Loại Backdoor Nguy Hiểm Ẩn Nấp Trong Phần Mềm Mà Nhiều Công Ty Đang Sử Dụng

19/10/2019

Công nghệ phát triển kéo theo sự tinh vi của các loại virus. WannaCry hay chính Backdoor ShadowPad là một trong những ví dụ điển hình.

Chỉ trong 17 ngày, một loại virus cửa hậu (backdoor) cao cấp đã giúp tin tặc tấn công và kiểm soát hoàn toàn các phần mềm bản quyền kĩ thuật số. Nguy hiểm thay khi đối tượng đang sử dụng phần mềm này lại là hàng trăm ngân hàng, các công ty năng lượng và các nhà sản xuất dược phẩm. Sự việc này xảy ra vào hồi tháng 7 vừa qua.

Virus backdoor, hay còn gọi là ShadowPad đã được gài vào 5 sản phẩm được phân phối bởi NetSarang- công ty phát triển phần mềm có trụ sở tại hàn Quốc và Mỹ. Các sản phẩm độc hại này đã xuất hiện kể từ ngày 17/4- 4/8. Chúng sau đó đã bị phát hiện và được bí mật báo cáo tới các nhà nghiên cứu từ nhà cung cấp sản phẩm diệt virus Kaspersky Lab.

Bất cứ ai đang sử dụng năm phiên bản của NetSarang gồm Xmanager EnterPrise 5.0, Xmanager 5.0, Xshell 5.0, Xftp 5.0 hoặc Xlpd 5.0 đều ngay lập tức xem lại các thông báo từ NetSarang và Kaspersky Lab tại đây.

Vụ tấn công mới nhất của ShadowPad được thực hiện tiếp tục bằng việc sử dụng chuỗi cung ứng nhằm lây nhiễm đến toàn bộ các đối tượng có liên quan. Virus NotPetya trước đó cũng đã đánh sập nhiều hệ thống máy tính trên thế giới vào hồi tháng 6. Chúng đều có chung cách thức hoạt động đã được nâng cấp mới và được sử dụng rộng rãi ở Ukraina.

Hãy nhớ lại hai loại virus tiêu biểu cho các vụ tấn công bằng chuỗi cung ứng này là Plugx 2015 và WinNTi 2013. Cả hai đều nhắm vào các game thủ trực tuyến, đặc biệt những người dùng có tài khoản game giá trị. Chúng có khả năng tận dụng các lỗ hổng bảo mật trên trình duyệt và nhanh chóng chiếm quyền kiểm soát tài khoản của người chơi và sau đó yêu cầu tiền chuộc.

Các nhà nghiên cứu của Kaspersky Lab chia sẻ trên blog: “Với cơ hội thu thập dữ kiệu bí mật, tin tặc có thể áp dụng cách này lần nữa đối với các thành phần phần mềm được sử dụng rộng rãi khác. Thật may mắn khi NetSarang đã kịp thời phản hồi với các thông báo của chúng tôi và tung ra bản cập nhật phần mềm mới. Bản cập nhật này sẽ giúp khách hàng của họ yên tâm hơn trước hàng trăm cuộc tấn công ăn cắp dữ liệu đang hoành hành."

Đoạn mã backdoor được đặt trong một phiên bản của tệp nssock2.ddl. Tệp này đã được đăng lên trang chủ của NetSarang vào ngày 17/7 vừa qua. Theo đó các tệp tin độc hại đã được xác nhận hợp pháp và không hề bị phát hiện. Điều này chỉ xảy ra khi các nhà nghiên cứu của Kaspersky Lab thông báo với công ty về vụ giả mạo này. Trong bài phát biểu mới đây, công ty đã chính thức thừa nhận vấn đề:

Chúng tôi xác nhận cơ sở hạ tầng của công ty đang bị phá hoại. Vì thế chúng tôi đã tạo ra một cơ sở hạ tầng hoàn toàn mới riêng biệt. Tất cả các thiết bị khi trước khi được đặt vào trong hệ thống mới này sẽ phải trải qua quá trình kiểm tra, quét bảo mật kĩ càng từng lượt một. Chính vì thế nên công ty sẽ mất nhiều thời gian để hoàn thành công việc này. Tuy nhiên chúng tôi vẫn chấp nhận vì sự an toàn của người dùng chính là thứ chúng tôi ưu tiên hàng đầu”.

