Công Cụ Điều Tra NSA Bị Rò Rỉ Đã Đánh Sập Thế Giới

Một đội ngũ hacker Nga, một cuộc tấn công ransomware lịch sử, một nhóm gián điệp ở Trung Đông và vô số những kẻ đào coin nhỏ lẻ đều có một điểm chung. Mặc dù phương pháp và mục tiêu của họ khác nhau, nhưng tất cả đều phụ thuộc vào công cụ hacking của NSA bị rò rỉ là EternalBlue để xâm nhập máy tính mục tiêu và lây lan malware qua các mạng.

Rò rỉ vào công chúng gần một năm trước, EternalBlue đã gia nhập một dãy dài các công cụ hacker đáng tin cậy. Conficker Windows worm đã nhiễm trên hàng triệu máy tính vào năm 2008, và con giun mã độc mã hóa từ xa Welchia đã tạo ra hỗn loạn vào năm 2003. EternalBlue chắc chắn đang tiếp tục truyền thống đó—và theo mọi dấu hiệu, nó không đến đâu. Nếu có gì, các nhà phân tích bảo mật chỉ thấy việc sử dụng lỗ hổng này đa dạng hóa khi các tấn công phát triển ứng dụng mới, sáng tạo hoặc đơn giản chỉ là khám phá cách triển khai dễ dàng.

"Khi bạn lấy một thứ đã được vũ khí hóa và là một khái niệm hoàn chỉnh và làm cho nó trở nên công cộng, bạn sẽ có mức độ tiếp nhận đó," nói Adam Meyers, phó chủ tịch tình báo tại công ty bảo mật CrowdStrike. "Một năm sau vẫn có tổ chức bị tấn công bởi EternalBlue—vẫn có tổ chức chưa vá lỗ hổng đó."

Kẻ Lạc Lõng

EternalBlue không chỉ là tên của một lỗ hổng phần mềm trong hệ điều hành Windows của Microsoft mà còn là một công cụ tận dụng mà Cơ quan An ninh Quốc gia đã phát triển để biến lỗi thành vũ khí. Tháng 4 năm 2017, công cụ này bị rò rỉ ra công chúng, là một phần của bản phát hành thứ năm của những công cụ được cho là của NSA được nhóm bí ẩn vẫn còn gọi là Shadow Brokers tung ra. Không ngạc nhiên, cơ quan này chưa bao giờ xác nhận rằng nó tạo ra EternalBlue, hoặc bất cứ thứ gì khác trong những bản phát hành của Shadow Brokers, nhưng nhiều báo cáo đã chứng thực nguồn gốc của nó—và thậm chí Microsoft cũng công bố công khai rằng sự tồn tại của nó là do NSA tạo ra.

Công cụ này tận dụng một lỗ hổng trong Windows Server Message Block, một giao thức truyền tải cho phép các máy tính Windows giao tiếp với nhau và các thiết bị khác để thực hiện các dịch vụ từ xa và chia sẻ tệp và máy in. Những kẻ tấn công sử dụng nhược điểm trong cách SMB xử lý một số gói tin cụ thể để từ xa thực hiện bất kỳ mã nào họ muốn. Khi họ đã có địa vị đầu tiên vào thiết bị mục tiêu đó, họ có thể lan rộng trên mạng.

Chỉ trong vài ngày kể từ khi Shadow Brokers phát hành, các chuyên gia an ninh cho biết họ đã bắt đầu thấy những đối tượng xấu sử dụng EternalBlue để lấy mật khẩu từ trình duyệt và cài đặt chương trình đào tiền điện tử độc hại trên các thiết bị mục tiêu. "WannaCry đã tạo nên sự chấn động và trở thành tin đồn vì nó là ransomware, nhưng trước đó, những kẻ tấn công đã sử dụng cùng lợi dụng EternalBlue để nhiễm máy tính và chạy chương trình đào tiền trên chúng," chia sẻ Jérôme Segura, chuyên gia phân tích độc hại hàng đầu tại công ty an ninh Malwarebytes. "Chắc chắn có rất nhiều máy tính đang bị tiếp xúc ở một số mức độ nào đó."

