#SựKiệnNgàyHômNay: Phát hiện hàng triệu bo mạch chủ Gigabyte bán ra với cửa hậu phần sụn có thể bị tin tặc tấn công
Các chương trình độc hại được ẩn trong chương trình cơ sở UEFI của máy tính đã trở thành một mánh khóe xảo quyệt trong bộ công cụ của các tin tặc lén lút. Tuy nhiên, khi một nhà sản xuất bo mạch chủ cài đặt cửa hậu ẩn của riêng mình trong phần sụn của hàng triệu máy tính mà không có khóa thích hợp, họ thực tế đang làm công việc của tin tặc cho họ. Các nhà nghiên cứu tại công ty an ninh mạng Eclypsium tập trung vào phần sụn Eclypsium đã tìm ra cơ chế ẩn trong phần sụn của bo mạch chủ được bán bởi Gigabyte, có chứa các thành phần thường được sử dụng trong PC chơi game và các máy tính hiệu năng cao khác.
Mục tiêu của cơ chế này là cập nhật chương trình cơ sở của bo mạch chủ, tuy nhiên, các nhà nghiên cứu phát hiện ra rằng cơ chế này được triển khai không an toàn và có khả năng cho phép cài đặt phần mềm độc hại thay vì chương trình dự định của Gigabyte. Vì chương trình cập nhật kích hoạt từ chương trình cơ sở của máy tính, nên người dùng rất khó xóa hoặc thậm chí phát hiện ra.
Eclypsium liệt kê 271 mẫu bo mạch chủ Gigabyte bị ảnh hưởng. Tuy nhiên, những người dùng lo lắng có thể kiểm tra bằng cách vào “Bắt đầu” trong Windows rồi đến “Thông tin hệ thống”. Người đứng đầu chiến lược của Eclypsium, John Loucaides, cho biết những người sử dụng cần phải lo lắng về thực tế rằng máy tính của họ đang tải xuống và chạy phần mềm mà họ không tham gia hoặc thực hiện bất kỳ điều gì trong số này một cách an toàn.
Sự phát hiện này cho thấy cách tin tặc có thể khai thác các cửa hậu trong phần sụn để tấn công các máy tính chạy các loại ứng dụng khác nhau. Các nhà sản xuất và người dùng cần phải chú ý hơn đến các rủi ro này và thiết lập các biện pháp bảo vệ phù hợp để bảo vệ sự an toàn của máy tính và dữ liệu.
Nguồn: https://www.wired.com/story/gigabyte-motherboard-firmware-backdoor/
Ẩn các chương trình độc hại trong chương trình cơ sở UEFI của máy tính, mã nằm sâu cho PC biết cách tải hệ điều hành của nó, đã trở thành một mánh khóe xảo quyệt trong bộ công cụ của các tin tặc lén lút. Nhưng khi một nhà sản xuất bo mạch chủ cài đặt cửa hậu ẩn của riêng mình trong phần sụn của hàng triệu máy tính—và thậm chí không đặt một khóa thích hợp cho lối vào ẩn đó—họ thực tế đang làm công việc của tin tặc cho họ.
Các nhà nghiên cứu tại công ty an ninh mạng tập trung vào phần sụn Eclypsium tiết lộ hôm nay rằng họ đã phát hiện ra một cơ chế ẩn trong phần sụn của bo mạch chủ được bán bởi nhà sản xuất Đài Loan Gigabyte, có các thành phần thường được sử dụng trong PC chơi game và các máy tính hiệu năng cao khác. Eclypsium nhận thấy, bất cứ khi nào một máy tính có bo mạch chủ Gigabyte bị ảnh hưởng khởi động lại, mã trong chương trình cơ sở của bo mạch chủ sẽ khởi tạo một chương trình cập nhật chạy trên máy tính một cách vô hình và lần lượt tải xuống và thực thi một phần mềm khác.
