Hàng trăm ngàn máy tính toàn cầu bị hack bởi Shadow Hammer

www.tuoitre.vn -   26/03/2019 12:00:00 153

Trong vòng nửa năm từ tháng 6-11/2018, mã độc Shadow Hammer đã nhắm mục tiêu vào người dùng cài đặt ứng dụng Live Update của ASUS bằng cách cài backdoor trên máy tính của họ. Ước tính, cuộc tấn công đã ảnh hưởng đến hơn một triệu người dùng trên toàn cầu.

Hàng trăm ngàn máy tính toàn cầu bị hack bởi Shadow Hammer

Đây là một báo cáo bảo mật từ Kaspersky. Kaspersky sẽ trình bày đầy đủ những phát hiện về Shadow Hammer tại Hội nghị phân tích bảo mật 2019, được tổ chức tại Singapore, từ ngày 9 đến 11 tháng 4 năm 2019.

Tấn công chuỗi cung ứng là một trong những cuộc tấn công tinh vi và nguy hiểm nhất, được sử dụng ngày càng nhiều trong vài năm trở lại đây, như ShadowPad hay CCleaner. Việc này nhắm vào những điểm yếu trong hệ thống liên kết nguồn nhân lực, tổ chức, cơ sở vật chất và trí tuệ liên quan đến sản phẩm: từ giai đoạn phát triển ban đầu cho đến người dùng cuối.

Mặc dù cơ sở hạ tầng của nhà cung cấp có thể được bảo mật, nhưng có khả năng tồn tại những lỗ hổng trong cơ sở vật chất của bên sản xuất, gây phá hoại chuỗi cung ứng. Dẫn đến an toàn dữ liệu bị vi phạm nghiêm trọng.

Hàng trăm ngàn máy tính toàn cầu bị hack bởi Shadow Hammer 

Các tin tặc đứng sau Shadow Hammer đã nhắm đến ứng dụng Live Update từ ASUS làm nguồn lây nhiễm ban đầu. Đây là chương trình được cài đặt sẵn trong hầu hết máy tính ASUS mới, để tự động cập nhật Bios, UEFI, drivers và ứng dụng trên sản phẩm.

Bằng cách sử dụng chứng nhận kỹ thuật số đánh cắp được từ ASUS, những kẻ tấn công đã giả mạo các phiên bản phần mềm cũ hơn của ASUS và tiêm mã độc vào thiết bị. Các phiên bản nhiễm mã độc Trojan với chứng chỉ hợp pháp vô tình được phân phối từ máy chủ chính thức của ASUS. Điều này khiến chúng hầu như không thể được phát hiện bởi phần lớn các giải pháp bảo mật.

Mặc dù những người sử dụng phần mềm đều có nguy cơ trở thành nạn nhân cuộc tấn công, Shadow Hammer chủ yếu chỉ tập trung vào hàng trăm người dùng đã xác định từ trước. Các nhà nghiên cứu của Kaspersky phát hiện, mỗi mã backdoor chứa một bảng địa chỉ MAC được mã hóa.

Khi chạy trên thiết bị, backdoor sẽ xác minh địa chỉ MAC trên máy so với địa chỉ trên bảng này. Nếu địa chỉ MAC khớp với một trong các mục, phần mềm độc hại sẽ được tải xuống cho giai đoạn tiếp theo của cuộc tấn công. Nếu không khớp, trình cập nhật xâm nhập sẽ không hiển thị bất kỳ hoạt động nào.

Đó là lý do tại sao vụ tấn công này đã không bị phát hiện trong thời gian dài. Các chuyên gia bảo mật đã xác định tổng cộng hơn 600 địa chỉ MAC. Chúng được nhắm đến bởi hơn 230 mẫu backdoor với các shellcode khác nhau.

Hàng trăm ngàn máy tính toàn cầu bị hack bởi Shadow Hammer

Các chuyên gia bảo mật đã làm gì?

Tất cả các sản phẩm của Kaspersky đều có khả năng phát hiện và ngăn chặn thành công phần mềm độc hại được sử dụng trong Shadow Hammer. Để tránh trở thành nạn nhân của một cuộc tấn công có chủ đích, các nhà nghiên cứu của Kaspersky khuyên người dùng nên thực hiện các biện pháp sau:

Ngoài việc áp dụng biện pháp bảo vệ đầu cuối, hãy triển khai giải pháp bảo mật cấp doanh nghiệp, như Kaspersky Anti Targeted Attack Platform, nhằm phát hiện các mối đe dọa nguy hiểm ở giai đoạn đầu.

Để phát hiện, điều tra và khắc phục kịp thời các sự cố đầu cuối, nên triển khai các giải pháp EDR như Kaspersky Endpoint Detection and Response hoặc liên hệ với nhóm ứng phó sự cố chuyên nghiệp.

Tích hợp nguồn cấp dữ liệu Threat Intelligence vào hệ thống SIEM và các kiểm soát bảo mật khác để có quyền truy cập vào dữ liệu mối đe dọa một cách cập nhật nhất, cũng như chuẩn bị cho các cuộc tấn công trong tương lai.

Theo Kaspersky Lab

TIN CÙNG CHUYÊN MỤC

Tấn công DDoS tăng mạnh quý 1 năm 2019

23/05/2019 10:00:00 2
Kaspersky vừa công bố báo cáo quý 1 năm 2019 về tình hình an ninh mạng, trong đó cho thấy kỹ thuật t...

Tìm việc có nguy cơ bị lừa đảo đánh cắp ...

21/05/2019 08:00:00 107
Lợi dụng người tìm việc có tâm lý mong đợi email từ các nhà tuyển dụng, hacker đã sử dụng phương thứ...

Kết nối Bluetooth có thể bị mã độc tấn c...

20/05/2019 08:00:00 106
Người dùng các thiết bị có kết nối Bluetooth đang phải đối mặt với một nguy hiểm tiềm tang liên quan...

Bộ phát sóng Wi-Fi di động dành cho du l...

17/05/2019 02:00:00 1.598
Kết nối với Wi-Fi công cộng tiềm ẩn nhiều nguy cơ bảo mật nhưng bộ phát sóng Wi-Fi di động dành cho ...

WhatsApp của Facebook bị hack, 1.5 tỷ ng...

14/05/2019 12:00:00 120
Công ty con của Facebook, ứng dụng tỷ người dùng WhatsApp vừa được thông báo hệ thống đã bị hack. Đư...

Facebook kiện một nhà phát triển vì họ l...

13/05/2019 12:00:00 80
Dù bị tố và lãnh án phạt 3-5 tỷ USD từ FTC vì tội bán dữ liệu cá nhân của người dùng, Facebook lại đ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