Malware không thể hủy diệt đang tồn tại???

2024-10-30 An toàn dữ liệu, Tin tức

Một phần mềm độc hại không thể xóa khỏi ổ cứng của nạn nhân là có tồn tại. Tuy nhiên, bạn chưa cần phải hoảng loạn (ít nhất là đến thời điểm hiện tại).

Đội GReAT của Kaspersky vừa công bố nghiên cứu về hoạt động của nhóm gián điệp mạng Equation, và nó tiết lộ khá nhiều kỳ tích về mặt kỹ thuật. Nhóm hacker lâu đời và mạnh mẽ này đã tạo ra một loạt “cài đặt” độc hại rất phức tạp, nhưng phát hiện thú vị nhất là khả năng của phần mềm độc hại này trong việc lập trình lại ổ cứng của nạn nhân, khiến các “cài đặt” của chúng trở nên vô hình và gần như không thể phá hủy.

 

malware

 

Đây là một trong những câu chuyện đáng sợ được trông chờ từ lâu trong lĩnh vực bảo mật máy tính – một virus không thể chữa được (tồn tại vĩnh viễn) trong phần cứng máy tính đã được coi là một truyền thuyết trong nhiều thập kỷ, nhưng có vẻ như người ta đã chi hàng triệu đô la để làm cho nó thực sự xảy ra. Một số báo cáo báo chí về câu chuyện của Equation thậm chí còn cho rằng điều này cho phép tin tặc “nghe lén phần lớn máy tính trên thế giới”. Thực tế, tuy là điều này có khả năng xảy ra nhưng nó hiếm như việc bắt gặp một chú gấu trúc băng qua đường vậy.

Hãy bắt đầu bằng cách giải thích “tái lập chương trình firmware ổ cứng” có nghĩa là gì. Một ổ cứng bao gồm hai thành phần quan trọng – một phương tiện lưu trữ (đĩa từ cho HDD cổ điển hoặc chip nhớ flash cho SSD) và một vi mạch – bộ phận điều khiển việc đọc và ghi vào đĩa, cũng như nhiều thủ tục dịch vụ, ví dụ như phát hiện và sửa lỗi. Các thủ tục dịch vụ này rất nhiều và phức tạp, vì vậy một chip thực thi chương trình tinh vi của riêng nó, về mặt kỹ thuật, đây như một máy tính nhỏ tự thân. Chương trình cơ sở của chip được gọi là firmware và nhà sản xuất ổ cứng có thể muốn cập nhật nó để sửa chữa các lỗi đã phát hiện hoặc cải thiện hiệu suất.

Cơ chế này đã bị lạm dụng bởi nhóm Equation, nhóm này có thể tải firmware của riêng mình xuống ổ cứng của 12 “danh mục” (nhà cung cấp / biến thể) khác nhau. Chức năng của firmware được sửa đổi này vẫn chưa rõ, nhưng phần mềm độc hại trên máy tính có khả năng viết và đọc dữ liệu vào / từ khu vực ổ cứng chuyên dụng. Chúng tôi cho rằng khu vực này trở nên hoàn toàn ẩn khỏi hệ điều hành và thậm chí cả phần mềm pháp y đặc biệt. Dữ liệu trong khu vực này có thể tồn tại sau khi định dạng ổ cứng, cộng với firmware về mặt lý thuyết có thể tái nhiễm khu vực khởi động của ổ cứng, lây nhiễm hệ điều hành mới cài đặt ngay từ đầu. Để làm phức tạp thêm vấn đề, firmware kiểm tra và lập trình lại dựa vào chính firmware, vì vậy không thể xác minh tính toàn vẹn của firmware hoặc tải lại firmware một cách đáng tin cậy trên một máy tính. Nói cách khác, một khi bị nhiễm, firmware ổ cứng là không thể phát hiện và gần như không thể phá hủy. Phương án xử lý dễ dàng và rẻ hơn là loại bỏ ổ cứng đáng ngờ và mua một ổ cứng mới.

