Xuất hiện Virus Ransomware tống tiền cấp độ CPU đầu tiên trên thế giới: Có thể tấn công trực tiếp vào CPU và kiểm soát BIOS
Virus tống tiền cấp độ CPU đầu tiên trên thế giới đã xuất hiện — nhưng may mắn là nó chưa bị phát tán ra ngoài.
Christiaan Beek, Giám đốc cấp cao phụ trách phân tích mối đe dọa tại Rapid7 — một công ty an ninh mạng nổi tiếng của Mỹ, đã viết mã khái niệm minh chứng (PoC) cho phần mềm tống tiền cấp CPU đầu tiên trên thế giới. Mã này có khả năng tấn công trực tiếp vào CPU, kiểm soát BIOS, và chỉ khi nạn nhân trả tiền chuộc thì thiết bị mới có thể được phục hồi.
Được biết, kiểu tấn công này có thể vượt qua hầu hết các phương pháp phát hiện phần mềm tống tiền truyền thống.
Trong cuộc phỏng vấn với trang The Register, Beek tiết lộ rằng một lỗ hổng trong dòng chip AMD Zen đã giúp ông nhận ra rằng, về lý thuyết, một tin tặc có kỹ năng cao có thể “cho phép kẻ xâm nhập nạp microcode chưa được cấp phép vào CPU, phá vỡ lớp mã hóa ở cấp độ phần cứng, và tùy ý thay đổi hành vi của CPU”.
Trước đó, nhóm bảo mật của Google cũng đã phát hiện một lỗ hổng trong các CPU từ AMD Zen 1 đến Zen 4, cho phép người dùng nạp các bản vá microcode chưa được ký xác thực.
Sau này phát hiện rằng, CPU AMD Zen 5 cũng bị ảnh hưởng bởi lỗ hổng này. Điều may mắn là vấn đề có thể được khắc phục thông qua bản vá microcode mới — tương tự như cách Intel giải quyết sự cố không ổn định với CPU Raptor Lake trước đây.
Tuy nhiên, Beek lại nhìn thấy một cơ hội. “Tôi có kinh nghiệm về bảo mật firmware, nên lúc đó tôi đã nghĩ: ‘Wow, mình nghĩ là mình có thể viết phần mềm tống tiền cấp CPU được đấy.’”
Và ông thực sự đã làm điều đó.
Theo các báo cáo, Beek đã viết mã khái niệm minh chứng cho một phần mềm tống tiền có thể ẩn mình bên trong CPU. Điều đáng mừng là ông cam kết sẽ không công bố mã độc này ra ngoài.
Beek cũng đề cập đến các đoạn hội thoại bị rò rỉ từ năm 2022 của nhóm tội phạm mạng chuyên phát tán ransomware Conti. Trong một bài thuyết trình tại hội nghị RSAC, ông đã nhấn mạnh các đoạn chat nội bộ của nhóm này.
“Mình đang phát triển một bản minh chứng, trong đó ransomware sẽ tự cài vào UEFI, nên kể cả khi cài lại Windows, mã hóa dữ liệu vẫn còn hiệu lực,” một đoạn chat viết.
Một đoạn khác nói rằng, với firmware UEFI đã được sửa đổi, “chúng ta thậm chí có thể kích hoạt quá trình mã hóa trước cả khi hệ điều hành được tải. Không một phần mềm diệt virus nào có thể phát hiện điều này.”
Và kết quả ra sao? Một hacker đã giả định: “Hãy tưởng tượng rằng chúng ta kiểm soát BIOS và nạp bootloader của riêng mình, nó sẽ khóa ổ đĩa cho đến khi nạn nhân trả tiền chuộc.”
Christiaan Beek, Giám đốc cấp cao phụ trách phân tích mối đe dọa tại Rapid7 — một công ty an ninh mạng nổi tiếng của Mỹ, đã viết mã khái niệm minh chứng (PoC) cho phần mềm tống tiền cấp CPU đầu tiên trên thế giới. Mã này có khả năng tấn công trực tiếp vào CPU, kiểm soát BIOS, và chỉ khi nạn nhân trả tiền chuộc thì thiết bị mới có thể được phục hồi.
Trong cuộc phỏng vấn với trang The Register, Beek tiết lộ rằng một lỗ hổng trong dòng chip AMD Zen đã giúp ông nhận ra rằng, về lý thuyết, một tin tặc có kỹ năng cao có thể “cho phép kẻ xâm nhập nạp microcode chưa được cấp phép vào CPU, phá vỡ lớp mã hóa ở cấp độ phần cứng, và tùy ý thay đổi hành vi của CPU”.
Trước đó, nhóm bảo mật của Google cũng đã phát hiện một lỗ hổng trong các CPU từ AMD Zen 1 đến Zen 4, cho phép người dùng nạp các bản vá microcode chưa được ký xác thực.
Sau này phát hiện rằng, CPU AMD Zen 5 cũng bị ảnh hưởng bởi lỗ hổng này. Điều may mắn là vấn đề có thể được khắc phục thông qua bản vá microcode mới — tương tự như cách Intel giải quyết sự cố không ổn định với CPU Raptor Lake trước đây.
Tuy nhiên, Beek lại nhìn thấy một cơ hội. “Tôi có kinh nghiệm về bảo mật firmware, nên lúc đó tôi đã nghĩ: ‘Wow, mình nghĩ là mình có thể viết phần mềm tống tiền cấp CPU được đấy.’”
Và ông thực sự đã làm điều đó.
Theo các báo cáo, Beek đã viết mã khái niệm minh chứng cho một phần mềm tống tiền có thể ẩn mình bên trong CPU. Điều đáng mừng là ông cam kết sẽ không công bố mã độc này ra ngoài.
Beek cũng đề cập đến các đoạn hội thoại bị rò rỉ từ năm 2022 của nhóm tội phạm mạng chuyên phát tán ransomware Conti. Trong một bài thuyết trình tại hội nghị RSAC, ông đã nhấn mạnh các đoạn chat nội bộ của nhóm này.
“Mình đang phát triển một bản minh chứng, trong đó ransomware sẽ tự cài vào UEFI, nên kể cả khi cài lại Windows, mã hóa dữ liệu vẫn còn hiệu lực,” một đoạn chat viết.
Một đoạn khác nói rằng, với firmware UEFI đã được sửa đổi, “chúng ta thậm chí có thể kích hoạt quá trình mã hóa trước cả khi hệ điều hành được tải. Không một phần mềm diệt virus nào có thể phát hiện điều này.”
Và kết quả ra sao? Một hacker đã giả định: “Hãy tưởng tượng rằng chúng ta kiểm soát BIOS và nạp bootloader của riêng mình, nó sẽ khóa ổ đĩa cho đến khi nạn nhân trả tiền chuộc.”
