Các chuyên gia của hãng bảo mật ESET (có trụ sở chính ở Slovakia) đã phát hiện ra một loại malware mới cực kỳ nguy hiểm có tên Lojax,. Đây là dạng malware lây nhiễm vào máy tính nạn nhân thông qua những đoạn code độc hại. Theo các chuyên gia này, nhiều khả năng mã độc Lojax được tạo ra bởi một nhóm hacker nổi tiếng của Nga có tên Fancy Bear.
Trước đây, đã từng có một số lý thuyết được nghiên cứu về loại hình tấn công này, nhưng đây loại malware đầu tiên nhắm đến phần mềm của máy tính UEFI trong thế giới thực.
UEFI là tên viết tắt của giao diện Unified Extensible Firmware Interface, là một phiên bản nâng cấp của BIOS trước đây, vốn được sử dụng để khởi động hệ thống. Bằng cách viết lại UEFI, malware Lojax có thể tồn tại lâu dài trong bộ nhớ flash của máy tính, cho phép nó sống sót ngay cả khi cài đặt lại hệ điều hành và thay ổ cứng.
Theo ESET, để loại bỏ malware này cũng đồng nghĩa với việc phải viết đè lên bộ nhớ của ổ lưu trữ flash. Đây là việc làm không hề dễ dàng, khó thao tác với đại đa số người dùng máy tính phổ thông.
Mặc dù không tiết lộ chủ sở hữu của máy tính đã bị nhiễm mã độc, nhưng hãng bảo mật ESET cũng cho biết họ đã phát hiện ra Fancy Bear đang sử dụng các thành phần khác nhau của malware Lojax trên những máy tính thuộc các tổ chức chính phủ ở các quốc gia vùng Balkan, vùng Trung Á và khu vực Đông Âu.
Lojax là malware dạng rootkit đầu tiên nhắm mục tiêu đến UEFI từng bị phát hiện khi đang tấn công vào một hệ thống máy tính trong thế giới thực. Trước đây, các chuyên gia đều coi các rootkit UEFI chỉ một dạng tấn công trong lý thuyết, mặc dù trong thực tế cũng có các bằng chứng cho thấy một số hãng bảo mật tư nhân đang bán các công cụ tấn công dạng này cho các khách hàng là chính phủ các nước.
ESET cũng cho biết, hành vi của Lojax bắt chước một công cụ phần mềm hợp pháp có tên Lojack, đây là một sản phẩm chống trộm và cũng rất khó có thể loại bỏ khỏi máy tính. Tuy nhiên mục đích của phần mềm Lojack là để bảo vệ hệ thống khỏi kẻ trộm, có khả năng sống sót qua việc cài lại hệ điều hành và thay ổ cứng. Còn Lojax thì được phát triển như một malware có thể ngụy trang như một môđun trong UEFI/BIOS, và tồn tại khi tiến hành cài lại hệ điều hành và thay ổ cứng.
Nhóm tin tặc Fancy Bear còn được biết đến dưới tên Sednit, từng bị chỉ trích vì một loạt các cuộc tấn công vào các nhóm chính phủ, bao gồm cả vụ rò rỉ thông tin trong mạng máy tính của Ủy bản Dân chủ Quốc gia trong chiến dịch tranh cử tổng thống Mỹ năm 2016.
Với malware Lojax này, Fancy Bear cho thấy, chúng có thể “vũ khí hóa” sản phẩm chống trộm cắp Lojack để tấn công các máy tính và vượt qua các phần mềm bảo mật.
ESET cũng nghi ngờ rằng, Lojax được Fancy Bear phát triển từng phần dựa trên các câu lệnh và máy chủ điều khiển giao tiếp với malware. Các tên miền dành cho những máy chủ này trước đây từng được sử dụng để lưu trữ các công cụ hack khác do Fancy Bear phát triển.
ESET cũng nhấn mạnh rằng, các nhà cung cấp sản phẩm chống virus sẽ cho phép Lojax chạy trên PC khi được giả định rằng các process hệ thống là an toàn, và điều này rất nguy hiểm cho người dùng.
Hiện vẫn chưa rõ Fancy Bear làm cách nào để đưa malware này vào máy tính nạn nhân, nhưng nó có thể được sử dụng để tải xuống các môđun phần mềm độc hại khác vào máy tính bị lây nhiễm.
Người dùng có thể chặn cuộc tấn công của Lojax thông qua một tính năng tiêu chuẩn trên PC có tên là Secure Boot. Tính năng này sẽ kiểm tra tất cả các phần trong máy tính PC của người dùng, bao gồm cả firmware, để xem chúng có được xác thực với mã hợp lệ do nhà sản xuất ký chứng nhận hay không, và Malware Lojax sẽ không vượt qua được bài kiểm tra này.
Secure Boot thường được kích hoạt mặc định. Để bật hoặc tắt nó, người dùng có thể khởi động lại máy tính, vào phần BIOS để truy cập vào tính năng này.
ESET cũng khuyến cáo người dùng cần liên tục cập nhật firmware cho bản mạch chủ của mình để ngăn chặn hacker khai thác các lỗ hổng.
B.T
08:00 | 11/06/2018
15:00 | 28/11/2018
10:00 | 14/02/2018
10:00 | 25/07/2018
09:00 | 17/12/2018
09:00 | 25/12/2018
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024