khách hàng bị cài phần mềm độc qua công cụ cập nhật phần mềm của hãng, sau khi máy chủ bị tin tặc tấn công.

Các nhà nghiên cứu tại viện an ninh mạng Kaspersky Lab đã nói rằng ASUS, một trong những nhà sản xuất máy tính lớn nhất, đã khiến máy tính của hàng nghìn khách hàng bị nhiễm phần mềm độc hại, sau khi tin tặc tấn công máy chủ của hãng và lan truyền phần mềm này qua công cụ cập nhật vào năm ngoái. Phần mềm ác ý này thậm chí còn có giấy chứng nhận ảo của ASUS, làm cho nhiều người tin rằng đây thật sự là cập nhật mới của ASUS.

Một nghiên cứu từ công ty bảo mật ở Moscow đã cho biết: vào năm ngoái, ASUS, công ty phần cứng máy tính với trị giá lên tới hàng tỷ đô-la tại Đài Loan, chuyên sản xuất các thiết bị như máy tính để bàn, máy tính xách tay, điện thoại, thiết bị trong nhà thông minh và rất nhiều các thiết bị điện tử khác, đã lan truyền backdoor (cửa hậu) tới các khách hàng trong ít nhất 5 tháng trước khi sự việc này bị phát hiện.

Theo cách nhà nghiên cứu, khoảng 500,000 máy tính sử dụng hệ điều hành Windows đã cài đặt backdoor nguy hại này qua máy chủ cập nhật của ASUS, mặc dù vụ tấn công có vẻ như chỉ nhắm tới khoảng 600 hệ thống. Phần mềm độc này đã chọn đối tượng tấn công thông qua địa chỉ MAC, và nếu tìm được đúng địa chỉ tấn công, phần mềm này sẽ đột nhập vào hệ thống, liên hệ với máy chủ được vận hành bởi các tin tặc để nhận lệnh và điều khiển hệ thống, rồi cài đặt thêm một số phầm mềm ác ý khác trên những máy tính này.

Kaspersky Lab chia sẻ rằng họ đã phát hiện vụ tấn công vào tháng 1, sau khi tích hợp thêm công cụ quét ứng dụng công nghệ supply-chain để tìm ra những đoạn mã bất thường ẩn trong những mã gốc, hoặc tìm ra những đoạn mã đang can thiệp vào tác vụ bình thường của máy tính. Công ty này đang dự định sẽ phát hành một báo cáo kỹ thuật, trình bày đầy đủ chi tiết của vụ tấn công qua ASUS (gọi là ShadowHammer), ở buổi hội nghị phân tích bảo mật (Security Analyst Summit) tổ chức tại Singapore. Hiện tại, Kaspersky đã công bố một số chi tiết về mặt kỹ thuật trên trang web của công ty.

“Chúng tôi thấy một số cập nhật mới từ máy chủ Live Update ASUS. Những cập nhật này đã được ngụy trang là phần mềm lành tính (trojanized), là các cập nhật ác tính, nhưng lại có chứng nhận bởi ASUS.”

Trọng điểm của vụ tấn công chính là mối nguy hiểm đang tăng cao từ những vụ tấn công supply-chain, trong đó các phần mềm hay thành phầm độc hại được cài đặt vào hệ thống ngay từ khi sản xuất và lắp đặt, hoặc được cài vào sau đó qua những hãng uy tín. Vào năm ngoái, Hoa Kỳ đã phải thành lập một đội phụ trách supply-chain để kiểm tra và rà soát sau khi một loại vụ tấn công supply-chain bị phát hiện trong những năm qua. Đa số mọi người đều tập trung vào khả năng mã độc được cài vào phần cứng và phần mềm ngay trong quá trình sản xuất, tuy nhiên, chính những kênh bán hàng mới là công cụ lý tưởng để tạo ra những vụ tấn công tới hệ thống sau khi mua hàng. Điều này xảy ra do đa số khách hàng đều tin vào tính năng cập nhật hệ thống từ hãng, đặc biệt là nếu các cập nhật này có chứng nhận chính hãng.

