Lung lay và biến động. Đó là cảm nhận của nhiều người trong chúng ta sau khi nhận được tin tức trong tháng này, xoay quanh một chủ đề chung: các gián điệp tiếp tục chọn lựa mục tiêu tấn công vào tầng thấp nhất (low-level, thường là phần cứng và firmware) trên thiết bị nhằm duy trì thời gian xâm nhập, chiếm quyền kiểm soát và khai thác dữ liệu. Có rất nhiều công cụ gián điệp vượt quá tầm hiểu biết của chúng ta. Đó có thể là Q Cyber (hay còn được biết đến với tên NSO Group) được nhúng vào WhatsApp hoặc firmware của thiết bị mà bạn đang cầm trên tay (Bạn đã cập nhật thiết bị tuần này chưa?). Hoặc cũng có thể là Hacking Team (tên khác là Memento Labs, chuyên nhắm vào điện thoại của các phóng viên ở Mỹ, Maroc và Ethiopia). Hay đó là Vupen (nay là “Zerodum”) bán phương thức khai thác lỗ hổng zero-day ở cấp độ thấp cho nhiều chính phủ; hoặc cũng có thể là Mollitiam Industries ở Tây Ban Nha, giúp những binh sĩ ở Colombia chặn các cuộc gọi. Cho dù là lỗ hổng bị khai thác, tấn công chuỗi cung ứng hay đó là phần mềm gián điệp thì việc nhúng và cấy ghép ở low-level của thiết bị chính là hình thức chung, xuyên suốt trong 5 năm qua.
Tháng 11 năm 2016 – Tác giả của Firmware cho các nhà sản xuất điện thoại lớn ở Trung Quốc nhúng backdoor.
Tháng 12 năm 2016 – Phần mềm độc hại được tìm thấy trong Firmware của 26 loại smartphone chạy hệ điều hành Android khác nhau
Tháng 7 năm 2017 – Phần mềm trojan Triada được tìm thấy trên điện thoại Smartphone chạy hệ điều hành Android.
Tháng 3 năm 2018 – Nhiều malware Triada được tìm thấy trong 42 kiểu máy khác nhau.
Tháng 5 năm 2018 – Trojan Cosiloon được tìm thấy trong Firmware của 141 điện thoại di động chạy hệ điều hành Android
Tháng 1 năm 2019 – Malware cài đặt sẵn được phát hiện trên điện thoại thông minh Alcatel.
Tháng 6 năm 2019 – Malware không thể gỡ bỏ được tìm thấy trên điện thoại Android 20K ở Đức.
Tháng 1 năm 2020 – Malware được cài đặt sẵn trên điện thoại Assurance Wireless (Virgin Mobile) ở Hoa Kỳ
Tháng 9 năm 2021 – Điện thoại có phím bấm ở Nga được mở một backdoor thông qua phần mềm gián điệp.
Tháng 9 năm 2021 – Chiến dịch tấn công GriftHorse lây nhiễm hàng chục triệu người trên toàn cầu sử dụng điện thoại chạy hệ điều hành Android
Và điều này đưa chúng ta đến với FinSpy, việc phát hiện ra khả năng của chúng đã khiến cho các nhà nghiên cứu mất đến 8 tháng để đưa ra ra giải pháp và tổng hợp lại thành một báo cáo dài 300 trang ghi lại chiến dịch gián điệp tiên tiến phức tạp, tinh vi và mạnh mẽ. Một công ty gián điệp có tên là Gamma ở Munich, Đức, đã bị các công tố viên truy tố sau khi có hành vi bán phần mềm gián điệp low-level cho chính phủ Thổ Nhĩ Kỳ. Một kỹ thuật mới đã được sử dụng: tự nhúng vào Windows, Linux và Mac tại MBR hoặc trong một số trường hợp là ở cấp độ boot/UEFI. Trong nhiều năm hoạt động, chức năng này đã cho phép khách hàng của Gamma (hay còn gọi là FinPhiser) theo dõi các mục tiêu bằng cách ẩn mình và bám rễ mạnh mẽ ở cấp độ low-level, rất khó thể phát hiện. Các bootkits mới này nhắm mục tiêu là những bộ khởi động UEFI boot và legacy MBR boot. Sự việc lần này nhắc nhở cho chúng ta biết về mức độ nguy hại và mục tiêu mong muốn của các chiến thuật tấn công low-level.
Thật vậy, đây là một trong những lý do tại sao Microsoft lại đang chú trọng rất nhiều vào các công nghệ mới trên Windows 11. Mọi thứ từ Secured-Core, đến TPM và tất cả các thứ khác ở tầng trung gian, bao gồm cả các tính năng của Defender mới. Tuy nhiên, những nghiên cứu mới từ Eclypsium đã được trình diễn trên các video, ta có thể thấy rằng tất cả những gì tin tặc cần chỉ là một cú nhấp chuột vào email lừa đảo, và mọi thứ sẽ chuyển thành một cuộc tấn công cấy ghép bootkit. Điều này có thể xảy ra ngay cả trên Secured-Core PC với mọi kiểm soát bảo mật ở cấp độ hệ điều hành, và ngay cả khi có TPM trên thiết bị của mình. Theo nghiên cứu này, có ít hơn một nửa trong 30 triệu thiết bị chạy Windows của 60.000 tổ chức có hỗ trợ tính năng TPM. Thực tế thì hầu hết mọi hệ điều hành Windows trong khoảng một thập kỷ trở lại đây đều dễ bị tấn công theo phương thức trên.
Vậy chúng ta có thể làm gì để ngăn chặn một cuộc tấn công kiểu “FinSpy Who Hacked Me”? Bật trình khởi động an toàn (Secure Boot) để đảm bảo chỉ những bộ nạp khởi động hợp lệ mới có quyền chạy. Hoặc đảm bảo rằng các thiết bị của bạn đã bật tính năng này và không dễ bị tấn công bởi việc khai thác các lỗ hổng trong quá trình khởi động, chẳng hạn như BootHole; Thực hiện vá các lỗ hổng bảo mật dễ tấn công trên thiết bị. Hoặc ta có thể phát hiện các cuộc tấn công như trên ngay khi nó xảy ra bằng cách liên tục theo dõi tính toàn vẹn của tất cả các thành phần UEFI với Eclypsium.
Quá nhiều sự tin cậy được đặt vào thiết bị và tính toàn vẹn của Firmware cho phép hệ điều hành, cũng như mọi ứng dụng, kiểm soát an ninh thông tin trên thiết bị hoạt động.
Chúng tôi biết điều đó. James Bond biết điều đó. Và bạn cũng biết điều đó.
