Backdoor trong CCleaner đã lây nhiễm máy tính của nhiều hãng công nghệ, nguy cơ bùng phát đại dịch

Vấn đề về mã độc có trong phần mềm dọn dẹp rác nổi tiếng CCleaner không hề đơn giản như chúng ta nghĩ, các nhà nghiên cứu đã phát hiện ra có ít nhất 20 máy tính của các công ty công nghệ hàng đầu thế giới đã nhiễm backdoor và đã được hacker cài đặt thành công các bộ mã bí ẩn.

Trước đó công ty bảo mật Talos thuộc Cisco đã phát hiện ra mã độc Floxif hoạt động như backdoor tích hợp trong phần mềm CCleaner 5.33 nhưng chưa tìm thấy bằng chứng cho thấy con backdoor này phát triển nguy hiểm. Đến hôm nay thì họ tìm ra được dữ liệu sót lại từ một máy chủ điều khiển bằng lệnh CMD được các hacker sử dụng để vận hành backdoor từ 4 ngày trước và kết quả là trong số 700.000 máy tính đã bị lây nhiễm thì 20 trong số đó thuộc về các công ty công nghệ lớn.

Do backdoor tích hợp trong CCleaner đã hoạt động được 31 ngày, số máy tính lây nhiễm có thể gấp nhiều lần con số 700.000 theo nhận định của Avast - công ty đã mua lại Piriform và chịu trách nhiệm phát triển và phát hành phần mềm CCleaner.

​

Từ ngày 12 tháng 9 đến 16 tháng 9, malware Floxif vốn hoạt động như backdoor 2 giai đoạn đã được phát hiện nằm trong máy tính hay thuộc tính web của nhiều công ty lớn như Microsoft, Gmail của Google, VMWare, Akamai, Sony, Samsung và chính Cisco! Thêm vào đó, dữ liệu thu thập được chỉ phản ánh một khoảng thời gian hoạt động ngắn của backdoor thành ra Avast và Cisco Talos đều tin rằng số lượng máy tính mục tiêu và nạn nhân thật sự lớn hơn nhiều.

Loại malware có trong CCleaner được gọi là backdoor 2 giai đoạn, giai đoạn đầu là thu thập dữ liệu, giai đoạn 2 là "mở cửa hậu" cho các loại malware khác tấn công. Ở giai đoạn 2, malware này sử dụng một hệ thống điều khiển mạng khác biệt hoàn toàn. Những mã lập trình phức tạp được che dấu rất tinh vi và sử dụng các cơ chế chống debug, chống giả lập để ẩn mình trước khả năng phát hiện của hệ thống. Craig Williams - nhà nghiên cứu công nghệ kiêm quản lý bộ phận ngoại tuyến tại Cisco Talos cho biết bộ mã này chứa một giai đoạn thứ 3 của malware được gọi là "fileless". Nó được đưa vào bộ nhớ RAM của máy tính mà không cần được ghi lưu vào ổ đĩa, thành ra rất khó để phân tích sâu hơn. Các nhà nghiên cứu hiện đang truy ngược lại quá trình lây nhiễm của bộ mã này để biết được chính xác chức năng của nó trong hệ thống mạng.

Wiliams nói: "Bộ mã này được phát triển rất tốt. Giống như có một ai đó đã bỏ ra rất nhiều tiền thuê nhiều lập trình viên để hoàn thiện nó. Điều này cho thấy người tạo ra nó có thể dã dùng nó trước đây và lần này lấy ra dùng lại."