Trong khi Eclypsium cho biết mã ẩn là một công cụ vô hại để cập nhật chương trình cơ sở của bo mạch chủ, các nhà nghiên cứu phát hiện ra rằng nó được triển khai không an toàn, có khả năng cho phép cơ chế bị tấn công và sử dụng để cài đặt phần mềm độc hại thay vì chương trình dự định của Gigabyte. Và bởi vì chương trình cập nhật được kích hoạt từ chương trình cơ sở của máy tính, bên ngoài hệ điều hành của nó, nên người dùng rất khó xóa hoặc thậm chí phát hiện ra.
John Loucaides, người đứng đầu chiến lược cho biết: “Nếu bạn có một trong những chiếc máy này, bạn phải lo lắng về thực tế là nó đang lấy thứ gì đó từ internet và chạy nó mà bạn không tham gia, và không thực hiện bất kỳ điều gì trong số này một cách an toàn”. và nghiên cứu tại Eclypsium. “Khái niệm đi bên dưới người dùng cuối và tiếp quản máy của họ không phù hợp với hầu hết mọi người.”
Trong bài đăng trên blog của mình về nghiên cứu, Eclypsium liệt kê 271 mẫu bo mạch chủ Gigabyte mà các nhà nghiên cứu cho biết bị ảnh hưởng. Loucaides cho biết thêm rằng những người dùng muốn xem máy tính của họ sử dụng bo mạch chủ nào có thể kiểm tra bằng cách vào “Bắt đầu” trong Windows rồi đến “Thông tin hệ thống”.
Eclypsium cho biết họ đã tìm thấy cơ chế phần sụn ẩn của Gigabyte trong khi quét máy tính của khách hàng để tìm mã độc dựa trên phần sụn, một công cụ ngày càng phổ biến được sử dụng bởi các tin tặc tinh vi. Ví dụ, vào năm 2018, tin tặc làm việc cho cơ quan tình báo quân sự GRU của Nga bị phát hiện âm thầm cài đặt phần mềm chống trộm dựa trên firmware LoJack trên máy của nạn nhân như một chiến thuật gián điệp. Tin tặc do nhà nước bảo trợ của Trung Quốc bị phát hiện hai năm sau tái sử dụng một công cụ phần mềm gián điệp dựa trên phần sụn được tạo ra bởi công ty cho thuê Hacking Team để nhắm mục tiêu vào máy tính của các nhà ngoại giao và nhân viên NGO ở Châu Phi, Châu Á và Châu Âu. Các nhà nghiên cứu của Eclypsium đã rất ngạc nhiên khi thấy các bản quét phát hiện tự động của họ đánh dấu cơ chế cập nhật của Gigabyte vì đã thực hiện một số hành vi mờ ám tương tự như các công cụ hack do nhà nước tài trợ đó—ẩn trong phần sụn và âm thầm cài đặt một chương trình tải xuống mã từ internet.
Chỉ riêng trình cập nhật của Gigabyte có thể đã gây lo ngại cho những người dùng không tin tưởng Gigabyte sẽ âm thầm cài đặt mã trên máy của họ bằng một công cụ gần như vô hình—hoặc những người lo lắng rằng cơ chế của Gigabyte có thể bị khai thác bởi tin tặc, những kẻ đã thỏa hiệp với nhà sản xuất bo mạch chủ để khai thác quyền truy cập ẩn của nó trong Một tấn công chuỗi cung ứng phần mềm. Nhưng Eclypsium cũng phát hiện ra rằng cơ chế cập nhật đã được triển khai với các lỗ hổng rõ ràng có thể cho phép nó bị tấn công: Nó tải mã xuống máy của người dùng mà không xác thực đúng cách, đôi khi thậm chí qua kết nối HTTP không được bảo vệ, thay vì HTTPS. Điều này sẽ cho phép nguồn cài đặt bị giả mạo bởi một cuộc tấn công trung gian được thực hiện bởi bất kỳ ai có thể chặn kết nối internet của người dùng, chẳng hạn như mạng Wi-Fi giả mạo.
[ad_2]