Vụ tấn công này đã nhấn mạnh rằng, chúng ta không hề an toàn khỏi các phần mềm độc hại khi tin tưởng vào hãng lớn và chứng nhận của họ,” Vitaly Kamluk, trưởng bộ phận nghiên cứu của Viện Nghiên Cứu và Phân Tích Toàn cầu của Kaspersky Lab khu vực Châu Á – Thái Bình Dương phát biểu. “ASUS phủ định rằng máy chủ của họ đã bị xâm nhập và phần mềm tới từ hệ thống của họ khi Kaspersky liên lạc với họ vào tháng Một. Nhưng khi theo dấu của những mẫu phần mềm độc được thu thập Kaspersky, có những manh mối rất rõ ràng rằng những phần mềm này được tải trực tiếp từ máy chủ của ASUS,” ông nhấn mạnh.

Kaspersky đã gửi tới ASUS một danh sách phát hiện qua nhiều email riêng biệt vào Thứ 5, xong vẫn chưa hề nhân được phản hồi của hãng.

Tuy vậy, công ty bảo mật với trụ sở tại Hoa Kỳ, Symantec đã đồng ý với những phát hiện của Kaspersky vào Thứ 6, sau khi kiểm tra lại với Motherboard rằng có khách hàng nào của họ bị tải về phần mềm độc hại không. Dù vẫn đang trong quá trình điều tra, nhưng công ty này đã phát biểu qua điện thoại rằng có ít nhất 13.000 máy tính của các khách hàng của Synmatic đã bị ảnh hưởng bởi sự lan truyền phần mềm độc từ ASUS vào năm ngoái.

 “Chúng tôi thấy một số cập nhật mới từ máy chủ Live Update ASUS. Những cập nhật này đã được ngụy trang là phần mềm lành tính (trojanized), là các cập nhật ác tính, nhưng lại có chứng nhận bởi ASUS,” Liam O’ Murchu, giám đốc phát triển của bộ phận Công nghệ Bảo mật và Phản hồi tại Symantec phát biểu.

Đây không phải là lần đầu tiên các tin tặc tận dụng các cập nhật phần mềm có uy tín để xâm phập hệ thống. Phần mềm gián điệp Flame đầy tai tiếng được phát triển bởi những kẻ tạo ra Stuxnet, là cuộc tấn công đầu tiên theo phương thức này, bằng cách sử dụng công cụ cập nhật của Microsoft Windows để xâm nhập các máy tính. Bị phát hiện vào năm 2012, Flame cũng nhận được chứng nhận từ Microsoft, khi các tin tặc đánh lừa thành công hệ thống của Microsoft. Trong trường hợp này, Flame không tấn công và thay thế bản cập nhật của Microsoft, mà chuyển hướng người dùng từ máy chủ đúng của Microsoft sang một máy chủ độc hại được kiểm soát bởi tin tặc.

Hai vụ tấn công khác được phát hiện vào năm 2017, trong đó phần mềm độc hại đã kiểm soát các cập nhật phầm mềm uy tín. Vụ tấn công thứ nhất liên quan tới công cụ bảo mật và dọn dẹp hệ thống CCleaner, thông qua cập nhật để phát tán phần mềm độc hại. Hơn 2 triệu người dùng đã bị ảnh hưởng bởi đợt tấn công này trước khi nó bị phát hiện. Vụ tấn công còn lại là vụ việc notPetya nổi tiếng bắt nguồn từ Ukraina, xâm nhập vào các thiết bị thông qua cập nhật của một gói phần mềm kế toán.

Costin Raiu, giám đốc cấp công ty của bộ phận Nghiên Cứu và Phân Tích Toàn cầu của Kaspersky đã nói rằng vụ tấn công vào ASUS khác với những ví dụ trên. “Tôi nghĩ rằng, vụ tấn công này khác với những vụ tấn công khác, bởi lẽ nó tinh vi hơn trong cả mức độ phức tạp lẫn sự lén lút. Khả năng chọn lọc đối tượng tấn công một cách kỹ lưỡng sử dụng địa chỉ MAC chính là lý do tại sao không ai phát hiện ra nó trong một thời gian dài. Nếu bạn không phải là đối tượng tấn công, phần mềm độc hại hầu như là không thực hiện bất cứ điều gì,” Costin nói.

Mặc các hệ thống không phải mục tiêu tấn công hoàn toàn không bị ảnh hưởng, phần mềm độc này vẫn cho những kẻ tấn công một cửa hậu (backdoor) để tiếp cận với tất cả các hệ thống này.