Tuy nhiên, đừng quá lo lắng, chúng tôi không tin rằng khả năng lây nhiễm siêu việt này trở nên phổ biến. Ngay cả chính nhóm Equation có lẽ cũng chỉ sử dụng nó một vài lần, vì mô-đun nhiễm HDD là cực kỳ hiếm trên hệ thống của nạn nhân.

Đầu tiên, lập trình lại ổ cứng phức tạp hơn nhiều so với việc viết, ví dụ, phần mềm Windows. Mỗi mô hình ổ cứng đều độc đáo và việc phát triển một firmware thay thế rất tốn kém và mất công. Một hacker phải có được tài liệu nội bộ của nhà sản xuất ổ cứng (điều gần như bất khả thi), mua một số ổ cứng cùng một mẫu, phát triển và thử nghiệm chức năng cần thiết, và nhét các chương trình thủ tục độc hại vào firmware hiện có, đồng thời vẫn giữ nguyên chức năng ban đầu của nó. Đây là kỹ thuật công nghệ cao đòi hỏi nhiều tháng phát triển và hàng triệu đô la đầu tư.

Đó là lý do tại sao không thể sử dụng loại công nghệ “ẩn mình” này trong phần mềm độc hại tội phạm hoặc thậm chí hầu hết các cuộc tấn công có mục tiêu. Ngoài ra, phát triển firmware rõ ràng là một cách tiếp cận độc lập, không thể dễ dàng mở rộng quy mô. Nhiều nhà sản xuất phát hành firmware cho nhiều ổ cứng mỗi tháng, các mẫu mới liên tục ra đời và việc hack từng cái là điều vượt ngoài khả năng (và nhu cầu) của nhóm Equation – và bất kỳ ai khác.

Vì vậy, kết quả thực tế của câu chuyện là – phần mềm độc hại lây nhiễm trên ổ cứng không còn là một huyền thoại nữa, nhưng trung bình một cá nhân bình thường sẽ không gặp rủi ro. Hãy chú ý nhiều hơn đến những rủi ro ít thú vị hơn nhưng có thể xảy ra hơn, như bị tấn công do mật khẩu sai hoặc phần mềm chống vi-rút lỗi thời.

Từ khóa:

Chia sẻ:

Bài viết liên quan

ổ cứng cắm không nhận 3
15Oct

Tổng hợp các lỗi ổ cứng cắm không nhận và cách xử lý

Ổ cứng là một phần quan trọng trong hệ thống máy tính, giúp lưu trữ dữ liệu và đảm... read more

HTI Services Đà Nẵng
12Sep

Khai trương Chi nhánh HTI Services Đà Nẵng

Vừa qua, sáng ngày 6/9/2024, buổi lễ Khai trương Chi nhánh HTI Services Đà Nẵng đã chính thức diễn... read more

01Aug

Bảng giá Khôi phục dữ liệu – Cập nhật mới nhất 01/08/2024

HTI Services cung cấp dịch vụ Khôi phục dữ liệu SSD, HDD, thẻ nhớ, USB, RAID, NAS, SAN, VPS,... read more

mở khóa Samsung Galaxy A13
08May

Mở khóa màn hình điện thoại Samsung Galaxy A13

Trong giám định kỹ thuật số hiện đại, điện thoại di động là một trong những thiết bị chứa... read more

Lkhy-ransomware
06May

RANSOMWARE – BE AWARE [LKHY]

RANSOMWARE – BE AWARE là loạt bài viết cung cấp cho bạn cái nhìn sâu sắc về các loại... read more

HTI-Leadtek
22Apr

HTI SERVICES trở thành nhà phân phối chính thức của LEADTEK tại Việt Nam

Leadtek Research, Inc. được thành lập vào năm 1986 tại Đài Loan, là nhà sản xuất máy tính và... read more

Hotline
092 876 5688