Sự Kiện Phần Mềm Độc Hại CCleaner Nhắm Vào Ít Nhất 18 Công Ty Công Nghệ

Cập Nhật: Ngày 25 tháng 9, Avast xác nhận rằng trong số 18 công ty bị nhắm mục tiêu, tổng cộng có 40 máy tính bị nhiễm độc hại thứ cấp tại các công ty sau: Samsung, Sony, Asus, Intel, VMWare, O2, Singtel, Gauselmann, Dyn, Chunghwa và Fujitsu.

Hàng trăm nghìn máy tính bị xâm nhập bởi phiên bản bị hỏng của một phần mềm bảo mật phổ biến chưa bao giờ kết thúc tốt. Nhưng bây giờ trở nên rõ ràng hơn về mức độ tồi tệ của kết quả từ đợt bùng phát độc hại của CCleaner gần đây. Các nhà nghiên cứu hiện tin rằng những kẻ tấn công đằng sau không chỉ muốn tạo ra nhiễm trùng hàng loạt, mà còn muốn thực hiện gián điệp có mục tiêu, cố gắng truy cập vào mạng của ít nhất 18 công ty công nghệ.

Trong tuần này, các công ty bảo mật Morphisec và Cisco tiết lộ rằng CCleaner, một phần mềm bảo mật do công ty Czech Avast phân phối, đã bị hack và bị cài đặt một lối vào mà tránh được kiểm tra bảo mật của công ty. Nó đã được cài đặt trên hơn 700,000 máy tính. Vào thứ Tư, các nhà nghiên cứu tại bộ phận bảo mật Talos của Cisco tiết lộ rằng họ đã phân tích máy chủ "command-and-control" của những phiên bản độc hại kết nối đến.

Trên máy chủ đó, họ tìm thấy bằng chứng cho thấy những kẻ tấn công đã cố gắng lọc bộ sưu tập máy nạn nhân có lỗ hổng để tìm máy tính trong mạng của 18 công ty công nghệ, bao gồm Intel, Google, Microsoft, Akamai, Samsung, Sony, VMware, HTC, Linksys, D-Link và cả Cisco chính. Trong khoảng một nửa trong những trường hợp đó, theo Craig Williams, quản lý nghiên cứu của Talos, những kẻ tấn công đã thành công tìm thấy một máy tính mà họ đã xâm nhập trong mạng của công ty và sử dụng lối vào của họ để lây nhiễm thêm một loại malware khác được thiết kế để làm làm nền sâu hơn, một thứ mà Cisco hiện tin rằng có khả năng được dùng cho gián điệp công nghiệp.²

"Khi chúng tôi ban đầu phát hiện ra điều này, chúng tôi biết rằng nó đã xâm nhiễm nhiều công ty," nói Williams. "Bây giờ chúng tôi biết rằng đây đang được sử dụng như một lưới đánh cá để nhắm vào những [công ty] này trên toàn thế giới... để có được lối vào trong những công ty có những thứ có giá để đánh cắp, kể cả Cisco rất đáng tiếc."

Một Lưới Rộng

Cisco nói rằng họ đã có được bản sao kỹ thuật số của máy chủ điều khiển và kiểm soát của những kẻ tấn công từ một nguồn không tên liên quan đến cuộc điều tra về CCleaner. Máy chủ chứa một cơ sở dữ liệu của mọi máy tính bị nhiễm độc hại đã "liên lạc về nhà" với máy chủ của kẻ tấn công từ ngày 12 đến 16 tháng 9. Điều này bao gồm hơn 700,000 máy tính, giống như Avast đã nói trong những ngày kể từ khi công ty đầu tiên tiết lộ sự cố CCleaner của mình. (Ban đầu, công ty đưa ra con số cao hơn nhiều, là 2,27 triệu.) Nhưng cơ sở dữ liệu cũng cho thấy danh sách các miền cụ thể mà những kẻ tấn công cố gắng cài đặt tải trọng độc hại thứ cấp của họ, cũng như những miền nhận được nhiễm nhiễm thứ hai đó.

Tải Trọng Độc Hại Thứ Cấp đã nhắm tới 18 công ty, nhưng Williams lưu ý rằng một số công ty có nhiều hơn một máy tính bị xâm phạm, và một số không có máy tính nào bị tấn công. Ông từ chối nói rõ công ty nào đã bị xâm phạm, nhưng Cisco cho biết họ đã thông báo cho tất cả các công ty bị ảnh hưởng về cuộc tấn công.

Williams cũng lưu ý rằng danh sách mục tiêu mà Cisco tìm thấy có vẻ không đầy đủ; nó có vẻ đã bị "chỉnh sửa," ông nói. Nó có thể đã bao gồm bằng chứng của các mục tiêu khác, đã bị xâm phạm hoặc không, mà những kẻ tấn công đã cố gắng lây nhiễm bằng tải trọng độc hại thứ cấp của họ trong giai đoạn một tháng khi phiên bản bị hỏng của CCleaner được phân phối. "Rất có khả năng họ đã sửa đổi điều này qua chiến dịch kéo dài một tháng, và hầu như chắc chắn rằng họ đã thay đổi danh sách khi họ tiến triển và có thể đã nhắm vào thêm nhiều công ty hơn," Williams nói.

