FBI Thực Hiện Bước Đột Phá Để Chống Cuộc Săn Lùng Hack của Trung Quốc

Vào ngày 2 tháng 3, Microsoft cảnh báo thế giới rằng một nhóm hacker do Trung Quốc tài trợ nhà nước có tên là Hafnium đã xâm nhập vào những máy chủ Microsoft Exchange, ảnh hưởng đến hàng ngàn máy chủ trong một chiến dịch tấn công kéo dài vài tuần. Mặc dù Microsoft nhanh chóng phát hành một bản vá, không phải mọi nạn nhân đều cập nhật hệ thống của họ, và hàng trăm máy chủ vẫn bị lộ. Một tháng sau đó, Bộ Tư pháp đã tiết lộ, FBI đã thực hiện những bước đột phá đặc biệt để bảo vệ những người vẫn còn nguy cơ.

Tài liệu tòa án được công bố trong tuần này cho thấy rằng FBI đã có được một lệnh tìm kiếm để sao chép và xóa những cái gọi là web shells—về cơ bản là một lối vào vào hệ thống mà hacker có thể sử dụng để gửi lệnh từ xa hoặc phần mềm độc hại—từ hàng trăm nạn nhân của Hafnium. Mặc dù cuộc hành động này có vẻ đơn giản ở mức kỹ thuật, nhưng nó thiết lập một tiền lệ vừa gây tranh cãi vừa mang đến sự kiểm soát mới mẻ.

“Đây là một phương pháp mới lạ,” April Doss, cựu luật sư NSA hiện đang làm việc tại Viện Luật Công Nghệ và Chính Sách Công Nghệ tại Trường Luật Georgetown, nhận định. “Tôi nghĩ chúng ta sẽ thấy nó được sử dụng lại, nhưng tôi hy vọng chúng ta sẽ thấy nó được sử dụng lại với sự phân tích cẩn thận.”

Quả Bom Đang Đếm Ngược

Thay vì lựa chọn cẩn thận các mục tiêu có giá trị, Hafnium lùng sục internet để tìm các máy chủ Microsoft Exchange dễ bị tổn thương và lây nhiễm càng nhiều càng tốt, gom đủ ít nhất là 30,000 nạn nhân chỉ ở Mỹ và hàng trăm nghìn trên toàn thế giới. Một tình hình hỗn loạn. 

Nhưng cũng không tồi như những con số trên làm cho nó trở nên. Hafnium sử dụng quyền truy cập của mình trong cuộc quét ban đầu đó để cài đặt web shells, cho phép nó quay trở lại sau này để gây thiệt hại thực sự. Nó về cơ bản để lại cho mình 30,000 chiếc chìa khóa dưới 30,000 thảm cửa, và sau đó sẽ xác định xem đối tượng nào thực sự quan trọng với nó. Một số lượng không đồng đều các nạn nhân của Hafnium có vẻ là doanh nghiệp nhỏ đến trung bình, có xu hướng sử dụng máy chủ Exchange riêng biệt trên nơi làm việc cho nhu cầu email của họ. Hầu hết các tập đoàn lớn chạy email của họ trong đám mây. Do đó, Hafnium có lẽ không quan tâm nhiều đến nhiều đối tượng nó tấn công. (Tuy nhiên, những hacker tống tiền cơ hội đã nhảy vào lỗ hổng mà Hafnium tạo ra.)

Theo tất cả các báo cáo, cuộc đua để vá máy chủ Exchange đã thành công lớn, nhờ phần nào vào công cụ một nhấp mà Microsoft phát hành khoảng một tháng trước. Nhưng một lần nữa, những nạn nhân chủ yếu chủ yếu là các doanh nghiệp nhỏ và trung bình. Nhiều trong số họ không có tài nguyên để khắc phục một mối đe dọa an ninh mạng lớn; một số có thể thậm chí không nhận ra họ có một máy chủ Exchange bị tiếp xúc lộ trước. Trong khi đó, việc vá bảo vệ khỏi nhiễm trùng trong tương lai, nhưng nó không loại bỏ web shell đã xâm nhập trước đó. Và vì vậy, những web shell ẩn mình, đợi lấy lệnh từ những hacker đã đặt chúng đó, sẵn sàng gây hại.