Sơ đồ quá trình lây nhiễm malware có trong phần mềm CCleaner. Ảnh: Cisco Talos.
​

Ở giai đoạn đầu tiên, malware thu thập một loạt thông tin có chọn lọc từ máy tính bị lây nhiễm bao gồm cả một danh sách tất cả các ứng dụng đã được cài đặt, tất cả các tiến trình đang chạy, phiên bản hệ điều hành, thông tin phần cứng, xác định quyền truy xuất của người dùng như admin hay khách, các host và domain của hệ thống. Kết hợp lại, thông tin sẽ cho phép hacker không chỉ lây nhiễm lên những chiếc máy tính thuộc về một nhóm các tổ chức được nhắm đến mà còn đảm bảo những bộ mã được nạp sau có thể chạy ổn định và không bị phát hiện ở giai đoạn 2 của malware - lúc này đã trở thành backdoor.

Cho đến hiện tại con backdoor nằm trong phần mềm CCleaner đã chủ động cài đặt một bộ mã bí ẩn mà không bị phát hiện trong hơn 1 tháng qua, Williams cảnh báo rằng người dùng đã cài đặt phiên bản 32-bit của CCleaner 5.33.6162 và CCleaner Cloud 1.07.3191 tốt nhất là định dạng lại ổ cứng. Ông chứng minh rằng nếu chỉ đơn thuần gỡ bỏ malware giai đoạn 1 thì backdoor giai đoạn 2 vẫn tồn tại và vẫn hoạt động âm thầm.

Vẫn chưa biết kẻ đứng đằng sau đợt tấn công này. Dựa trên những quan sát ban đầu của Kaspersky Lab thì một số đoạn mã của backdoor trong CCleaner trùng khớp với một loại backdoor được sử dụng bởi nhóm hacker có tên là APT 17 hay Group 72. Các nhà nghiên cứu trước đó nhận định nhóm này có nhiều thành viên sống tại Trung Quốc. Cisco Talos cũng nhận ra múi giờ được thiết lập cho máy chủ CMD được backdoor sử dụng là múi giờ của Trung Quốc. Tuy nhiên, Williams cảnh báo hacker có thể đã cố tình để lại dấu vết để đánh lừa các nhà điều tra về nguồn gốc của cuộc tấn công.

Chiến dịch tấn công bằng CCleaner là vụ tấn công thông qua phần mềm hợp lệ được nhiều người dùng sử dụng thứ 3 chỉ trong vòng 2 tháng. Trước đó vào tháng 7, ransomware NotPetya đã được phát tán sau khi hacker tiêm mã độc vào phần mềm kế toán thuế của M.E.Doc vốn được sử dụng rất phổ biến tại Ukraine. Hacker sau đó còn thay đổi cả cơ chế cập nhật phần mềm của công ty này khiến ransomware lây lan rộng hơn. Hồi tháng trước, một phần mềm quản lý mạng được sử dụng bởi hơn 100 ngân hàng trên toàn cầu cũng bị hacker khai thác để tiêm backdoor sau khi hack thành công hệ thống của nhà phát triển phần mềm này là NetSarang. Kiểu tấn công kiểu chuỗi cung ứng nói trên rất nguy hiểm bởi khả năng lây nhiễm rất cao khi mà người dùng chỉ đơn thuần là cài đặt hoặc cập nhật những phần mềm hợp lệ được các nhà phát triển uy tín cung cấp.

Trở lại với backdoor trong CCleaner, bức tranh toàn cảnh trong tương lai có thể rất thảm khốc. Hacker đã chiếm quuyền điều khiển các chứng chỉ số và hạ tầng mạng được sử dụng để phân phối một phần mềm tiện ích có hơn 2 tỉ lượt tải về. Thêm vào đó hacker đã duy trì quyền kiểm soát này mà không bị phát hiện trong 31 ngày, chỉ trong 4 ngày hoạt động, 700.000 máy tính đã bị lây nhiễm và con số không dừng lại ở đây. Điều đáng lo ngại và là trong số 700.000 máy (chỉ một phần số lượng máy tính bị nhiễm chưa xác định), có một số lương lớn đã được nạp các bộ mã giai đoạn 2 mà các nhà nghiên cứu bảo mật vẫn chưa thể hiểu được cơ chế hoạt động và chức năng!

Theo: ArsTechnica​