Trong bài viết cập nhật vào sáng thứ Năm, Avast xác nhận thông tin của Cisco và xác nhận rằng có tám trong số 18 công ty mục tiêu đã bị kẻ tấn công xâm phạm. Nhưng công ty cũng viết rằng tổng số công ty bị hại "rất có thể ít nhất trong hàng trăm."¹

Danh sách mục tiêu đó mang đến một chiều sâu mới trong việc phân tích cuộc tấn công CCleaner, một chiều sâu đưa nó từ việc có thể đã là một kế hoạch tội phạm mạng thông thường thành một chiến dịch gián điệp có thể được tài trợ bởi nhà nước, với việc đặt một lưới rộng và sau đó lọc nó để chọn lọc những nạn nhân cụ thể trong ngành công nghiệp công nghệ. Cả Cisco và công ty bảo mật Kaspersky đều chỉ ra rằng phần độc hại trong phiên bản bị hỏng của CCleaner chia sẻ một số mã với một nhóm hacker tinh vi được biết đến với tên là Nhóm 72, hoặc Axiom, mà công ty bảo mật Novetta đã đặt tên là một hoạt động của chính phủ Trung Quốc vào năm 2015.

Cisco thừa nhận rằng việc tái sử dụng mã chưa đủ để xác định liên kết chắc chắn giữa cuộc tấn công CCleaner và Axiom, chưa kể đến Trung Quốc. Nhưng họ cũng lưu ý rằng một tệp cấu hình trên máy chủ của những kẻ tấn công được đặt theo múi giờ của Trung Quốc—mặc dù vẫn thừa nhận rằng đó không đủ để có thể đặt trách nhiệm.

Vấn Đề Chuỗi Cung Ứng

Đối với bất kỳ công ty nào có thể đã cài đặt phiên bản bị hỏng của CCleaner trên mạng của họ, Cisco cảnh báo rằng các phát hiện của họ chỉ đơn giản là xóa ứng dụng đó không đảm bảo rằng cổng sau của CCleaner không được sử dụng để lây nhiễm một phần mềm độc hại thứ cấp khác vào mạng của họ, với máy chủ điều khiển và điều khiển riêng biệt vẫn còn hoạt động. Thay vào đó, các nhà nghiên cứu khuyến nghị rằng bất kỳ người bị ảnh hưởng nào nên khôi phục đầy đủ máy tính của họ từ phiên bản dự phòng trước khi cài đặt chương trình bảo mật bị lẫn vào của Avast. "Nếu bạn không khôi phục hệ thống từ bản dự phòng, bạn có rủi ro cao không làm sạch hết điều này," Williams nói.

Kích thước chính xác của cuộc tấn công CCleaner có lẽ sẽ tiếp tục được vẽ lại, khi phân tích tiếp tục. Nhưng nó đã đại diện cho một ví dụ nghiêm trọng khác trong chuỗi các cuộc tấn công chuỗi cung ứng phần mềm mà gần đây đã làm rúng động Internet. Hai tháng trước đó, các hacker đã nắm giữ cơ chế cập nhật của phần mềm kế toán Ukraina MeDoc để triển khai một phần mềm hủy diệt được biết đến với tên là NotPetya, gây thiệt hại lớn cho các công ty tại Ukraina cũng như ở châu Âu và Hoa Kỳ. Trong trường hợp đó, cũng như trong cuộc tấn công CCleaner, nạn nhân đã cài đặt phần mềm có vẻ hợp lệ từ một công ty nhỏ nhưng đáng tin cậy, chỉ để phát hiện ra rằng nó đã bị lẫn vào một cách âm thầm, lây nhiễm sâu vào hệ thống IT của họ.

Trong những ngày sau cuộc tấn công NotPetya, nhiều người trong cộng đồng nghiên cứu bảo mật đã thay đổi đánh giá về cuộc tấn công từ một đợt bùng nổ ransomware tội phạm thành một thứ gì đó nguy hiểm hơn, được nhắm mục tiêu và được tạo ra bởi các hacker thuộc quốc gia. Bây giờ, dường như bí ẩn xung quanh cuộc tấn công CCleaner đang di chuyển theo hướng khó chịu tương tự.

¹Cập nhật 9/21/2017 11:15 sáng với một bình luận từ Avast.²Sửa 9/21/2017 1:08 chiều để thay đổi số công ty mục tiêu tổng cộng thành 18. Trong khi Cisco ban đầu đã báo cáo là 20, con số đó đã đếm một số miền khác nhau của các công ty một cách riêng biệt.³Cập nhật 9/25/2017 4:20 chiều EST với thông tin bổ sung từ Avast.