Bạn có tin rằng chỉ việc mở một email trong hộp thư đến có thể khiến toàn bộ hệ thống máy tính bị xâm nhập hoàn toàn? Ukraine vừa xác nhận hàng loạt công tố viên và cơ quan chống tham nhũng trở thành nạn nhân của chiến dịch tấn công do nhóm hacker APT28 thực hiện. Thủ đoạn được sử dụng đặc biệt nguy hiểm - kẻ tấn công khai thác lỗ hổng trong nền tảng webmail mã nguồn mở Roundcube, cho phép thực thi mã độc hại ngay khi nạn nhân đơn giản chỉ mở email.

Khi mở email trở thành cú nhấp chuột chết người

APT28 - nhóm hacker được cho là có liên hệ với tình báo quân đội Nga (GRU) - đã nhắm mục tiêu vào các cơ quan tư pháp và chống tham nhũng Ukraine trong chiến dịch tấn công mới nhất. Điều đáng báo động không chỉ là danh tính nạn nhân mà còn là phương thức tấn công cực kỳ tinh vi mà họ sử dụng. Thay vì phải lừa người dùng click vào link độc hại hay tải file đính kèm, kẻ tấn công chỉ cần gửi email chứa payload đặc biệt.

Chúng tôi đánh giá đây là một bước tiến đáng lo ngại trong chiến thuật của các nhóm APT (Advanced Persistent Threat - mối đe dọa liên tục nâng cao). Kỹ thuật zero-click này loại bỏ hoàn toàn yếu tố con người - vốn được coi là khâu yếu nhất trong chuỗi bảo mật. Nạn nhân thậm chí không cần thực hiện bất kỳ hành động nào ngoài việc mở hộp thư email của mình - một việc họ làm hàng chục lần mỗi ngày.

Roundcube - điểm yếu chết người trong hệ sinh thái email

Roundcube là một trong những nền tảng webmail mã nguồn mở phổ biến nhất thế giới, được hàng triệu tổ chức và cá nhân sử dụng. Platform này cung cấp giao diện web để truy cập email thông qua trình duyệt, tương tự như Gmail hay Outlook Web. Tuy nhiên, việc là phần mềm mã nguồn mở đồng nghĩa với việc mã nguồn được công khai, giúp cả nhà phát triển chính đáng lẫn kẻ tấn công có thể nghiên cứu và tìm ra các lỗ hổng tiềm ẩn.

Lỗ hổng bị APT28 khai thác cho phép thực thi mã từ xa (RCE - Remote Code Execution) mà không cần người dùng tương tác. Theo phân tích của chúng tôi, đây có thể là lỗ hổng liên quan đến xử lý email HTML hoặc JavaScript trong Roundcube, cho phép kẻ tấn công chèn và thực thi mã độc hại trực tiếp trên server email. Điều này có nghĩa là ngay khi email được hiển thị trong giao diện web, payload độc hại đã được kích hoạt và bắt đầu chiếm quyền kiểm soát hệ thống.

Tác động lan tỏa: từ Ukraine đến toàn cầu

Việc APT28 nhắm vào các cơ quan tư pháp và chống tham nhũng Ukraine không phải là ngẫu nhiên. Đây là những mục tiêu có giá trị thông tin tình báo cực cao, đặc biệt trong bối cảnh xung đột đang diễn ra. Thông tin từ các cuộc điều tra tham nhũng, kế hoạch truy tố, và dữ liệu nhạy cảm của chính phủ có thể được sử dụng để gây áp lực chính trị hoặc phục vụ các mục đích chiến lược khác.

Tuy nhiên, mối đe dọa không chỉ dừng lại ở Ukraine. Roundcube được sử dụng rộng rãi tại Việt Nam, đặc biệt trong các doanh nghiệp vừa và nhỏ, tổ chức giáo dục và một số cơ quan nhà nước. Chúng tôi ước tính có hàng nghìn server email tại Việt Nam đang sử dụng Roundcube và có thể trở thành mục tiêu tấn công tương tự nếu chưa được cập nhật bản vá bảo mật.

Phòng thủ khẩn cấp: những bước cần làm ngay lập tức

Các tổ chức đang sử dụng Roundcube cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản Roundcube hiện tại và cập nhật lên phiên bản mới nhất ngay lập tức. Thứ hai, kích hoạt tính năng Content Security Policy (CSP) nghiêm ngặt để hạn chế thực thi JavaScript không mong muốn. Thứ ba, triển khai giải pháp sandbox email để cô lập quá trình xử lý email khỏi hệ thống chính.

Đối với người dùng cá nhân và doanh nghiệp, chúng tôi khuyến nghị chuyển sang sử dụng các giải pháp email có tính bảo mật cao hơn hoặc ít nhất là kích hoạt chế độ text-only khi đọc email từ nguồn không tin cậy. Đồng thời, cần thiết lập hệ thống giám sát bất thường để phát hiện sớm các hoạt động đáng ngờ trong mạng nội bộ. Cuối cùng, đào tạo nhận thức an ninh mạng cho nhân viên về các dấu hiệu nhận biết email tấn công, dù trong trường hợp này việc đào tạo chỉ mang tính chất hỗ trợ do tính chất zero-click của cuộc tấn công.