“Bạn có thể tưởng tượng nếu có một tình huống mà một băng nhóm tội phạm đã đặt bom vật lý trong các tài sản lan rộng trên nửa tá bang,” Doss nói. “Nếu chủ sở hữu tài sản không thể liên lạc được, hoặc đang ở xa và không thể đến đó để thực hiện bất kỳ hành động nào, hoặc không có khả năng kỹ thuật để tìm hoặc ngăn chặn vật liệu nổ, Bộ Tư pháp sẽ làm gì? Họ sẽ có một lệnh cho FBI để thực hiện.”

Điều này đã xảy ra vào thứ Sáu qua, khi một thẩm phán đã ban hành lệnh cho FBI để gỡ bỏ những cái gọi là web shells, mà cuối cùng không phải là một công việc đặc biệt khó khăn. “Phần kỹ thuật của nó chỉ là khoảng 0.5 phần trăm của công việc,” Matt Tait, một cựu nhân viên phân tích tình báo người Anh, hiện là giám đốc điều hành tại Corellium, một công ty nghiên cứu ảo hóa và an ninh. Một web shell có một URL và, trong trường hợp này, một mật khẩu đi kèm. FBI có quyền truy cập cả hai, có lẽ thông qua thông tin đe dọa và các đối tác khác. Tất cả nhà nước cần làm là truy cập web shell, nhập mật khẩu và gửi một lệnh đến máy chủ với nội dung là “xóa tôi.” Vấn đề đã được giải quyết.

“Nếu các máy chủ Microsoft Exchange mà họ tương tác với đã được vá đầy đủ và họ thực sự xóa tất cả web shells trên các máy chủ cửa sau, đó nên là khá hiệu quả,” Steven Adair, người sáng lập công ty an ninh Volexity, người đầu tiên xác định cuộc tấn công của Hafnium, nói. “Giả sử những máy chủ Microsoft Exchange này chỉ là cửa sau với web shells, chúng thực sự là con mồi dễ bắn. Những hành động này có thể tiềm ẩn sự an toàn cho những tổ chức này khỏi tổn thất trong tương lai.”

Có hai điều chú ý quan trọng ở đây. Thứ nhất, việc loại bỏ một web shell không loại bỏ bất kỳ phần mềm độc hại nào có thể đã xâm nhập trước đó, hoặc trả lại bất kỳ dữ liệu nào đã bị đánh cắp. Thứ hai, nếu các lỗ hổng cơ bản vẫn tồn tại trên hệ thống, ai đó có thể luôn có thể cài đặt một web shell khác.

Trong những hạn chế đó, Tait nhận thấy một mức độ kiềm chế đáng khích lệ từ phía FBI. “Những gì họ đang làm thực sự là không bình thường hẹp,” ông nói. FBI có thể đã yêu cầu quét ransomware hoặc vật liệu bất hợp pháp có thể xuất hiện trên máy chủ, hoặc vá các máy chủ vẫn còn dễ bị tổn thương. “Sau đó, tôi nghĩ bạn sẽ gặp nhiều lo ngại về quyền riêng tư nghiêm trọng hơn, như FBI có đang lợi dụng điều này để tìm kiếm các tội ác khác không?” 

Thay vào đó, cơ quan đã thực hiện và giải kích nổ, và rời khỏi.

Những Quy Tắc Mới

Năm nay, một cuộc chiến như vậy sẽ rất khó có thể xảy ra, nếu không thể nói là không thể. Tuy nhiên, vào tháng 12 năm 2016, Quy tắc Thủ tục Hình sự Liên bang đã được cập nhật để làm cho các lệnh tìm kiếm và tịch thu có thể áp dụng rộng rãi hơn đối với tội phạm mạng. Thay vì phải đăng ký lệnh tìm kiếm ở mỗi quận tòa án nơi hoạt động bất hợp pháp nghi ngờ xảy ra, lực lượng thực thi pháp luật có thể nhận sự chấp thuận cho những nỗ lực rộng lớn từ một thẩm phán duy nhất, miễn là các quan chức có thể chứng minh rằng hoạt động đã diễn ra trong năm hoặc nhiều hơn quận.