Các nhà nghiên cứu của Kaspersky Lab tiếp tục phân tích:

Module này có thể nhanh chóng trao đổi với máy chủ DNS kiểm soát và cung cấp thông tin đích cơ bản (tên miền và tên người dùng, ngày hệ thống, cấu hình mạng) tới máy chủ. Máy chủ DNS C&C sau đó sẽ gửi lại chìa khoá giải mã cho giai đoạn tiếp theo của mã. Dữ liệu trao đổi giữa mô-đun và C&C được mã hóa bằng một thuật toán độc quyền và sau đó được mã hoá bằng các ký tự Latin có thể đọc được. Mỗi gói tin cũng chứa một giá trị DWORD ma thuật được mã hóa "52 4F 4F 44" ('DOOR' nếu được đọc dưới dạng giá trị nhỏ).

Theo phân tích của chúng tôi, các mã nhúng đóng vai trò quan trọng như một nền tảng của mô đun backdoor. Nó có khả năng tải về và thực thu các mã tuỳ ý được cung cấp từ máy chủ C&C cũng như duy trì một hệ thống tập tin ảo VPS bên trong file registry. VFS và bật kì tệp bổ sung nào được tạo ra bởi mã sẽ được mã hoá và lưu trữ tại một vị trí duy nhất cho từng nạn nhân”.

Các nhà nghiên cứu cũng cho biết họ đã phát hiện ra backdoor nhờ một đối tác của Kasspersky Lab làm trong ngành tài chính. Anh đã vô tình quan sát thấy một máy tính được sử dụng để thực hiện các yêu cầu tra cứu tên miền đáng ngờ. Kết quả là họ đã tìm ra mô đun độc hại được bổ sung vào trong các sản phẩm của NetSarang.

Kể từ ngày 4/8, bất cứ người dùng nào cài đặt bản cập nhật mới sẽ được an toàn trước mối đe doạ này. Sự lây nhiễm cũng sẽ được kiểm tra và phát hiện bởi phần mềm chống virus của Kaspersky Lab. Để chắc chắn được an toàn, người dùng cần cẩn thận dành thời gian để xem xét các nhật kí trên các máy tính để biết được các dấu hiệu lây nhiễm.

Hiện vẫn chưa rõ ai là người đã tạo ra virus backdoor hay chính xác hơn là người đang phá hoại NetSarang. Theo nhận định ban đầu, nó có những điểm tương đồng với những cuộc tấn công được sử dụng trên virus WinNTi và PlugX được đề cấp ở phần đầu bài viết. Các nhà nghiên cứu đã tổng hợp lại và đưa ra nhận định chủ mưu của những cuộc tấn công này có thể là những đối tượng thuộc nhóm nói tiếng Hoa.

Các cuộc tấn công bằng chuỗi cung ứng thực sự đáng báo động bởi khả năng lan truyền cực kì nhanh của chúng. Nạn nhân là có thể là những đối tượng chỉ thực hiện cập nhật phần mềm mà họ đã sử dụng trong nhiều năm qua mà không hề làm gì khác. Vụ ShadowPad này nhấn mạnh tầm quan trọng của việc kiểm tra kĩ lưỡng hành vi mạng và sự hợp tác cùng các đối tác. Chỉ có như vậy, chúng ta mới có thể kiểm soát và phát hiện các hành vi đáng ngờ và có những phương án kịp thời trước khi quá muộn.
 

Theo Arstechnica - Dịch GenK

Tin liên quan

06/12/2021

Viettel IDC thông báo mời tham gia đề xuất Tháng 12/2021

Công ty TNHH Viettel – CHT (Viettel IDC) có nhu cầu Thanh lý các thiết bị. Kính mời Quý Công ty tham gia đề xuất phương án thu mua hàng thanh lý.

