Malware không thể hủy diệt đang tồn tại???

2024-10-30 An toàn dữ liệu, Tin tức

Một phần mềm độc hại không thể xóa khỏi ổ cứng của nạn nhân là có tồn tại. Tuy nhiên, bạn chưa cần phải hoảng loạn (ít nhất là đến thời điểm hiện tại).

Đội GReAT của Kaspersky vừa công bố nghiên cứu về hoạt động của nhóm gián điệp mạng Equation, và nó tiết lộ khá nhiều kỳ tích về mặt kỹ thuật. Nhóm hacker lâu đời và mạnh mẽ này đã tạo ra một loạt “cài đặt” độc hại rất phức tạp, nhưng phát hiện thú vị nhất là khả năng của phần mềm độc hại này trong việc lập trình lại ổ cứng của nạn nhân, khiến các “cài đặt” của chúng trở nên vô hình và gần như không thể phá hủy.

 

malware

 

Đây là một trong những câu chuyện đáng sợ được trông chờ từ lâu trong lĩnh vực bảo mật máy tính – một virus không thể chữa được (tồn tại vĩnh viễn) trong phần cứng máy tính đã được coi là một truyền thuyết trong nhiều thập kỷ, nhưng có vẻ như người ta đã chi hàng triệu đô la để làm cho nó thực sự xảy ra. Một số báo cáo báo chí về câu chuyện của Equation thậm chí còn cho rằng điều này cho phép tin tặc “nghe lén phần lớn máy tính trên thế giới”. Thực tế, tuy là điều này có khả năng xảy ra nhưng nó hiếm như việc bắt gặp một chú gấu trúc băng qua đường vậy.

Hãy bắt đầu bằng cách giải thích “tái lập chương trình firmware ổ cứng” có nghĩa là gì. Một ổ cứng bao gồm hai thành phần quan trọng – một phương tiện lưu trữ (đĩa từ cho HDD cổ điển hoặc chip nhớ flash cho SSD) và một vi mạch – bộ phận điều khiển việc đọc và ghi vào đĩa, cũng như nhiều thủ tục dịch vụ, ví dụ như phát hiện và sửa lỗi. Các thủ tục dịch vụ này rất nhiều và phức tạp, vì vậy một chip thực thi chương trình tinh vi của riêng nó, về mặt kỹ thuật, đây như một máy tính nhỏ tự thân. Chương trình cơ sở của chip được gọi là firmware và nhà sản xuất ổ cứng có thể muốn cập nhật nó để sửa chữa các lỗi đã phát hiện hoặc cải thiện hiệu suất.

Cơ chế này đã bị lạm dụng bởi nhóm Equation, nhóm này có thể tải firmware của riêng mình xuống ổ cứng của 12 “danh mục” (nhà cung cấp / biến thể) khác nhau. Chức năng của firmware được sửa đổi này vẫn chưa rõ, nhưng phần mềm độc hại trên máy tính có khả năng viết và đọc dữ liệu vào / từ khu vực ổ cứng chuyên dụng. Chúng tôi cho rằng khu vực này trở nên hoàn toàn ẩn khỏi hệ điều hành và thậm chí cả phần mềm pháp y đặc biệt. Dữ liệu trong khu vực này có thể tồn tại sau khi định dạng ổ cứng, cộng với firmware về mặt lý thuyết có thể tái nhiễm khu vực khởi động của ổ cứng, lây nhiễm hệ điều hành mới cài đặt ngay từ đầu. Để làm phức tạp thêm vấn đề, firmware kiểm tra và lập trình lại dựa vào chính firmware, vì vậy không thể xác minh tính toàn vẹn của firmware hoặc tải lại firmware một cách đáng tin cậy trên một máy tính. Nói cách khác, một khi bị nhiễm, firmware ổ cứng là không thể phát hiện và gần như không thể phá hủy. Phương án xử lý dễ dàng và rẻ hơn là loại bỏ ổ cứng đáng ngờ và mua một ổ cứng mới.

Tuy nhiên, đừng quá lo lắng, chúng tôi không tin rằng khả năng lây nhiễm siêu việt này trở nên phổ biến. Ngay cả chính nhóm Equation có lẽ cũng chỉ sử dụng nó một vài lần, vì mô-đun nhiễm HDD là cực kỳ hiếm trên hệ thống của nạn nhân.

Đầu tiên, lập trình lại ổ cứng phức tạp hơn nhiều so với việc viết, ví dụ, phần mềm Windows. Mỗi mô hình ổ cứng đều độc đáo và việc phát triển một firmware thay thế rất tốn kém và mất công. Một hacker phải có được tài liệu nội bộ của nhà sản xuất ổ cứng (điều gần như bất khả thi), mua một số ổ cứng cùng một mẫu, phát triển và thử nghiệm chức năng cần thiết, và nhét các chương trình thủ tục độc hại vào firmware hiện có, đồng thời vẫn giữ nguyên chức năng ban đầu của nó. Đây là kỹ thuật công nghệ cao đòi hỏi nhiều tháng phát triển và hàng triệu đô la đầu tư.

Đó là lý do tại sao không thể sử dụng loại công nghệ “ẩn mình” này trong phần mềm độc hại tội phạm hoặc thậm chí hầu hết các cuộc tấn công có mục tiêu. Ngoài ra, phát triển firmware rõ ràng là một cách tiếp cận độc lập, không thể dễ dàng mở rộng quy mô. Nhiều nhà sản xuất phát hành firmware cho nhiều ổ cứng mỗi tháng, các mẫu mới liên tục ra đời và việc hack từng cái là điều vượt ngoài khả năng (và nhu cầu) của nhóm Equation – và bất kỳ ai khác.

Vì vậy, kết quả thực tế của câu chuyện là – phần mềm độc hại lây nhiễm trên ổ cứng không còn là một huyền thoại nữa, nhưng trung bình một cá nhân bình thường sẽ không gặp rủi ro. Hãy chú ý nhiều hơn đến những rủi ro ít thú vị hơn nhưng có thể xảy ra hơn, như bị tấn công do mật khẩu sai hoặc phần mềm chống vi-rút lỗi thời.

Từ khóa:

Chia sẻ:

Bài viết liên quan

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

file-RSV
18Jun

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

lockbit
29May

LockBit 2025: Hé lộ mặt tối của một đế chế tội phạm số toàn cầu

Bài viết được thực hiện bởi chuyên gia phân tích từ HTI Services – Một thành viên của HTI... read more

NVIDIA RTX PRO 6000 Blackwell Workstation
27May

Đập hộp VGA “khủng” nhất hiện nay: NVIDIA RTX PRO 6000 Blackwell Workstation

HTI Services đã sở hữu VGA "khủng" nhất hiện nay: NVIDIA RTX PRO 6000 Blackwell Workstation – Một trong... read more

WannaCry
15May

RANSOMWARE – BE AWARE [WannaCry]

Trong lịch sử ngành an ninh mạng, hiếm có cuộc tấn công nào gây chấn động và lan rộng... read more

0928765688