Chỉ với 1.600 USD (khoảng 40 triệu VND), bất kỳ ai cũng có thể mua một "cửa hậu" Linux tinh vi trên thị trường ngầm. Đây không phải chuyện viễn tưởng mà là thực tế đang diễn ra trên diễn đàn tội phạm mạng Rehub của Nga. Backdoor mang tên PamDOORa đang được rao bán công khai, hứa hẹn mang lại quyền truy cập bền vững vào các máy chủ Linux thông qua một cơ chế "mật khẩu thần thánh" cực kỳ nguy hiểm.

"Cửa hậu" Linux được bán như kẹo trên diễn đàn tội phạm

Hacker mang biệt danh "darkworm" đã biến việc tấn công hệ thống Linux thành một món hàng có giá. PamDOORa không phải là một malware thông thường, mà là một bộ công cụ khai thác hậu xâm nhập (post-exploitation toolkit) được thiết kế tinh vi dựa trên Pluggable Authentication Module (PAM) - hệ thống xác thực cốt lõi của Linux. Điều đáng lo ngại là sự xuất hiện của PamDOORa trên diễn đàn Rehub cho thấy việc thương mại hóa các công cụ tấn công Linux đang gia tăng mạnh mẽ.

Chúng tôi cho rằng việc công khai bán backdoor Linux với mức giá "bình dân" này phản ánh một xu hướng nguy hiểm. Trước đây, các công cụ tấn công Linux thường được giữ bí mật hoặc chỉ lưu hành trong các nhóm hacker chuyên nghiệp. Giờ đây, bất kỳ kẻ tấn công nào có đủ tiền đều có thể sở hữu vũ khí mạng tinh vi này. Đặc biệt, việc PamDOORa được quảng cáo rộng rãi cho thấy thị trường tội phạm mạng đang mở rộng sang các nền tảng từng được coi là an toàn.

Công nghệ "mật khẩu thần thánh" - khi PAM module trở thành vũ khí

PamDOORa khai thác PAM (Pluggable Authentication Module) - một thành phần quan trọng trong hệ thống bảo mật Linux có trách nhiệm xác thực người dùng. Backdoor này hoạt động bằng cách cài đặt một PAM module độc hại, tạo ra cái gọi là "magic password" (mật khẩu thần thánh) kết hợp với một cổng TCP cụ thể để duy trì quyền truy cập SSH bền vững. Điều này có nghĩa là ngay cả khi quản trị viên thay đổi tất cả mật khẩu hệ thống, hacker vẫn có thể truy cập thông qua cổng hậu này.

Theo phân tích của chúng tôi, việc PAM module bị lợi dụng đặc biệt nguy hiểm vì nó hoạt động ở tầng sâu của hệ điều hành. PAM là thành phần được tất cả các dịch vụ xác thực tin tưởng, từ SSH đến login cục bộ. Khi bị nhiễm độc, PAM module có thể ghi lại toàn bộ thông tin đăng nhập hợp pháp của người dùng, đồng thời mở "cửa hậu" cho hacker mà không bị hệ thống phát hiện. Đây chính là lý do tại sao PamDOORa được coi là một trong những backdoor Linux nguy hiểm nhất từ trước đến nay.

Máy chủ Việt Nam đối mặt nguy cơ tấn công quy mô lớn

Với hơn 65% máy chủ web tại Việt Nam chạy trên nền tảng Linux theo thống kê của W3Techs, sự xuất hiện của PamDOORa đặt ra mối đe dọa nghiêm trọng cho cơ sở hạ tầng số của nước ta. Các doanh nghiệp từ ngân hàng, viễn thông đến thương mại điện tử đều sử dụng máy chủ Linux làm xương sống cho hoạt động kinh doanh. Một cuộc tấn công thành công có thể dẫn đến rò rỉ dữ liệu khách hàng, gián đoạn dịch vụ và tổn thất tài chính khổng lồ.

Chúng tôi đặc biệt lo ngại trước thực tế nhiều doanh nghiệp Việt Nam vẫn chưa có biện pháp giám sát PAM module đầy đủ. Theo báo cáo của Cục An toàn thông tin, năm 2023 đã ghi nhận 7.899 sự cố an ninh mạng tại Việt Nam, tăng 31% so với năm trước. Sự xuất hiện của PamDOORa có thể khiến con số này tăng vọt trong thời gian tới nếu các tổ chức không có biện pháp phòng ngừa kịp thời.

Bảo vệ ngay - từng bước cụ thể cho doanh nghiệp Việt

Trước mối đe dọa PamDOORa, các doanh nghiệp cần thực hiện ngay các biện pháp bảo vệ cụ thể. Đầu tiên, kiểm tra tính toàn vẹn của các PAM module bằng lệnh "rpm -V pam" trên RedHat/CentOS hoặc "dpkg -V libpam-modules" trên Ubuntu/Debian. Tiếp theo, triển khai giám sát log SSH chi tiết và thiết lập cảnh báo cho các kết nối bất thường từ các cổng không chuẩn. Cuối cùng, cập nhật ngay các bản vá bảo mật mới nhất và cân nhắc sử dụng two-factor authentication (2FA) cho tất cả tài khoản SSH.

Chúng tôi khuyến nghị các tổ chức Việt Nam nên phối hợp với Cục An toàn thông tin để được hướng dẫn chi tiết về việc phát hiện và loại bỏ PamDOORa. Đồng thời, đầu tư vào các giải pháp Endpoint Detection and Response (EDR) có khả năng giám sát hoạt động của PAM module. Với mức độ nguy hiểm của backdoor này, việc "phòng bệnh hơn chữa bệnh" là vô cùng quan trọng. Một lần nhiễm PamDOORa có thể khiến toàn bộ hệ thống bị kiểm soát mà không ai hay biết.