Bạn có nghĩ rằng tải phần mềm từ website chính thức là an toàn tuyệt đối? Vụ việc vừa xảy ra với DAEMON Tools sẽ khiến bạn phải suy nghĩ lại. Hàng nghìn người dùng đã vô tình biến máy tính của mình thành mục tiêu hoàn hảo cho tin tặc chỉ vì một lần tải phần mềm từ nguồn "đáng tin cậy". Đây chính là cuộc tấn công supply-chain (chuỗi cung ứng) tinh vi nhất mà chúng tôi từng chứng kiến trong năm 2024.

Khi phần mềm quen thuộc trở thành hung thủ nguy hiểm

DAEMON Tools - phần mềm ảo hóa đĩa CD/DVD được hàng triệu người sử dụng trên toàn thế giới - đã trở thành con dao hai lưỡi trong tay tin tặc. Kể từ ngày 8 tháng 4, các file cài đặt được tải từ trang chủ chính thức daemon-tools.cc đã bị cấy ghép mã độc một cách tinh vi. Người dùng vẫn nhận được phần mềm DAEMON Tools hoạt động bình thường, nhưng bên cạnh đó là một "món quà" không mong muốn: backdoor (cửa hậu) cho phép hacker kiểm soát hoàn toàn hệ thống.

Điều đáng sợ nhất là victim (nạn nhân) hoàn toàn không nhận ra điều bất thường. Phần mềm vẫn chạy mượt mà như mọi khi. Giao diện vẫn quen thuộc. Các tính năng ảo hóa đĩa vẫn hoạt động hoàn hảo. Chỉ có điều, deep down trong hệ thống, một đoạn mã nguy hiểm đang âm thầm mở cửa cho kẻ xâm nhập từ xa.

Phẫu thuật một cuộc tấn công chuỗi cung ứng hoàn hảo

Supply-chain attack (tấn công chuỗi cung ứng) là phương thức mà tin tặc không trực tiếp tấn công mục tiêu cuối, mà thay vào đó "đầu độc" chính nguồn phân phối phần mềm. Trong trường hợp DAEMON Tools, hacker đã xâm nhập thành công vào hạ tầng phân phối của nhà sản xuất và thay thế các file cài đặt gốc bằng phiên bản nhiễm độc. Đây là kỹ thuật tương tự như vụ SolarWinds năm 2020 từng gây chấn động thế giới, nhưng với quy mô nhỏ hơn và target (mục tiêu) khác biệt.

Payload (tải trọng độc hại) được cài cắm vào DAEMON Tools không phải là ransomware hay cryptocurrency miner thông thường. Thay vào đó, đây là một remote access trojan (RAT) - loại mã độc cho phép hacker điều khiển từ xa máy tính nạn nhân như thể đang ngồi trước máy. Chúng tôi phân tích sơ bộ cho thấy backdoor này có khả năng thu thập thông tin hệ thống, đánh cắp dữ liệu nhạy cảm, và thậm chí cài đặt thêm các payload khác mà không cần sự cho phép của người dùng.

Cơn địa chấn lan tỏa khắp cộng đồng người dùng

Con số thống kê ban đầu cho thấy ít nhất 5,000 lượt tải xuống phiên bản nhiễm độc đã được ghi nhận từ ngày 8/4 đến khi phát hiện vào cuối tháng 4. Với DAEMON Tools là phần mềm phổ biến tại Việt Nam, đặc biệt trong cộng đồng game thủ và những người làm việc với file ISO thường xuyên, chúng tôi ước tính có ít nhất vài trăm máy tính tại Việt Nam đã bị ảnh hưởng. Đây không chỉ là con số khô khan mà còn đại diện cho hàng trăm cá nhân, doanh nghiệp có thể đang đối mặt với nguy cơ bị xâm phạm dữ liệu nghiêm trọng.

Tác động domino effect (hiệu ứng domino) của vụ việc này còn nghiêm trọng hơn những gì chúng ta nhìn thấy trên bề mặt. Các máy tính bị nhiễm có thể trở thành stepping stone (bàn đạp) cho các cuộc tấn công tiếp theo vào mạng nội bộ doanh nghiệp. Nếu một nhân viên IT vô tình cài DAEMON Tools nhiễm độc trên máy có quyền truy cập cao, toàn bộ hệ thống công ty có thể bị compromise (xâm phạm).

Lộ trình tự vệ khẩn cấp cho người dùng Việt Nam

Nếu bạn đã tải và cài đặt DAEMON Tools từ trang chủ trong khoảng thời gian từ 8/4 đến cuối tháng 4, hành động ngay lập tức là điều tất yếu. Bước đầu tiên: ngắt kết nối internet để ngăn chặn backdoor communicate (giao tiếp) với command & control server (máy chủ điều khiển) của hacker. Tiếp theo, chạy full system scan (quét toàn hệ thống) bằng antivirus được cập nhật definition mới nhất. Chúng tôi khuyến cáo sử dụng thêm các công cụ anti-malware chuyên biệt như Malwarebytes để double-check (kiểm tra kép).

Với các doanh nghiệp, quy trình ứng phó cần systematic (có hệ thống) hơn. IT team cần inventory (kiểm kê) tất cả máy tính có cài DAEMON Tools trong thời gian nghi ngờ, isolate (cô lập) các máy tình nghi khỏi mạng nội bộ, và thực hiện incident response (ứng cứu sự cố) theo tiêu chuẩn. Quan trọng nhất, hãy thay đổi tất cả password quan trọng và enable two-factor authentication (xác thực hai yếu tố) cho các tài khoản nhạy cảm. Kinh nghiệm 10 năm của chúng tôi cho thấy: trong trường hợp nghi ngờ, paranoid (hoang tưởng) vẫn tốt hơn là careless (bất cẩn).