Vượt xa Kaseya: Công cụ IT hàng ngày có thể mang lại 'Chế độ Thần' cho Hacker

Trên Internet, hơn một nghìn công ty đã dành cả tuần trời để khắc phục hậu quả của một vụ tấn công ransomware hàng loạt. Sau sự tấn công đầy tàn khốc vào công cụ quản lý IT phổ biến của Kaseya, các nhà nghiên cứu và chuyên gia an ninh đang cảnh báo rằng sự cố này không phải là một sự kiện duy nhất, mà là một phần của một xu hướng đáng lo ngại. Hacker ngày càng quan tâm đến toàn bộ loại công cụ mà quản trị viên sử dụng để quản lý từ xa hệ thống IT, nhìn thấy trong chúng những chiếc chìa khóa xương sống có thể mang lại quyền kiểm soát toàn bộ mạng của nạn nhân.

Từ một vụ nạn cung ứng do Trung Quốc tài trợ đến một cuộc tấn công không tinh vi vào một nhà máy xử lý nước ở Florida—và nhiều sự kiện ít nổi bật khác ở giữa—ngành an ninh đã chứng kiến một làn sóng tấn công ngày càng tăng sử dụng những công cụ quản lý từ xa được gọi là 'remote management tools'. Và tại hội nghị an ninh Black Hat trong tháng tới, một đôi nghiên cứu viên người Anh dự định trình bày các kỹ thuật mà họ đã phát triển như là những người kiểm thử xâm nhập cho công ty an ninh F-Secure, cho phép họ chiếm đoạt một công cụ phổ biến khác cùng loại—lần này tập trung vào Macs thay vì máy tính Windows—được biết đến với tên gọi là Jamf.

Giống như Kaseya, Jamf được các quản trị viên doanh nghiệp sử dụng để thiết lập và kiểm soát hàng trăm hoặc hàng nghìn máy tính trên các mạng IT. Luke Roberts và Calum Hall dự định trình bày những mánh khóe—hiện tại chỉ là các bài thể hiện kỹ thuật chứ không phải những bài kiểm tra thực tế mà họ đã thấy được sử dụng bởi hacker độc hại thực sự—sẽ cho phép họ nắm quyền kiểm soát công cụ quản lý từ xa để giám sát máy mục tiêu, trích xuất tệp từ chúng, lan truyền quyền kiểm soát từ một máy tính sang các máy khác và cuối cùng cài đặt malware, như những băng nhóm ransomware thường làm khi triển khai tải trọng làm hỏng máy tính.

Các kỹ thuật đó, hai nghiên cứu viên lẽ ra là ví dụ xuất sắc về một vấn đề lớn hơn: Những công cụ giúp quản trị viên dễ dàng quản lý mạng lưới lớn cũng có thể mang lại cho hacker những siêu năng lực tương tự. "Bộ phận của hạ tầng của bạn quản lý phần còn lại của hạ tầng của bạn là viên ngọc quý. Nó quan trọng nhất. Nếu một kẻ tấn công chiếm được nó, trò chơi kết thúc," nói Luke Roberts, người mới rời bỏ F-Secure để tham gia đội an ninh của công ty dịch vụ tài chính G-Research. "Lý do mà các đối tác ransomware đang tìm kiếm những thứ như Kaseya là vì chúng cung cấp quyền truy cập đầy đủ. Chúng giống như những vị thần của môi trường. Nếu chúng có điều gì đó trên một trong những nền tảng này, chúng có được bất cứ thứ gì chúng muốn."

Các kỹ thuật đánh cắp quản lý từ xa mà Roberts và Hall dự định trình bày tại Black Hat yêu cầu hacker phải có được một lối vào ban đầu trên máy tính mục tiêu. Nhưng khi đã đặt chân vào, kẻ tấn công có thể sử dụng chúng để mở rộng đáng kể quyền kiểm soát của mình trên thiết bị đó và chuyển sang các thiết bị khác trong mạng lưới. Trong một trường hợp, các nghiên cứu viên đã chứng minh rằng nếu họ đơn giản chỉnh sửa một dòng trong tệp cấu hình trên PC chạy Jamf, họ có thể làm cho nó kết nối với máy chủ Jamf độc hại của họ thay vì máy chủ chính thức của tổ chức mục tiêu. Thay đổi đó, họ chỉ ra, có thể đơn giản như giả mạo nhân viên IT và lừa đảo một nhân viên thay đổi dòng đó hoặc mở một tệp cấu hình Jamf được tạo ra độc hại được gửi trong một email lừa đảo. Bằng cách sử dụng Jamf làm kết nối điều khiển của họ đến máy mục tiêu, họ có thể tận dụng Jamf để giám sát đầy đủ máy tính mục tiêu, trích xuất dữ liệu từ nó, chạy các lệnh hoặc cài đặt phần mềm. Bởi vì phương pháp của họ không đòi hỏi cài đặt phần malware, nó cũng có thể tàng hình hơn nhiều so với Trojans truy cập từ xa trung bình.

