Hacker Nga tạo ra malware "bất tử", cài lại hệ điều hành và thay ổ cứng vẫn không thoát

Dù có nhiều lý thuyết đề cập đến loại hình tấn công này trước đây, nhưng đây là lần đầu tiên loại malware nhắm đến UEFI này xuất hiện trong thế giới thực.

Hãng bảo mật ESET đã phát hiện ra một malware cực kỳ nguy hiểm, có tên Lojax, đang lây nhiễm vào máy tính nạn nhân những đoạn code độc hại, nhiều khả năng đến từ một nhóm hacker có tên Fancy Bear - một nhóm hacker nổi tiếng đến từ Nga .

Cuộc tấn công này nhắm vào phần mềm UEFI của máy tính. UEFI là tên viết tắt của giao diện Unified Extensible Firmware Interface, một phiên bản nâng cấp của BIOS trước đây, được sử dụng để khởi động hệ thống. Bằng cách viết lại UEFI, malware có thể tồn tại lâu dài trong bộ nhớ flash của máy tính, cho phép nó sống sót ngay cả khi cài đặt lại hệ điều hành và thay ổ cứng.

Loại bỏ malware này đồng nghĩa với việc viết đè lên bộ nhớ của ổ lưu trữ flash, "một hành động không thường được thực hiện và chắc chắc không dành cho người dùng phổ thông," ESET cho biết trong bài đăng trên blog của mình.

Hacker Nga tạo ra malware bất tử, cài lại hệ điều hành và thay ổ cứng vẫn không thoát - Ảnh 1.

ESET không tiết lộ chủ sở hữu của máy tính bị nhiễm mã độc, nhưng hãng bảo mật này cho biết, họ đã phát hiện ra Fancy Bear đang sử dụng các thành phần khác nhau của malware Lojax trên những máy tính thuộc các tổ chức chính phủ ở các quốc gia vùng Balkan, vùng Trung và Đông Âu.

Theo ESET, Lojax là rootkit đầu tiên nhắm mục tiêu đến UEFI từng bị phát hiện khi đang tấn công vào một hệ thống máy tính trong thế giới thực. Trước đây, các chuyên gia chủ yếu xem các rootkit UEFI như một dạng tấn công trong lý thuyết, cho dù đã có các bằng chứng cho thấy những hãng bảo mật tư nhân đang bán các công cụ hack cho các khách hàng chính phủ.

"Có thể xem nó như một thông điệp cảnh báo, đặc biệt là với tất cả những ai trong tầm ngắm của Fancy Bear." ESET cho biết. Nhóm hacker này, còn được biết đến dưới tên Sednit, bị chỉ trích vì một loạt các cuộc tấn công vào các nhóm chính phủ, bao gồm cả vụ rò rỉ thông tin trong mạng máy tính của Ủy bản Dân chủ Quốc gia trong chiến dịch tranh cử tổng thống Mỹ năm 2016.

ESET cho biết hành vi của Lojax bắt chước một công cụ phần mềm hợp pháp có tên Lojack, một sản phẩm chống trộm cắp cũng rất khó có thể loại bỏ khỏi máy tính PC. "Trong khi mục đích của phần mềm này là để bảo vệ hệ thống khỏi kẻ trộm, khả năng sống sót qua việc cài lại hệ điều hành và thay ổ cứng là rất quan trọng. Vì vậy nó được triển khai như một module trong UEFI/BIOS, có thể sống sót qua các sự kiện như vậy." ESET cho biết.

Fancy Bear cho thấy đã vũ khí hóa sản phẩm chống trộm cắp Lojack, để giúp nhóm hacker tấn công các máy tính và vượt qua các phần mềm bảo mật. ESET nhấn mạnh rằng các nhà cung cấp sản phẩm chống virus sẽ cho phép Lojack chạy trên PC, khi giả định rằng các process hệ thống này an toàn.

Hacker Nga tạo ra malware bất tử, cài lại hệ điều hành và thay ổ cứng vẫn không thoát - Ảnh 2.

Vẫn chưa rõ Fancy Bear làm cách nào để đưa malware này vào máy tính nạn nhân, nhưng nó có thể được sử dụng để tải xuống các module phần mềm độc hại khác vào máy tính bị lây nhiễm. "Khả năng tốt nhất của Lojax là vô hình và "sống dai", nên nó hoàn toàn có thể được sử dụng để đảm bảo duy trì truy cập được vào các tài nguyên quan trọng trên máy tính." ESET cho biết trong báo cáo của mình.

Hãng bảo mật này nghi ngờ Lojax được Fancy Bear phát triển từng phần dựa trên các câu lệnh và máy chủ điều khiển giao tiếp với malware. Các tên miền dành cho những máy chủ này trước đây từng được sử dụng để lưu trữ các công cụ hack khác do Fancy Bear phát triển.

Tin tốt là bạn có thể chặn cuộc tấn công Lojax thông qua một tính năng tiêu chuẩn của PC, có tên Secure Boot. Tính năng này sẽ kiểm tra tất cả các phần trong máy tính PC của bạn, bao gồm cả firmware, để xem chúng có được xác thực với mã hợp lệ do nhà sản xuất ký chứng nhận hay không. Malware Lojax sẽ không vượt qua được bài kiểm tra này. Secure Boot thường được kích hoạt mặc định. Để bật hoặc tắt nó, bạn có thể khởi động lại máy tính, vào phần BIOS để truy cập vào tính năng này.

ESET cũng khuyến cáo người sở hữu PC liên tục cập nhật firmware cho bản mạch chủ của mình để ngăn chặn hacker khai thác các lỗ hổng.

Tham khảo PCMag

Bài liên quan

Bài đọc nhiều nhất

Bài mới trong ngày

EU chính thức buộc Google chia sẻ dữ liệu tìm kiếm và mở Android cho AI bên thứ ba

EU chính thức buộc Google chia sẻ dữ liệu tìm kiếm và mở Android cho AI bên thứ ba

Khoa NguyenNguyễn Tiến Khoa

Ủy ban châu Âu vừa công bố các biện pháp thực thi mới theo Đạo luật Thị trường Kỹ thuật số (Digital Markets Act - DMA), yêu cầu Google phải mở rộng khả năng tương thích trên Android và chia sẻ dữ liệu Google Search với các đối thủ. Đây được xem là một trong những động thái mạnh tay nhất của Liên minh châu Âu nhằm hạn chế vị thế thống lĩnh của Google trong lĩnh vực tìm kiếm và hệ điều hành di động.

Công Nghệ
Bóc trần góc khuất Tokyo: Anime "Chainsmoker Cat" phơi bày thực trạng nghèo đói tàn khốc bị che giấu tại Nhật Bản

Bóc trần góc khuất Tokyo: Anime "Chainsmoker Cat" phơi bày thực trạng nghèo đói tàn khốc bị che giấu tại Nhật Bản

hoanlagvnDũng Nhỏ TT

Một bài phân tích chuyên sâu chấn động vừa được nhà nghiên cứu văn hóa Jay Allen đăng tải trên chuyên trang uy tín "Unseen Japan", biến bộ anime đang viral mạnh mẽ "Chainsmoker Cat" (tên gốc: Yani Neko) trở thành tâm điểm mổ xẻ của giới xã hội học. Vượt qua lớp vỏ bọc giải trí thông thường, tác phẩm đã dũng cảm vén bức màn nhung để khắc họa trần trụi về nạn nghèo đói và sự gạt ra lề xã hội — những chủ đề nhạy cảm vốn bị coi là cấm kỵ và cấm kỵ trong đời sống thường nhật của người dân Nhật Bản.

Giải trí
Lên đầu trang