Tony Sager, phó chủ tịch cấp cao của Trung tâm Bảo mật Internet, người đã phân tích lỗ hổng bảo mật cho NSA trong nhiều năm, đã nhận xét rằng phương thức tấn công có chọn lọc của những kẻ tấn công là tương đối kỳ lạ.

Những vụ tấn công supply-chain được liệt vào mức “nguy hiểm”, và là dấu hiệu rằng những người thực hiện vụ tấn công vô cùng cẩn thận và đã lên kế hoạch kỹ lưỡng”, ông nói với Motherboard trong cuộc phỏng vấn qua điện thoại. “Nhưng cài đặt phần mềm độc tới hàng nghìn người, trong khi chỉ thật sự tấn công một số đối tượng, lại là một quyết định khó hiểu.

Những nhà nghiên cứu của Kaspersky lần đầu phát hiện ra phần mềm độc trên thiết bị của một khách hàng vào ngày 29 tháng 1. Sau khi tìm kiếm phần mềm này trên các hệ thông khác, họ phát hiện rằng có hơn 57.000 khách hàng của Kaspersky có phần mềm này trong thiết bị. Tuy vậy, con số này chỉ bao gồm những khách hàng của Kaspersky, và thực tế số người bị ảnh hưởng có thể lên tới hàng trăm nghìn người.

Đa số thiết bị bị nhiễm phần mềm thuộc về những khách hàng của Kaspersky tại Nga (khoảng 18%), theo sau đó là ở Đức và Pháp. Chỉ có khoảng 5% thiết bị bị nhiễm là ở Hoa Kỳ. O’Murchy của Symantec đã nói rằng, có 15% trong số 13.000 thiết bị bị nhiễm độc thuộc về các khách hàng của họ là ở Hoa Kỳ.

Kamluk đã nói thêm rằng, Kaspersky đã thông báo vấn đề này với ASUS vào ngày 31 tháng 1, và nhân viên của Kaspersky đã trực tiếp trao đổi với ASUS vào ngày 14 tháng 2. Tuy nhiên, ASUS hầu như không phản hồi lại và tới giờ vẫn không hề thông báo với khách hàng về vấn đề này.

Những kẻ tấn công đã sử dụng tới hai chứng nhận ASUS khác nhau trên phần mềm độc của chúng. Chứng nhận thứ nhất hết hạn vào khoảng giữa nhăm 2018, vì vậy những kẻ tấn công đã chuyển sang sử dụng giấy chứng nhận thứ hai.

Kamluk phát biểu rằng, ASUS vẫn tiếp tục sử dụng một trong số những chứng nhận đã bị xâm nhập để chứng nhận những phần mềm của họ, tới một tháng sau thông báo của Kaspersky, mặc dù đã ngưng sử dụng sau đó. Tuy nhiên, ASUS vẫn không vô hiệu hóa 2 giấy chứng nhận này, tức là những kẻ tấn công, hay thậm chí là bất kỳ ai có thể tiếp cận chứng nhận chưa hết hạn vẫn có thể dùng nó để ngụy trang các phần mềm độc hại khác.

Đây không phải lần đầu tiên ASUS bị buộc tội không bảo vệ an ninh cho người dùng. Vào năm 2016, công ty đã bị phạt bởi Ủy ban Thương mại Liên Bang do các hành vi báo cáo sai lệch và thiếu bảo mật qua hành loạt lỗ hổng bảo mật trong bộ định tuyến, hệ thống lưu trữ dự phòng qua điện toán đám mây, và các công cụ cập nhập, cho phép những kẻ tấn công có thể tiếp cận dữ liệu người dùng, thông tin đăng nhập trên bộ định tuyến, và nhiều hơn nữa. Ủy ban Thương mại Liên Bang (FTC) cho rằng ASUS đã biết về những lỗ hổng này ít nhất một năm trước khi sửa lại chúng và thông báo với khách hàng, khiến gần một triệu chủ sở hữu thiết bị có khả năng bị tấn công. ASUS đã giải quyết vụ việc bằng cách đồng ý thiết lập và duy trì một chương trình an ninh toàn diện, được kiểm toán độc lập trong 20 năm.

Công cụ Live update của ASUS, thứ đã phân tán phần mềm độc hại cho khách hàng vào năm ngoái, đã bị cài đặt trong các máy tính xách tay cũng như thiết bị khác của ASUS. Khi khách hàng cho phép cài đặt, công cụ này sẽ liên hệ với máy chủ cập nhật của ASUS theo chu kỳ để xem có cập nhật mới không.

