CCleaner chỉ là công cụ để một thế lực bí ẩn nào đó thao túng Internet, không hơn không kém
Sự việc hàng trăm ngàn máy tính bị xâm nhập qua malware bởi một phần mềm “dọn rác” siêu phổ biến đã khiến dư luận một phen tá hỏa thời gian vừa qua, thế nhưng hậu quả khôn lường của thảm họa này giờ đây mới bắt đầu dần lộ rõ. Các nhà nghiên cứu đang cho rằng đội ngũ hacker đứng sau vụ việc này không chỉ nhắm vào mục đích lây lan malware diện rộng, mà còn có ý đồ thực hiện các hoạt động gián điệp nhằm chiếm quyền truy cập vào mạng lưới nội bộ của ít nhất 20 công ty công nghệ.
Hồi đầu tuần, hai công ty Morphisec và Cisco đã hé lộ về việc CCleaner, phần mềm dọn file rác phổ biến nhất trên thế giới, của công ty Avast đến từ Czech đã bị hack và gắn đầy mã backdoor nhằm lách qua mọi bước kiểm tra an ninh của Avast. Kết cục là phần mềm CCleaner sau khi dính mã độc đã được cài lên hơn 700.000 máy tính. Hôm qua, các nhà nghiên cứu tại nhóm bảo mật Talos của Cisco cho biết họ đã phân tích được máy chủ “ra lệnh-và-kiểm soát”, vốn dĩ kết nối với các phiên bản CCleaner dính mã độc mà người dùng cài lên PC của mình.
Trên máy chủ đó, các nhà nghiên cứu tìm ra bằng chứng cho thấy tin tặc đã cố gắng lọc ra trong số các nạn nhân để tìm các máy tính thuộc hệ thống mạng lưới nội bộ của 20 công ty công nghệ lớn, bao gồm cả Intel, Google, Microsoft, Akamai, Samsung, Sony, VMware, HTC, Linksys, D-Link và chính bản thân Cisco. Một nửa trong số các công ty bị nhắm vào, theo giám đốc nghiên cứu Craig Williams của Talos, tin tặc đã tìm ra được thành công một máy tính trong mạng lưới nội bộ, để từ đó dùng backdoor lây nhiễm thêm một loại malware có nhiệm vụ gắn chặt vào mạng lưới - Cisco cho rằng malware này được tạo ra với ý đồ gián điệp công nghiệp.
William nói: “Khi chúng tôi mới tìm ra vấn đề này, chúng tôi nhận ra rằng nó đã lây lan sang rất nhiều công ty rồi. Giờ chúng ta biết được thêm rằng nó được sử dụng như một tấm lưới đánh cá nhắm vào 20 công ty công nghệ toàn cầu này để tìm một chỗ chôn chân trong mạng lưới nội bộ các công ty, từ đó đánh cắp các bí mật công nghiệp vô giá, bao gồm cả từ Cisco”.
Một mạng lưới rộng khắp
Cisco cho biết công ty đã thu thập được một bản sao kỹ thuật số của máy chủ command-and-server từ một nguồn vô danh có liên quan trong cuộc điều tra về CCleaner. Máy chủ này chứa một lượng dữ liệu nền của mọi máy tính bị xâm nhập nào đã liên lạc về máy chủ - tức máy tính của các tin tặc - trong khoảng thời gian từ 12/9 đến 16/9. Trong đó bao gồm 700.000 máy tính, con số mà chính Avast công bố vào thời điểm hãng phát hiện ra mạng lưới bị thâm nhập. Nhưng không dừng lại ở đó, cơ sở dữ liệu kia còn chứa một danh sách cụ thể các tên miền mà hacker đã cài đặt malware thứ hai vào, cũng như những tên miền nào chịu ảnh hưởng từ cú lây dịch thứ hai này.
Mã độc thứ hai nói trên nhắm vào 20 công ty, tuy nhiên Williams không quên lưu ý rằng trong đó một vài công ty bị chiếm nhiều hơn một máy tính, và cũng lại có những công ty không bị chiếm quyền kiểm soát máy tính. Ông từ chối chỉ đích danh công ty nào đã bị xâm nhập, nhưng Cisco cho biết mình đã cảnh báo tới tất cả các công ty nạn nhân về vụ tấn công.
Williams còn nói thêm rằng danh sách mục tiêu mà Cisco tìm thấy được không hoàn toàn đẩy đủ mà dường như đã bị “cắt” bớt. Nhiều khả năng bản gốc có thể chứa bằng chứng về các mục tiêu khác, dù xâm nhập thành công hay chưa, mà các hacker âm mưu lây lan trong thời gian đầu của vụ phát tán malware kéo dài một tháng này.
Với các công ty không may bị nhiêm malware, Cisco cảnh báo rằng chỉ bằng cách xóa CCleaner đi không hoàn toàn đảm bảo phần mềm backdoor đã được xóa. Cũng không có gì chắc chắn rằng CCleaner chưa cài đặt phần mềm thứ hai nào có khả năng hoạt động độc lập. Thay vì xóa CCleaner, Cisco khuyên nên sao lưu và phục hồi lại toàn bộ hệ thống về thời điểm trước khi cài đặt ứng dụng. Williams nói: “Nếu bạn không tìm được cách phục hồi lại hệ thống từ backup, nguy cơ rất cao là bạn vẫn chưa dọn sạch được malware đâu”.
Âm mưu đằng sau cuộc tấn công là gì?
Quy mô chính xác của cuộc tấn công mang tên CCleaner này sẽ còn tiếp tục lan rộng. Nhưng hiện giờ chúng ta đã có thể coi đây là một ví dụ nghiêm túc về hàng loạt các vụ tấn công qua phần mềm làm chao đảo cộng đồng internet thời gian gần đây. Hai tháng trước, tin tặc chiếm quyền kiểm soát cơ chế cập nhật của một phần mềm kế toán của Ukrain có tên Medoc để phát tán mã độc NotPetya, gây tổn thất vô cùng nghiêm trọng tới nhiều công ty của Ukrain cũng như tại châu Âu và Mỹ. Đối với trường hợp của CCleaner, nạn nhân tự tay cài đặt một phần mềm đáng lý ra phải hoàn toàn “sạch sẽ” từ một công ty, dù nhỏ, nhưng đáng tin cậy, để rồi sau đó nhận quả đắng khi phần mềm mình cài đặt chứa mã độc tấn công sâu và cắm rễ trong hệ thống.
Quay lại thời điểm của NotPetya, nhiều cộng đồng nghiên cứu an ninh mạng đã chuyển kết luận của mình từ một cuộc tấn công tống tiền đơn thuần sang một âm mưu bí ẩn, kinh khủng hơn được tạo ra bởi các hacker cấp quốc gia. Giờ đây, dường như vụ việc CCleaner đang tiến triển theo chiều hướng tương tự, và chúng ta cần hành động ngay trước khi mọi thứ trở nên quá muộn.