Ngay cả một năm sau khi Microsoft phát hành bản vá, những kẻ tấn công vẫn có thể tin dùng vào lợi dụng EternalBlue để tấn công nạn nhân, bởi vì có quá nhiều máy tính vẫn không có bảo vệ đến ngày nay. "EternalBlue sẽ là công cụ lựa chọn cho những kẻ tấn công trong nhiều năm tới," nhận định Jake Williams, người sáng lập công ty an ninh Rendition Infosec, người trước đây làm việc tại NSA. "Đặc biệt là ở các mạng không kết nối và công nghiệp, việc vá lỗ hổng mất nhiều thời gian và có máy bị sót. Có rất nhiều máy XP và Server 2003 đã được loại khỏi các chương trình vá lỗ hổng trước khi bản vá cho EternalBlue được đưa lại cho những nền tảng không được hỗ trợ này."

Tính đến thời điểm này, EternalBlue đã chuyển hóa hoàn toàn thành một trong những công cụ thương hiệu nổi tiếng và phổ biến trong hộp công cụ của mỗi hacker - giống như công cụ lấy mật khẩu Mimikatz. Nhưng việc sử dụng rộng rãi của EternalBlue còn gắn liền với sự mỉa mai khi một công cụ nguyên mẫu tinh vi, mật mã của Mỹ, bây giờ lại trở thành cây còng của cộng đồng. Nó cũng thường xuyên được sử dụng bởi nhiều nhóm hacker của quốc gia, bao gồm những người thuộc nhóm Fancy Bear của Nga, họ đã bắt đầu triển khai EternalBlue vào năm ngoái như một phần của các cuộc tấn công nhắm mục tiêu để thu thập mật khẩu và dữ liệu nhạy cảm khác trên các mạng Wi-Fi của khách sạn.

Các ví dụ mới về việc sử dụng EternalBlue vẫn thường xuyên xuất hiện trong thực tế. Tháng 2, nhiều kẻ tấn công đã tận dụng EternalBlue để cài đặt phần mềm đào tiền điện tử trên máy tính và máy chủ nạn nhân, hoàn thiện kỹ thuật để làm cho các cuộc tấn công trở nên đáng tin cậy và hiệu quả hơn. "EternalBlue là lựa chọn lý tưởng cho nhiều kẻ tấn công vì nó chỉ để lại rất ít nhật ký sự kiện," hoặc dấu vết kỹ thuật số, như Jake Williams của Rendition Infosec lưu ý. "Cần phải sử dụng phần mềm của bên thứ ba để xem các cố gắng khai thác."

Và chỉ trong tuần trước, các nhà nghiên cứu an ninh tại Symantec công bố kết quả nghiên cứu về nhóm hacker Chafer đặt tại Iran, đã sử dụng EternalBlue như một phần của các hoạt động mở rộng. Trong năm qua, Chafer đã tấn công mục tiêu xung quanh Trung Đông, tập trung vào các nhóm vận tải như hãng hàng không, dịch vụ máy bay, công ty công nghệ công nghiệp và viễn thông.

"Điều đáng kinh ngạc là một công cụ từng được các dịch vụ tình báo sử dụng bây giờ đã công khai và được sử dụng rộng rãi giữa các đối tượng độc hại," Vikram Thakur, giám đốc kỹ thuật của đội phản ứng an ninh của Symantec nói. "Đối với [kẻ tấn công], đó chỉ là một công cụ giúp họ dễ dàng lan truyền qua mạng. Họ còn sử dụng những công cụ này để cố gắng tránh sự nhận biết. Điều này làm cho chúng tôi khó xác định xem kẻ tấn công đang ngồi ở quốc gia nào."

Sẽ mất nhiều năm trước khi đủ máy tính được vá chống lại EternalBlue và kẻ tấn công từ bỏ nó khỏi bộ vũ khí của họ. Ít nhất là đến bây giờ, các chuyên gia an ninh biết cách theo dõi nó - và đánh giá những sáng tạo thông minh mà những kẻ tấn công nghĩ ra để sử dụng lợi dụng trong nhiều loại tấn công khác nhau.

Dấu Ấn Xanh

• Trước khi một nhà nghiên cứu tình cờ phát hiện cách ngăn chặn sự lan truyền của nó, WannaCry được động viên bởi EternalBlue là cuộc tấn công ransomware khiến mọi người ác mộng
• Nghĩ rằng EternalBlue là tệ? Gặp gỡ Mimikatz, công cụ đánh cắp mật khẩu ma thuật
• Và tất cả mọi thứ đều về một vụ rò rỉ độc hại của Shadow Brokers đã gây ra thiệt hại nặng nề