“Những tin tặc muốn xâm nhập vào những đối tượng cụ thể, thậm chí đã biết được địa chỉ MAC trên hệ thống của những đối tượng này từ trước, và đây là một điểm khá thú vị”

Tệp tin độc được phân tán tới cách thiết bị thông qua một công cụ gọi là setup.exe, và được ngụy trang là một cập nhật mới đối, đánh lừa cả công cụ update. Thực chất, nó là một cập nhật của ASUS từ 3 năm trước, đã bị thêm vào các mã độc trước và chèn thêm chứng nhận chính thức từ ASUS. Kaspersky Lap cho rằng vụ tấn công có thể đã được thực hiện vào khoảng từ tháng 6 tới tháng 11 năm 2018. Kamluk cũng nói rằng, việc sử dụng một mã nhị phân cũ với chứng nhận hiện hành có thể là một dấu hiệu rằng các tin tặc có thể đột nhập vào máy chủ ASUS cho các chứng nhận, nhưng không thể tiếp cận với máy chủ xây dựng các chứng nhận và cập nhật mới. Việc tái sử dụng cùng một mã nhị phân của ASUS cho biết rằng: các tin tặc không kiểm soát toàn bộ cơ sở hạ tầng của ASUS, mà chỉ kiểm soát bộ phận chứng nhận. Song song với phần mềm độc hại, những cập nhật chính hãng của ASUS vẫn được gửi tới người dùng, nhưng lại được ký với một chứng nhận khác đã được tăng cường hệ thống xác thực, làm cho việc giả mạo khó khăn hơn.

Những nhà nghiên cứu của Kaspersky đã thu thập hơn 200 mẫu phần mềm độc hại từ các thiết bị của khách hàng, và đây chính là cách họ phát hiện rằng vụ tấn công này được lên kế hoạch kỹ lưỡng từng bước.

Trong những mẫu phần mềm là các hàm băm MD5 được hard-code, thực chất là những địa chỉ MAC cho các card mạng. MD5 là một thuật toán tạo ra những mã hóa hay giá trị cho dữ liệu chạy qua thuật toán này. Mỗi card hệ thống có một ID hoặc địa chỉ riêng được cung cấp bởi nhà sản xuất, và những kẻ tấn công đã tạo ra hàm băm cho mỗi địa chỉ MAC cần tìm, sau đó hard-cord những hàm băm này vào phần mềm độc hại, khiến các phần mềm khó bị phát hiện hơn. Trong phần mềm độc hại đó chứa 600 địa chỉ MAC các tin tặc cần tìm. Tuy nhiên, số lượng người bị tấn công trên thực tế có thể cao hơn, bởi lẽ Kaspersky chỉ có thể thấy những địa chỉ MAC được hard-code vào những mẫu phần mềm độc hại trên các thiết bị của khách hàng của họ.

Ảnh: Shutterstock

Các nhà nghiên cứu của Kaspersky đã phá được hầu hết những hàm băm, từ đó xác định được các địa chỉ MAC, định danh được những card hệ thống đã được cài đặt trên thiết bị của nạn nhận, nhưng lại không thể biết được được họ là ai. Mỗi lần phần mềm độc này xâm nhập vào một thiết bị, nó thu thập địa chỉ MAC từ card hệ thống của thiết bị đó, chia nhỏ nó, và so sánh các hàm băm này với những hàm băm được hard-code trong phầm mềm. Nếu hàm băm này giống với một trong số 600 mục tiêu, phần mềm độc sẽ kết nối với asushotfix.com, một trang web ngụy trang là trang chính thức của ASUS, để tải về hệ thống một cửa hậu thứ hai. Vì chỉ có một số thiết bị được kết nối với máy chủ đưa lệnh và kiểm soát, phần mềm độc này rất khó bị phát hiện.

“Mục đích của chúng không phải là tấn công nhiều người dùng.” Kamluk nói. “Chúng chỉ tấn công một số đối tượng cụ thể, và chúng đã biết những card hệ thống trên địa chỉ MAC từ trước, và đây là một điểm đáng lưu ý.”

O’Murchu của Symantec nói rằng anh ấy không chắc rằng liệu các khách hàng của công ty có nằm trong những địa chỉ MAC bị nhắm tới, và có bị cài đặt cửa hậu thứ hai hay không.

