Buzz
Hacking Team, một tổ chức gián điệp nổi tiếng của Ý, đã bị xâm nhập và mã nguồn của công cụ gián điệp Stealthy Spyware đã bị đánh cắp, cho phép thực hiện các hoạt động theo dõi một cách lén lút mà khó bị phát hiện, khi chúng tấn công vào hệ thống UEFI của máy tính. Và theo một báo cáo mới đây từ hai nhà nghiên cứu, họ đã phát hiện công cụ gián điệp này đã lọt vào tay những tin tặc Trung Quốc.
Spyware này được phát triển dựa trên một công cụ hack của Hacking Team tên là VectorEDK. Tuy nhiên, Hacking Team hiện không còn tồn tại, vì năm 2015 Hacking Team đã bị tấn công bởi một tổ chức khác tên là Phineas Fisher, tổ chức này đã làm rò rỉ rất nhiều dữ liệu của Hacking Team, trong đó có cả VectorEDK, công cụ này ban đầu được thiết kế để sử dụng quyền truy cập vật lý vào máy mục tiêu, nhưng sau đó đã được tái sử dụng lại và có một số tùy biến mới, giúp cho spyware mới
Hai nhà nghiên cứu Mark Lechnik và Igor Kuznetsov đã dự định công bố nghiên cứu của mình về việc này thông qua sự kiện trực tuyến Kaspersky Security Analyst, khi hai người phát hiện phần mềm độc hại này trên PC của hai khách hàng của Kaspersky. Kaspersky còn nói thêm rằng đối tượng cũng như nạn nhân mà spyware này hướng đến là các nhà ngoại giao ở châu Á, châu Âu và châu Phi, đáng chú ý hơn là những người này đều từng làm việc những vấn đề liên quan đến Triều Tiên.
Điểm đặc biệt và đáng lo ngại của Stealthy Spyware là chúng được thiết kế để tấn công vào hệ thống UEFI của máy tính, thường dùng để load hệ điều hành cho máy tính, mà UEFI được xem như một hệ điều hành tối giản, nằm trên một con chip được đóng trên bo mạch chủ của máy tính và không dính dáng tới ổ cứng. Cho nên, việc xóa hết dữ liệu hoặc cài lại hệ điều hành cũng chưa chắc hiệu quả, vì chúng vẫn còn nằm ở đó, chính vì vậy mà việc phát hiện ra nó và xử lý triệt để rất khó khăn.
Tiền thân là phần mềm gián điệp VectorEDK
Spyware này được phát triển dựa trên một công cụ hack của Hacking Team tên là VectorEDK. Tuy nhiên, Hacking Team hiện không còn tồn tại, vì năm 2015 Hacking Team đã bị tấn công bởi một tổ chức khác tên là Phineas Fisher, tổ chức này đã làm rò rỉ rất nhiều dữ liệu của Hacking Team, trong đó có cả VectorEDK, công cụ này ban đầu được thiết kế để sử dụng quyền truy cập vật lý vào máy mục tiêu, nhưng sau đó đã được tái sử dụng lại và có một số tùy biến mới, giúp cho spyware mới
Hai nhà nghiên cứu Mark Lechnik và Igor Kuznetsov đã dự định công bố nghiên cứu của mình về việc này thông qua sự kiện trực tuyến Kaspersky Security Analyst, khi hai người phát hiện phần mềm độc hại này trên PC của hai khách hàng của Kaspersky. Kaspersky còn nói thêm rằng đối tượng cũng như nạn nhân mà spyware này hướng đến là các nhà ngoại giao ở châu Á, châu Âu và châu Phi, đáng chú ý hơn là những người này đều từng làm việc những vấn đề liên quan đến Triều Tiên.
Cách thức tấn công của spyware mới
Điểm đặc biệt và đáng lo ngại của Stealthy Spyware là chúng được thiết kế để tấn công vào hệ thống UEFI của máy tính, thường dùng để load hệ điều hành cho máy tính, mà UEFI được xem như một hệ điều hành tối giản, nằm trên một con chip được đóng trên bo mạch chủ của máy tính và không dính dáng tới ổ cứng. Cho nên, việc xóa hết dữ liệu hoặc cài lại hệ điều hành cũng chưa chắc hiệu quả, vì chúng vẫn còn nằm ở đó, chính vì vậy mà việc phát hiện ra nó và xử lý triệt để rất khó khăn.
Nhóm tin tặc nói tiếng Trung có thể là những người đứng sau vụ việc này
Về danh tính hoặc quốc tịch của những tin tặc đứng sau spyware mới này, Kaspersky chỉ có ít manh mối, không đủ chứng cứ để kết luận về một nhóm cụ thể. Tuy nhiên, các nhà nghiên cứu nhận thấy nhiều dấu vết ngôn ngữ trong mã của tin tặc: một số gợi ý cho thấy họ đã sử dụng tiếng Hàn hoặc tiếng Trung, và một số khác cho thấy rõ ràng hơn rằng họ đã viết bằng tiếng Trung giản thể, thường được sử dụng ở Trung Quốc đại lục. Tin tặc dường như đã sử dụng một công cụ tạo tài liệu gọi là Royal Road, phổ biến trong cộng đồng tin tặc nói tiếng Trung. Cuối cùng, Kaspersky chỉ trỏ tới một bài blog của ProtectWise, đề cập đến các nhóm tin tặc Trung Quốc, thường được biết đến với các tên gọi như Winnti và APT 41. Tuy nhiên, 5 trong số các tin tặc này đã bị truy tố hồi tháng trước và bị cáo buộc làm việc cho Bộ An Ninh Trung Quốc.
Đây không phải là lần đầu tiên spyware kiểu này được sử dụng
Ngoài nhóm tin tặc Trung Quốc và Hacking Team, các loại spyware như VectorEDK và một số loại mà tin tặc Trung Quốc sử dụng đã được sử dụng trước đây. Năm 2018, công ty an ninh mạng ESET phát hiện một nhóm tin tặc Nga có tên là Fancy Bear hoặc APT28 sử dụng LoJack, một dạng của spyware này để hack hệ thống UEFI của các nạn nhân. WikiLeaks cũng đã tiết lộ một loạt tài liệu bí mật của CIA, sử dụng công cụ hack này với tên gọi là Vault 7, để tấn công các máy tính mục tiêu thông qua cổng Thunderbolt, hoặc những vụ tấn công WannaCry và NotPetya gây thiệt hại hàng tỷ đô la. Điều này chỉ ra rằng, sự nguy hiểm và rủi ro là gì nếu những công cụ này không được kiểm soát một cách hiệu quả. Kaspersky hy vọng rằng với nghiên cứu và phát hiện mới, các công ty bảo mật và nhà sản xuất máy tính sẽ chú trọng hơn vào những phần mềm bảo mật hệ thống như BIOS và UEFI, giúp giảm thiểu những lỗ hổng có thể bị hacker tận dụng với mục đích xấu.
Theo Wired.
