Mục lục
Ransomware đang tiến hóa lên một tầm cao mới khi các chuyên gia bảo mật cảnh báo về khả năng mã độc có thể chạy trực tiếp trên CPU, vượt qua mọi lớp bảo vệ phần mềm. Phát hiện đáng báo động này đến từ Christiaan Beek, nhà phân tích tại Rapid7, người đã phát triển bằng chứng về khả năng cài đặt Ransomware trực tiếp vào bộ vi xử lý của máy tính.
Beek lấy cảm hứng từ một lỗ hổng nghiêm trọng trong các bộ vi xử lý AMD Zen, được các nhà nghiên cứu của Google phát hiện vào đầu năm nay. Lỗ hổng này cho phép tin tặc sửa đổi lệnh RDRAND và chèn microcode tùy chỉnh, khiến CPU luôn trả về giá trị “4” khi tạo số ngẫu nhiên thay vì các số ngẫu nhiên thực sự.
Các nhà sản xuất chip thường sử dụng cập nhật microcode để sửa lỗi và cải thiện độ tin cậy của CPU. Tuy nhiên, lớp mã cấp thấp này – nằm giữa phần cứng và mã máy – cũng có thể trở thành vectơ tấn công bí mật, có khả năng ẩn các mã độc khỏi mọi hệ thống phòng thủ dựa trên phần mềm. Khi các mối đe dọa ngày càng phát triển, ngay cả những lớp sâu nhất của hệ thống cũng không còn được coi là an toàn.
Cơ chế hoạt động của Ransomware cấp CPU
Về lý thuyết, cập nhật microcode chỉ nên là đặc quyền của các nhà sản xuất CPU, đảm bảo rằng bản cập nhật chính xác chỉ được cài đặt trên các bộ vi xử lý tương thích. Mặc dù việc chèn microcode tùy chỉnh là khó khăn, nhưng không phải là không thể, như lỗ hổng RDRAND đã chứng minh.
Sử dụng kiến thức về bảo mật firmware, Beek đã phát triển một bằng chứng khái niệm (PoC) ẩn mã độc Ransomware bên trong bộ vi xử lý. Ông mô tả đây là một đột phá “hấp dẫn”, mặc dù không có kế hoạch công bố bất kỳ tài liệu hoặc mã nguồn nào từ PoC này. Phương pháp của Beek cho phép tội phạm mạng vượt qua tất cả các công nghệ bảo mật truyền thống sau khi xâm nhập vào CPU hoặc firmware của bo mạch chủ.
Các chuyên gia từ The Register cũng ghi nhận rằng mối đe dọa Ransomware cấp cực thấp không chỉ là lý thuyết. Bootkit BlackLotus khét tiếng, ví dụ, có thể xâm nhập firmware UEFI và lây nhiễm các hệ thống được bảo vệ bởi Secure Boot. Beek cũng trích dẫn đoạn trích từ nhật ký trò chuyện của nhóm Ransomware Conti bị rò rỉ năm 2022. Các nhà phát triển Conti đã báo cáo đang làm việc trên một PoC để cài đặt Ransomware trực tiếp vào firmware UEFI.
“Nếu chúng ta sửa đổi firmware UEFI, chúng ta có thể kích hoạt mã hóa trước khi hệ điều hành tải. Không có phần mềm chống virus nào có thể phát hiện điều này,” các tội phạm mạng đã tuyên bố.
Với lỗ hổng phù hợp, họ có thể lợi dụng các phiên bản UEFI dễ bị tấn công cho phép cập nhật không có chữ ký để thực hiện cài đặt Ransomware bí mật.
Nguy cơ và giải pháp phòng chống
Beek chỉ trích ngành công nghệ thông tin vì đã theo đuổi các xu hướng thay vì khắc phục các vấn đề cốt lõi. Trong khi các tập đoàn tập trung vào AI chủ động, học máy và chatbot, bảo mật cơ bản vẫn bị bỏ quên. Các băng nhóm Ransomware thu về hàng tỷ đô la hàng năm thông qua mật khẩu yếu, lỗ hổng rủi ro cao và xác thực đa yếu tố kém.
Nếu một vài hacker mũ đen có năng lực đã khám phá loại mối đe dọa này từ nhiều năm trước, Beek cho biết, những người giỏi nhất trong số họ cuối cùng sẽ thành công. Điều này đặt ra câu hỏi nghiêm túc về mức độ bảo mật thực sự của các hệ thống máy tính hiện đại.
Vấn đề trở nên phức tạp hơn khi xem xét lỗ hổng gần đây trong các bộ vi xử lý AMD Zen. Google đã phát hiện ra rằng AMD sử dụng AES-CMAC làm hàm băm trong quá trình xác minh chữ ký, một lỗi mã hóa nghiêm trọng. AES-CMAC được thiết kế như một mã xác thực thông báo, không phải là một hàm băm an toàn, khiến nó không phù hợp cho mục đích này.
Các nhà nghiên cứu phát hiện AMD đã sử dụng một khóa ví dụ có sẵn công khai từ tài liệu NIST kể từ Zen 1, cho phép họ giả mạo chữ ký và triển khai các sửa đổi microcode tùy ý. Những sửa đổi này có thể thay đổi hành vi của CPU ở cấp độ cơ bản, cho phép các cuộc tấn công tinh vi tồn tại cho đến khi hệ thống khởi động lại.
Tổng kết: Sự xuất hiện của Ransomware cấp CPU đánh dấu một bước ngoặt đáng lo ngại trong lĩnh vực an ninh mạng. Khi các cuộc tấn công có thể ẩn mình trong chính bộ vi xử lý, vượt qua mọi biện pháp bảo vệ phần mềm, ngành công nghệ cần phải thay đổi cách tiếp cận bảo mật. Thay vì chỉ tập trung vào các xu hướng mới như AI và học máy, các công ty công nghệ và chuyên gia bảo mật cần quay lại giải quyết các vấn đề cơ bản, bao gồm bảo mật firmware và phần cứng. Chỉ với một cách tiếp cận toàn diện, kết hợp bảo mật ở mọi cấp độ từ phần cứng đến phần mềm, chúng ta mới có thể đối phó hiệu quả với loại mối đe dọa tinh vi này trong kỷ nguyên số.