Mã độc “nằm vùng” trong hệ thống mạng hàng trăm doanh nghiệp, tổ chức

ShadowPad cho phép kẻ tấn công có thể "nằm vùng" trong hệ thống mạng của doanh nghiệp, tổ chức. - Ảnh: KASPERSKY LAB

Backdoor (cửa hậu) có tên là ShadowPad. Nó cho phép kẻ tấn công có thể “nằm vùng” trong hệ thống mạng của doanh nghiệp, tổ chức. Từ đó âm thầm theo dõi, thu thập các thông tin, dữ liệu bí mật của doanh nghiệp, tổ chức. Khi cần thiết, nó sẽ có thể tải về và phát tán mã độc tiến hành một cuộc tấn công hệ thống mạng quy mô vào doanh nghiệp, tổ chức đó.

“Nằm vùng” chờ lệnh

Vào tháng 7-2017, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab (GReAT) đã được các chuyên gia bảo mật của một tổ chức tài chính chia sẻ lo lắng về các yêu cầu DNS (tên miền máy chủ) đáng ngờ bắt nguồn từ một hệ thống liên quan đến việc xử lý các giao dịch tài chính. Các cuộc điều tra tiếp theo cho thấy nguồn gốc của những yêu cầu này là phần mềm quản lý máy chủ được sản xuất bởi một công ty hợp pháp là NetSarang.

Một trong những phát hiện đáng lo ngại nhất là NetSarang không hề thiết lập phần mềm thực hiện những yêu cầu này. Đặc biệt phần mềm lại đang được sử dụng bởi hàng trăm khách hàng trong các ngành như dịch vụ tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải.

Hệ thống máy chủ của NetSarang. - Ảnh: KASPERSKY LAB

Các phân tích sâu hơn của Kaspersky Lab cho thấy rằng các yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong một phiên bản gần đây của phần mềm hợp pháp này. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ một lần. Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ).

Nếu kẻ tấn công xem hệ thống này là "thú vị", máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi mã độc hại hơn.

Sau khi phát hiện, các nhà nghiên cứu Kaspersky Lab đã liên lạc ngay với NetSarang. Công ty này đã phản ứng nhanh và phát hành phiên bản cập nhật của phần mềm mà không có chứa mã độc hại. Nếu không được phát hiện và vá nhanh chóng, nó có khả năng đã nhắm mục tiêu vào hàng nghìn tổ chức trên toàn thế giới.

Cảnh báo cho DN Việt Nam

Câu chuyện về ShadowPad khiến người dùng Việt dễ dàng liên tưởng đến nhận định của các chuyên gia bảo mật trước đây về việc hệ thống mạng Vietnam Airlines bị tấn công hồi tháng 8-2016 có thể là do mã độc đã được “cài cắm” từ trước. Đây chỉ là một trong rất nhiều trường hợp thực tế xảy ra ở Việt Nam nhưng nhiều tổ chức, doanh nghiệp không hề hay biết.

Trong khi đó, theo nghiên cứu của Kaspersky Lab cho đến nay, mô-đun độc hại đã được kích hoạt ở Hồng Kông, và nó có thể đang nằm yên trên nhiều hệ thống khác trên toàn thế giới, đặc biệt nếu người dùng chưa cài đặt phiên bản cập nhật của phần mềm bị ảnh hưởng.

Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của Kaspersky Lab đã đi đến kết luận rằng một số điểm tương đồng đã cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT, một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này.

Ông Igor Soumenkov, chuyên gia bảo mật, nhóm nghiên cứu và phân tích toàn cầu, Kaspersky Lab cho biết: “ShadowPad là một ví dụ về mức độ nguy hiểm và quy mô lớn một cuộc tấn công chuỗi cung ứng thành công có thể xảy ra. Do cơ hội tiếp cận và thu thập dữ liệu mà nó mang lại cho những kẻ tấn công, rất có thể nó sẽ được thực hiện lại với một số phần mềm khác được sử dụng rộng rãi.

May mắn là NetSarang đã nhanh chóng phản ứng sau thông báo của chúng tôi và đưa ra bản cập nhật phần mềm, gần như đã ngăn chặn hàng trăm dữ liệu bị đánh cắp quay lại tấn công khách hàng của họ.

Tuy nhiên, trường hợp này cho thấy các công ty lớn nên dựa vào các giải pháp tiên tiến có khả năng theo dõi hoạt động của mạng và phát hiện các bất thường. Những giải pháp này giúp bạn có thể phát hiện ra hoạt động độc hại ngay cả khi kẻ tấn công đủ tinh vi để ẩn phần mềm độc hại bên trong phần mềm hợp pháp.”.