Khi tải phần mềm từ trang chính thức của nhà phát triển, bạn có thực sự an toàn? Kaspersky vừa phát hiện một cuộc tấn công chuỗi cung ứng (supply chain attack) nhắm vào DAEMON Tools - phần mềm ảo hóa đĩa nổi tiếng với hàng triệu người dùng toàn cầu. Điều đáng lo ngại nhất là các file cài đặt độc hại được phân phối trực tiếp từ website chính thức và mang chữ ký số hợp lệ của DAEMON Tools. Chúng tôi cho rằng đây là một trong những cuộc tấn công tinh vi nhất năm 2024, khiến ngay cả người dùng cẩn thận nhất cũng khó lòng phát hiện.

Khi kẻ thù đội lốt bạn bè

Theo báo cáo từ các chuyên gia Igor Kuznetsov, Georgy Kucherin và Leonid của Kaspersky, đây không phải cuộc tấn công ngẫu nhiên. Hacker đã xâm nhập vào hạ tầng phân phối của DAEMON Tools và thay thế các file cài đặt gốc bằng phiên bản chứa mã độc. Điều khiến cuộc tấn công này trở nên đặc biệt nguy hiểm là tất cả file độc hại đều được ký số bằng chứng chỉ kỹ thuật số chính thống của DAEMON Tools.

Supply chain attack hay tấn công chuỗi cung ứng là phương thức tấn công gián tiếp, trong đó hacker không nhắm thẳng vào mục tiêu mà xâm nhập vào các nhà cung cấp phần mềm hoặc dịch vụ mà mục tiêu tin tưởng. Chúng tôi từng chứng kiến những cuộc tấn công tương tự như vụ SolarWinds năm 2020 làm rúng động cộng đồng an ninh mạng toàn cầu, ảnh hưởng đến hàng nghìn tổ chức lớn.

Lớp ngụy trang hoàn hảo không thể chối cãi

Chữ ký số (digital signature) được coi là "dấu ấn" xác thực tính hợp pháp của phần mềm, tương tự như con dấu đỏ của cơ quan nhà nước. Khi một file được ký số bởi nhà phát triển, hệ điều hành Windows sẽ hiển thị thông báo "Publisher verified" và cho phép cài đặt mà không cảnh báo. Việc hacker sử dụng được chứng chỉ kỹ thuật số chính thống của DAEMON Tools cho thấy mức độ xâm nhập sâu vào hệ thống nội bộ của công ty.

Thông thường, người dùng có thể nhận biết phần mềm độc hại thông qua các dấu hiệu như chứng chỉ không hợp lệ, nguồn gốc đáng ngờ hoặc cảnh báo từ trình duyệt. Tuy nhiên, trong trường hợp này, mọi kiểm tra bảo mật thông thường đều cho kết quả "an toàn". Đây chính là lý do tại sao cuộc tấn công này cực kỳ nguy hiểm và có thể đã âm thầm lây nhiễm trong thời gian dài mà không bị phát hiện.

Tác động lan rộng khó lường

DAEMON Tools là một trong những phần mềm ảo hóa đĩa phổ biến nhất thế giới, đặc biệt được yêu thích tại Việt Nam để chạy các file ISO, tạo ổ đĩa ảo cho game và phần mềm. Theo thống kê không chính thức, ít nhất 30% máy tính tại Việt Nam có cài đặt DAEMON Tools hoặc các phiên bản tương tự. Con số người dùng bị ảnh hưởng có thể lên đến hàng triệu, bao gồm cả các doanh nghiệp và cơ quan nhà nước.

Chúng tôi đặc biệt lo ngại về tình hình tại Việt Nam vì thói quen tải phần mềm từ các nguồn không chính thống vẫn còn phổ biến. Ironically, trong trường hợp này, chính những người dùng "ngoan hiền" tải từ trang chủ chính thức lại trở thành nạn nhân. Malware được cài cắm có thể thu thập thông tin cá nhân, mật khẩu, hoặc biến máy tính thành botnet phục vụ các hoạt động tấn công khác.

Bảo vệ bản thân trước hiểm họa khôn lường

Người dùng Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống: Đầu tiên, gỡ cài đặt hoàn toàn DAEMON Tools nếu đã tải trong 3 tháng gần đây, sau đó chạy quét virus toàn bộ hệ thống bằng nhiều công cụ antivirus khác nhau. Thứ hai, thay đổi tất cả mật khẩu quan trọng bao gồm email, ngân hàng, mạng xã hội và tài khoản công việc. Thứ ba, kiểm tra hoạt động bất thường trên các tài khoản tài chính và báo cáo ngay nếu phát hiện giao dịch đáng ngờ.

Về lâu dài, chúng tôi khuyến nghị triển khai giải pháp bảo mật nhiều lớp (multi-layer security) bao gồm antivirus enterprise, firewall và EDR (Endpoint Detection and Response) cho doanh nghiệp. Đối với người dùng cá nhân, hãy bật tính năng Windows Defender Real-time Protection và cân nhắc sử dụng thêm Malwarebytes Premium. Quan trọng nhất, luôn cập nhật hệ điều hành và không tắt các cảnh báo bảo mật dù chúng có thể "phiền phức".