Với một kỹ thuật thứ hai, hai nghiên cứu viên phát hiện họ có thể khai thác Jamf bằng cách giả mạo là một PC chạy phần mềm thay vì một máy chủ. Trong phương pháp xâm nhập đó, họ giả mạo một máy tính của tổ chức mục tiêu chạy Jamf, sau đó lừa đảo máy chủ Jamf của tổ chức đó để gửi máy tính đó một bộ chứa thông tin đăng nhập của người dùng. Những thông tin đăng nhập đó sau đó cho phép truy cập vào các máy tính khác trong tổ chức. Thông thường những thông tin đăng nhập đó được lưu trữ trong bộ nhớ của máy tính, nơi mà "bảo vệ tính toàn vẹn hệ thống" của Mac thường ngăn chặn hacker truy cập. Nhưng vì hacker đang chạy client Jamf trên máy tính của họ, họ có thể tắt SIP, trích xuất thông tin đăng nhập bị đánh cắp và sử dụng chúng để chuyển đến các máy tính khác trên mạng của tổ chức mục tiêu.

Khi Mytour liên hệ với Jamf để có ý kiến, Giám đốc An ninh thông tin chính của công ty, Aaron Kiemele, chỉ ra rằng nghiên cứu Black Hat không chỉ ra bất kỳ lỗ hổng bảo mật thực sự nào trong phần mềm của họ. Nhưng "hạ tầng quản lý," Kiemele bổ sung trong một tuyên bố, luôn có "sức hút đối với kẻ tấn công. Vì vậy, bất kỳ khi nào bạn sử dụng một hệ thống để quản lý nhiều thiết bị khác nhau, đưa ra kiểm soát quản trị, nó trở nên cần thiết phải cấu hình và quản lý một cách an toàn." Anh đề xuất người dùng Jamf tham khảo hướng dẫn này để "củng cố" môi trường Jamf thông qua các thay đổi cấu hình và thiết lập.

Mặc dù các nhà nghiên cứu trước đây của F-Secure tập trung vào Jamf, nó chỉ là một trong số những công cụ quản lý từ xa có thể là một bề mặt tấn công tiềm ẩn cho người xâm nhập, theo Jake Williams, một hacker trước đây của NSA và giám đốc công nghệ của công ty an ninh BreachQuest. Ngoài Kaseya, các công cụ như ManageEngine, inTune, NetSarang, DameWare, TeamViewer, GoToMyPC và những công cụ khác cũng đều là mục tiêu hấp dẫn tương tự. Chúng phổ biến, thường không bị hạn chế quyền trên máy tính mục tiêu, thường được miễn khỏi quét antivirus và bị bỏ qua bởi quản trị viên an ninh, có khả năng cài đặt chương trình trên số lượng lớn máy tính theo thiết kế. "Tại sao chúng lại dễ bị khai thác như vậy?" Williams đặt câu hỏi. "Bạn đang có quyền truy cập vào mọi thứ mà chúng quản lý. Bạn đang ở trong chế độ thần."

Trong những năm gần đây, Williams nói rằng anh đã thấy trong thực tế bảo mật của mình rằng hacker đã "lặp đi lặp lại" khai thác các công cụ quản lý từ xa, bao gồm Kaseya, TeamViewer, GoToMyPC và DameWare trong các xâm nhập nhắm mục tiêu vào khách hàng của mình. Anh làm rõ rằng điều này không phải là vì tất cả những công cụ đó có lỗ hổng có thể hack được, mà là vì hacker sử dụng chức năng hợp pháp của chúng sau khi đã có một số quyền truy cập vào mạng của nạn nhân.