Máy chủ đưa lệnh và kiểm soát mà đã cài đặt cửa hậu thứ hai được đăng ký vào ngày 3 tháng 5, và đóng vào tháng 11, trước khi bị phát hiện bởi Kaspersky. Do vậy, những nhà nghiên cứu đã không thể sao chép cửa hậu này, cũng như không thể xác định những thiết bị đã liên lạc với máy chủ. Kaspersky tin rằng có ít nhất một khách hàng tại Nga của họ đã bị cài đặt cửa hậu thứ hai khi thiết bị của họ bị xâm nhập vào ngày 29 tháng 10 năm ngoái, nhưng Raiu nói rằng công ty không biết được địa chỉ và danh tính của chủ thiết bị này để nghiên cứu sâu hơn.

Đã có những dấu hiệu từ trước cho thấy rằng những cập nhật mang chương trình độc hại đang bị phát tán qua ASUS từ tháng 6 năm 2018, khi một số người dùng bình luận trên diễn đàn Reddit về một cảnh báo đáng nghi của ASUS trên thiết bị của họ. “ASUS khuyến khích rằng bạn nên cập nhật thiết bị ngay bây giờ,” cảnh báo đã hiển thị.

Trong một bài viết với tiêu đề “ASUSFourceUpdater.exe đang cố cập nhật, nhưng lại không nói là cập nhật gì?” một người dùng dưới tên GreyWolfx đã viết, “Tôi nhận được một hiển thị từ file .exe chưa bao giờ nghe đến… có ai biết cập nhật mới này là cho cái gì không?

Khi GreyWolfx và một số người dùng khác nhấn vào công cụ cập nhật của ASUS để đọc về lần cập nhật này, công cụ cho biết ASUS không đưa ra một phiên bản cập nhật mới nào. Song, vì tệp này có giấy chứng nhận của ASUS, và trang web VirusTotal không cho thấy dấu hiệu của mã độc, rất nhiều người dùng đã chấp nhận cập nhật và tải nó về thiết bị. (VirusTotal là một trang web tổng hợp nhiều công cụ bảo mật khác nhau, nơi người dùng có thể tải lên những tệp đáng nghi để kiểm tra xem chúng có độc hại hay không.)

Tôi đã tải nó lên [VirusTotal], và nó là một tệp chính thức không có vấn đề,” một người dùng đã viết. “Cái tên ‘force’ (bắt buộc) và cửa sổ thông tin trống không khá là đáng nghi, nhưng mà mấy cập nhật khác của ASUS cũng sai lỗi ngữ pháp và chính tả, nên chắc là cái cập nhật này cũng tương tự.

Kamluk và Raiu nói rằng đây có thể không phải vụ tấn công đầu tiên từ những kẻ thực hiện ShadowHammer. Họ đã tìm thấy những điểm giống nhau trong vụ tấn công ASUS và một vụ khác, được Kaspersky đặt là ShadowPad. ShadowPad đã tấn công một công ty Hàn Quốc chuyên cung cấp phần mềm doanh nghiệp cho các máy chủ điều hành; thực hiện bởi cùng nhóm tin tặc đứng sau vụ tấn công qua CCleaner. Mặc dù có tới hàng triệu thiết bị bị tấn công bởi phần mềm độc hại phát tán qua CCleaner, chỉ có một số bị cài đặt cửa hậu thứ hai, tương tự các nạn nhân của vụ tấn công ASUS. Đáng lưu ý hơn, máy chủ của ASUS cũng nằm trong danh sách tấn công của vụ việc CCleaner.

Những nhà nghiên cứu của Kaspersky tin rằng những kẻ đứng sau ShadowHammer cũng đứng sau vụ việc ShadowPad và CCleaner, và đã tiếp cận được máy chủ của ASUS qua vụ tấn công thứ hai.

ASUS là một trong những đối tượng tấn công chính của vụ tấn công CCleaner,” Raiu phát biểu. “Chúng tôi đang đề ra một giả thiết rằng, đây chính là cách mà các tin tặc xâm nhập được vào hệ thống của ASUS, rồi dần dần nắm đủ quyển kiểm soát… để thực hiện vụ tấn công ASUS.

Nguồn: Motherboard

Tin liên quan:
  • 70
    Shares