Khi nói đến các tiêu đề về an ninh thông tin, một nguyên tắc chung là các tuyên bố về phá hoại chuỗi cung ứng quy mô lớn thường không chính xác. Điều này không phải vì các cuộc tấn công như vậy không thể xảy ra, mà bởi chúng phức tạp, tốn thời gian và rủi ro để thực hiện. Phần lớn, việc đánh cắp thông tin đăng nhập hoặc khiến ai đó tải tệp độc hại về dễ dàng hơn nhiều.
Tuần trước, trên mạng xã hội có chia sẻ một số nội dung về việc nghi ngờ xuất hiện loại cổng chuyển đổi USB C sang cổng mạng (RJ45) có chứa một con mã độc (.exe), có thể kích hoạt để chạy trên Windows. Câu chuyện này gây xôn xao trên mạng xã hội khi cho rằng một thiết bị chuyển đổi Ethernet-to-USB mua từ Trung Quốc đã được “cài sẵn phần mềm độc hại” có khả năng “vượt qua máy ảo”, “ghi lại thao tác bàn phím” và “sử dụng các yếu tố ngôn ngữ nước ngoài”. Các tiết lộ này thu hút hàng triệu lượt xem, nhưng thông tin chi tiết khá mơ hồ. Người đăng chia sẻ một báo cáo quét virus từ Crowdstrike Falcon, nhưng điều này có vẻ là một tín hiệu giả: tệp nhị phân chỉ là một tệp EXE tự giải nén được tạo bằng 7-Zip, phần mềm mã nguồn mở nổi tiếng do Igor Pavlov phát triển. Tuy nhiên việc các tệp tự giải nén cài đặt trình điều khiển là điều hoàn toàn bình thường.
Nội dung bên trong tệp khớp với trình điều khiển phiên bản 2.0.7.0, công khai và có chữ ký, dành cho một chip chuyển đổi RJ45-to-USB của CoreChips Shenzhen — công ty còn được gọi là Corechip Semiconductor trong tệp .inf đi kèm. Trình điều khiển này tham chiếu đến chip có tên SR9900; thông tin về chip này hoặc nhà sản xuất gần như không có. Sau khi tìm hiểu, tôi tin rằng nó là bản sao của Realtek RTL8152B. Tài liệu sản phẩm bằng tiếng Anh cho thấy “SR” có thể viết tắt cho “Supereal”, một thương hiệu từng xuất hiện trong các chip giả FTDI FT232RL gây tranh cãi trong ngành trước đây.
Ngoài những vấn đề tiềm năng liên quan đến sở hữu trí tuệ, nguồn gốc của chip này quan trọng vì thiết kế gốc của Realtek đã khá cũ; tài liệu kỹ thuật được phát hành từ năm 2013. Các thiết bị hỗ trợ 100BASE-TX và USB 2.0, gợi nhớ thời kỳ Windows 7, khi ổ CD-ROM đang dần lỗi thời, nhưng không phải máy tính nào cũng có kết nối internet liên tục. Vì vậy, một số thiết bị tự trình bày như ổ đĩa lưu trữ chứa trình điều khiển riêng — từ góc độ bảo mật, cách này không tốt hơn hoặc tệ hơn bất kỳ cách phân phối tệp ngẫu nhiên nào khác.
CoreChips SR9900
Người đăng cũng chia sẻ ảnh chụp bảng mạch PCB và chỉ ra một IC flash loại 25x40 với dung lượng 512 kB được gắn cạnh SR9900. Câu hỏi đặt ra: bộ nhớ này dùng để lưu firmware hay để lưu dữ liệu bị đánh cắp? Điều này không phải không đáng nghi ngờ, vì phần cứng độc hại đã từng được các cơ quan tình báo và kiểm thử viên bảo mật tư nhân sử dụng. Tuy nhiên, thông số của SR9900 và RTL8152B đều mơ hồ về mục đích của chip flash đi kèm.
Thực tế con chip flash chỉ được sử dụng để lưu tệp ISO chứa trình điều khiển cài đặt cho hệ thống Windows. Đây là cách hoạt động quen thuộc từ thời Windows XP, khi các thiết bị đôi khi tự giả làm ổ CD-ROM ảo. Tóm lại, kết luận không mấy hấp dẫn là: sự “lạ lùng” không phải lúc nào cũng xấu.
Liệu bạn có nên lo ngại việc nhận được thiết bị USB “độc hại” từ nước ngoài không? Nếu bạn là nhà khoa học trong chương trình hạt nhân , có lẽ nên lo! Nếu bạn là Giám đốc An ninh Thông tin (CISO) của một doanh nghiệp quan trọng chiến lược, nên thận trọng. Nhưng đối với mạng gia đình, có vẻ chúng ta vẫn an toàn không phải lo lắng về loại thiết bị như thế này.

Nội dung bên trong tệp khớp với trình điều khiển phiên bản 2.0.7.0, công khai và có chữ ký, dành cho một chip chuyển đổi RJ45-to-USB của CoreChips Shenzhen — công ty còn được gọi là Corechip Semiconductor trong tệp .inf đi kèm. Trình điều khiển này tham chiếu đến chip có tên SR9900; thông tin về chip này hoặc nhà sản xuất gần như không có. Sau khi tìm hiểu, tôi tin rằng nó là bản sao của Realtek RTL8152B. Tài liệu sản phẩm bằng tiếng Anh cho thấy “SR” có thể viết tắt cho “Supereal”, một thương hiệu từng xuất hiện trong các chip giả FTDI FT232RL gây tranh cãi trong ngành trước đây.
Ngoài những vấn đề tiềm năng liên quan đến sở hữu trí tuệ, nguồn gốc của chip này quan trọng vì thiết kế gốc của Realtek đã khá cũ; tài liệu kỹ thuật được phát hành từ năm 2013. Các thiết bị hỗ trợ 100BASE-TX và USB 2.0, gợi nhớ thời kỳ Windows 7, khi ổ CD-ROM đang dần lỗi thời, nhưng không phải máy tính nào cũng có kết nối internet liên tục. Vì vậy, một số thiết bị tự trình bày như ổ đĩa lưu trữ chứa trình điều khiển riêng — từ góc độ bảo mật, cách này không tốt hơn hoặc tệ hơn bất kỳ cách phân phối tệp ngẫu nhiên nào khác.

CoreChips SR9900
Người đăng cũng chia sẻ ảnh chụp bảng mạch PCB và chỉ ra một IC flash loại 25x40 với dung lượng 512 kB được gắn cạnh SR9900. Câu hỏi đặt ra: bộ nhớ này dùng để lưu firmware hay để lưu dữ liệu bị đánh cắp? Điều này không phải không đáng nghi ngờ, vì phần cứng độc hại đã từng được các cơ quan tình báo và kiểm thử viên bảo mật tư nhân sử dụng. Tuy nhiên, thông số của SR9900 và RTL8152B đều mơ hồ về mục đích của chip flash đi kèm.
Thực tế con chip flash chỉ được sử dụng để lưu tệp ISO chứa trình điều khiển cài đặt cho hệ thống Windows. Đây là cách hoạt động quen thuộc từ thời Windows XP, khi các thiết bị đôi khi tự giả làm ổ CD-ROM ảo. Tóm lại, kết luận không mấy hấp dẫn là: sự “lạ lùng” không phải lúc nào cũng xấu.