Trên thực tế, các trường hợp khai thác quy mô lớn của những công cụ đó đã bắt đầu sớm, vào năm 2017, khi một nhóm hacker nhà nước Trung Quốc thực hiện một cuộc tấn công chuỗi cung ứng phần mềm vào công cụ quản lý từ xa NetSarang, xâm phạm công ty Hàn Quốc đứng sau phần mềm đó để giấu mã backdoor của họ vào đó. Chiến dịch hack SolarWinds nổi tiếng hơn, trong đó các điệp viên Nga giấu mã độc hại trong công cụ giám sát IT Orion để xâm nhập ít nhất chín cơ quan liên bang Hoa Kỳ, một mức độ nào đó cũng thể hiện mối đe dọa tương tự. (Mặc dù Orion kỹ thuật số là một công cụ giám sát, không phải là phần mềm quản lý, nhưng nó có nhiều tính năng tương tự, bao gồm khả năng chạy lệnh trên các hệ thống mục tiêu.) Trong một vụ việc xâm nhập vụng trộm nhưng đáng sợ khác, một hacker đã sử dụng công cụ quản lý và truy cập từ xa TeamViewer để truy cập vào hệ thống của một nhà máy xử lý nước nhỏ ở Oldsmar, Florida, cố gắng—và thất bại—để đổ lượng lớn chất kiềm nguy hiểm vào nguồn nước của thành phố.

Mặc dù có thể làm cho công cụ quản lý từ xa trở nên khó khăn, việc từ bỏ chúng không phải là một lựa chọn cho nhiều quản trị viên phụ thuộc vào chúng để giám sát mạng của họ. Trên thực tế, nhiều doanh nghiệp nhỏ không có đội ngũ IT đầy đủ thường cần chúng để duy trì kiểm soát trên tất cả máy tính của họ, mà không có sự giúp đỡ của giám sát thủ công hơn. Mặc dù có các kỹ thuật họ sẽ trình bày tại Black Hat, Roberts và Hall cho rằng Jamf vẫn có khả năng tích cực đối với bảo mật trong hầu hết các mạng nơi nó được sử dụng, vì nó cho phép quản trị viên chuẩn hóa phần mềm và cấu hình hệ thống và duy trì chúng được vá và cập nhật. Thay vào đó, họ hy vọng đẩy nhà cung cấp công nghệ bảo mật như hệ thống phát hiện điểm cuối để theo dõi loại khai thác công cụ quản lý từ xa mà họ đang thể hiện.

Tuy nhiên, đối với nhiều loại khai thác công cụ quản lý từ xa, việc phát hiện tự động như vậy là không thể, theo Jake Williams của BreachQuest. Hành vi dự kiến của các công cụ—liên lạc với nhiều thiết bị trên mạng, thay đổi cấu hình, cài đặt chương trình—đơn giản là quá khó để phân biệt với hoạt động độc hại. Thay vào đó, Williams cho rằng đội ngũ an ninh nội địa cần phải học cách theo dõi việc khai thác của các công cụ và sẵn sàng tắt chúng, như nhiều người đã làm khi tin đồn về một lỗ hổng trong Kaseya lan rộ tuần trước. Nhưng anh ta thừa nhận đó là một giải pháp khó khăn, bởi vì người dùng của các công cụ quản lý từ xa thường không thể chi trả cho những đội ngũ nội địa đó. "Ngoại trừ việc ở tại chỗ, sẵn sàng phản ứng, để giảm thiểu bán kính tác động, tôi nghĩ không có nhiều lời khuyên tốt," Williams nói. "Đó là một tình huống khá u ám."

Tuy nhiên, quản trị viên mạng nên tốt, ít nhất, bắt đầu bằng cách hiểu rõ về sức mạnh của công cụ quản lý từ xa của họ có thể trở nên trong tay sai lầm—một sự thật mà những người sẽ lạm dụng chúng bây giờ dường như hiểu rõ hơn bao giờ hết.

Những bài viết tuyệt vời khác từ Mytour

• 📩 Nhận những thông tin mới nhất về công nghệ, khoa học, và nhiều hơn nữa: Đăng ký nhận bản tin của chúng tôi!
• Khi đại dịch động vật tiếp theo xảy ra, liệu phòng thí nghiệm này có thể ngăn chặn nó không?
• Netflix vẫn chiếm ưu thế, nhưng nó đang mất đi sự hấp dẫn
• Chiến dịch bảo mật của Windows 11 để lại hàng loạt máy tính phía sau
• Có thể bạn sửa chỉnh hiệu ứng đặc biệt hấp dẫn ngay tại nhà
• Đ dogma thời kỳ Gen X thời thời của Reagan không còn chỗ đứng ở Silicon Valley
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
• 🎮 Mytour Games: Nhận những mẹo, đánh giá và nhiều hơn nữa
• ✨ Tối ưu hóa cuộc sống gia đình của bạn với những lựa chọn tốt nhất của đội ngũ Gear chúng tôi, từ máy hút bụi robot đến nệm giá rẻ đến loa thông minh