“Sự không phù hợp lớn luôn nằm ở chỗ các quy tắc pháp lý được liên kết với địa lý vật lý và các hoạt động mạng mở rộng ra ngoài,” Doss nói. Các lỗ hổng của một mục tiêu quan trọng hơn với hacker so với việc họ ở trong tiểu bang nào, đặc biệt là đối với các cuộc tấn công quy mô lớn, như cuộc tấn công máy chủ Exchange của Hafnium hoặc SolarWinds hoặc việc tạo ra một botnet. 

Trên thực tế, FBI đã sử dụng quyền lực này trước đó, mặc dù có vẻ là hạn chế. Trong các trường hợp trước đó đã trở thành công khai, nó tập trung vào việc làm phiền botnets hoạt động thay vì bảo vệ đề phòng. FBI cũng thường nhắm vào bộ điều khiển botnet để gửi tín hiệu ra, trong khi trong trường hợp của Hafnium, cơ quan này đã sử dụng web shells trên các máy chủ riêng tư để gửi một lệnh về nhà. 

“Nói chung, những hoạt động này liên quan đến lực lượng thực thi pháp luật nắm quyền kiểm soát một máy chủ điều khiển với sự giúp đỡ của đối tác và đưa ra lệnh để cắt đứt quyền truy cập vào các máy nhiễm tạo nên botnet,” Katie Nickels, giám đốc tình báo tại công ty an ninh Red Canary, nói. “Trong trường hợp này, FBI đang có quyền truy cập vào các máy chủ Exchange thuộc sở hữu của nạn nhân, sao chép web shells từ chúng và sau đó xóa những web shells đó. Sự phân biệt này quan trọng vì các hành động của web shell làm xâm phạm hơn.” 

“FBI sẽ tiếp tục sử dụng tất cả các công cụ có sẵn cho chúng tôi như cơ quan hàng đầu trong lĩnh vực thực thi pháp luật và tình báo nội địa để đưa ra trách nhiệm cho các đối tượng tội phạm mạng độc hại vì hành động của họ,” Tonya Ugoretz, giám đốc phó trưởng Phòng An ninh Mạng của FBI nói. 

Mỗi khi lực lượng thực thi pháp luật thử nghiệm điều gì đó mới—hoặc ít nhất là đưa ra một cách mới cho một kịch bản cũ—những đỉnh trơn tự nhiên trở thành mối quan ngại. Lần này không khác biệt. Các bước co giãn trong tương lai sẽ đáng được xem xét, nhưng lần này ít nhất FBI có vẻ đã chọn phạm vi hẹp nhất có thể cho một lợi ích lớn nhất có thể.

“Điều này là chính phủ nói rằng trong khu vực này, tư nhân không thể tự bảo vệ được bản thân,” Doss nói, “nên chúng tôi sẽ làm điều đó.”

Những Tuyệt Vời Khác của MYTOUR

• 📩 Cập nhật mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
• Khi ông chủ của tất cả các ứng dụng hẹn hò gặp đại dịch
• Di chuyển với các ứng dụng và dịch vụ tập thể dục yêu thích của chúng tôi
• Tại sao che phủ kênh với tấm pin mặt trời là một động thái quyền lực
• Làm thế nào để ngăn người xa lạ gần kế bên gửi tệp tin cho bạn
• Giúp đỡ! Tôi có nên nói với đồng nghiệp rằng tôi nằm trong phổ không?
• 👁️ Khám phá AI như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
• 🎮 MYTOUR Games: Nhận các mẹo, đánh giá và nhiều hơn nữa
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Kiểm tra các lựa chọn của đội ngũ Gear chúng tôi cho bộ theo dõi sức khỏe tốt nhất, đồ trải nghiệm chạy (bao gồm giày và tất), và tai nghe tốt nhất