29/11/2021

Webinar: Xây dựng, bảo mật nền tảng điện toán đám mây - Cơ sở hạ tầng quan trọng trong chuyển đổi số

Trong khuôn khổ Dự án “Chuyển đổi số cho doanh nghiệp trong bối cảnh Cách mạng công nghiệp 4.0”, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) phối hợp với Viettel IDC và Akamai Technologies tổ chức hội thảo trực tuyến.

12/11/2021

​Viettel IDC hoàn thành đánh giá chứng nhận ISO/IEC 20000-1:2018 về quản lý dịch vụ CNTT

Tháng 10/2021, Viettel IDC đã chính thức hoàn thành và được TÜV Rheinland cấp chứng nhận ISO/IEC 20000-1:2018 – tiêu chuẩn toàn cầu mô tả các yêu cầu đối với hệ thống quản lý dịch vụ công nghệ thông tin (ITSM).

25/10/2021

Webinar: Bứt tốc chuyển đổi số hậu Covid-19 với Hybrid Cloud

Trong những năm gần đây, Hybrid Cloud đã không còn là một thuật ngữ xa lạ đối với các doanh nghiệp trong cuộc đua chuyển đổi số. Là sự kết hợp giữa Public Cloud và Private Cloud hoặc hạ tầng data center sẵn có, mô hình Hybrid Cloud được xem là sự lựa chọn ưu việt và linh hoạt nhất, cho phép doanh nghiệp xây dựng một giải pháp tùy chỉnh, đáp ứng với nhu cầu phát triển thực tế tại từng thời điểm.

23/09/2021

Webinar: AI và Bảo mật trong Chuyển đổi số ngành BFSI

Chuyển đổi số là xu thế tất yếu trong tất cả các lĩnh vực, tuy nhiên trong hành trình chuyển đổi đó chắc chắn các tổ chức sẽ gặp phải những khó khăn thách thức về cơ sở hạ tầng, kết nối, ứng dụng công nghệ.

16/09/2021

Viettel IDC chính thức có mặt trên Zalo

Với mục tiêu hỗ trợ người dùng đa kênh, đa nền tảng và mong muốn kết nối nhanh nhất đến các Quý khách hàng, Viettel IDC chính thức có mặt trên nền tảng mạng xã hội Zalo từ 15/09/2021.

26/08/2021

Trung tâm dữ liệu Viettel IDC đạt Giải Vàng tại Giải thưởng Kinh doanh quốc tế IBA Stevie Awards (IBA)

Tại giải thưởng IBA năm nay, Trung tâm dữ liệu của Viettel IDC được đánh giá và trao giải Vàng cho hạng mục Đơn vị cung cấp cơ sở hạ tầng tốt nhất.

20/08/2021

Sản phẩm chuyển đổi số giúp Viettel có năm thành công nhất tại IBA 2021

Năm 2021, Tập đoàn Công nghiệp - Viễn thông Quân đội (Viettel) có 22 giải thưởng tại Giải thưởng Kinh doanh Quốc tế (IBA), gấp 4,4 lần so với năm 2020, chiếm gần một nửa số giải mà 13 doanh nghiệp Việt Nam tham dự đạt được

14/07/2021

Trung tâm dữ liệu đạt giải IT World Awards của Viettel IDC chuẩn quốc tế như thế nào?

Viettel IDC Data center – Hệ thống trung tâm dữ liệu Viettel IDC giành giải Bạc hạng mục Data center Infrastructure Management – Giải thưởng CNTT thế giới IT World Awards 2021.

09/07/2021

Viettel là doanh nghiệp Việt Nam đạt nhiều giải thưởng nhất tại IT World Awards 2021

QĐND Online - Ngày 8-7, theo công bố chính thức của ban tổ chức Giải thưởng Công nghệ thông tin Thế giới - IT World Awards 2021, Viettel là doanh nghiệp Việt Nam đạt nhiều giải thưởng nhất tại Giải thưởng Công nghệ thông tin thế giới - IT World Awards 2021.

// doi link