Liệu bạn có tin được rằng chính Microsoft - gã khổng lồ công nghệ từng tự hào về hệ thống bảo mật - lại trở thành kẻ đồng phạm không tình trong các cuộc tấn công ransomware? Điều không thể tin nổi này đã xảy ra khi nhóm hacker Fox Tempest thành công biến hệ thống Artifact Signing của Microsoft thành vũ khí tấn công hàng loạt. Chúng tôi cho rằng đây là một trong những vụ lạm dụng nghiêm trọng nhất đối với hạ tầng tin cậy của một tập đoàn công nghệ lớn. Sự kiện này một lần nữa cho thấy không có hệ thống nào là tuyệt đối an toàn, kể cả từ những nhà cung cấp uy tín nhất.

Khi niềm tin biến thành con dao hai lưỡi

Malware-signing-as-a-Service (MSaaS) - dịch vụ ký mã độc như một dịch vụ - là mô hình kinh doanh tội phạm mới nổi mà Fox Tempest đã khai thác một cách tinh vi. Nhóm này đã lợi dụng hệ thống Artifact Signing của Microsoft, vốn được thiết kế để đảm bảo tính xác thực và an toàn cho các file thực thi, để ký xác nhận cho mã độc. Điều đáng sợ là những file độc hại này khi đã được ký bởi Microsoft sẽ được hệ điều hành Windows tin tưởng hoàn toàn, bypass mọi cơ chế bảo vệ.

Chúng tôi đánh giá đây không chỉ là một cuộc tấn công đơn lẻ mà là cả một hệ sinh thái tội phạm hoàn chỉnh. Fox Tempest đã xây dựng mô hình MSaaS để bán dịch vụ ký mã độc cho các nhóm ransomware khác, tạo ra một chuỗi cung ứng tội phạm mạng có tổ chức. Việc Microsoft mất tới nhiều tháng mới phát hiện ra hoạt động này cho thấy mức độ tinh vi của cuộc tấn công và sự thiếu sót trong giám sát hệ thống của gã khổng lồ công nghệ.

Anatomy của một cuộc tấn công có chữ ký số

Digital signature (chữ ký số) hoạt động như một con dấu xác nhận tính xác thực của phần mềm, đảm bảo rằng code không bị chỉnh sửa sau khi được phát hành và đến từ nguồn đáng tin cậy. Hệ thống Artifact Signing của Microsoft chính là một trong những dịch vụ chữ ký số được tin tưởng nhất trong hệ sinh thái Windows. Khi một file được ký bởi Microsoft, Windows Defender và các phần mềm bảo mật khác sẽ tự động coi đó là an toàn và cho phép thực thi mà không cảnh báo.

Fox Tempest đã khai thác chính điểm yếu này một cách thông minh. Bằng cách đăng ký các tài khoản developer giả mạo và sử dụng các kỹ thuật social engineering, nhóm này đã thành công lừa qua hệ thống xác minh của Microsoft để có được quyền sử dụng dịch vụ ký. Theo phân tích của chúng tôi, đây là lỗ hổng trong quy trình xác minh danh tính chứ không phải lỗ hổng kỹ thuật. Microsoft đã quá tin tưởng vào quy trình thủ công mà không có đủ cơ chế giám sát tự động để phát hiện những bất thường.

Khi "con dấu tin cậy" trở thành vũ khí hủy diệt

Tác động của chiến dịch MSaaS này là khủng khiếp. Hàng nghìn máy tính và mạng lưới trên toàn thế giới đã bị xâm nhập thông qua các file mã độc mang "con dấu Microsoft chính hãng". Các cuộc tấn công ransomware sử dụng mã độc được ký bởi hệ thống này có tỷ lệ thành công cao bất thường vì chúng được hệ thống tin tưởng hoàn toàn. Chúng tôi ước tính thiệt hại tài chính từ các cuộc tấn công này có thể lên tới hàng chục triệu USD.

Đối với thị trường Việt Nam, mối đe dọa này đặc biệt nghiêm trọng bởi hầu hết doanh nghiệp Việt sử dụng hệ điều hành Windows và tin tưởng vào chữ ký số của Microsoft. Theo thống kê từ Cục An toàn thông tin (Bộ TT&TT), số vụ tấn công ransomware tại Việt Nam đã tăng 300% trong năm 2023, và chúng tôi lo ngại rằng một phần trong số này có thể đã sử dụng kỹ thuật MSaaS tương tự.

Lá chắn phòng thủ trong thời đại niềm tin bị phản bội

Doanh nghiệp Việt Nam cần ngay lập tức rà soát lại chiến lược bảo mật của mình. Thứ nhất, triển khai giải pháp Zero Trust Security - không tin tưởi tuyệt đối bất kỳ file nào kể cả có chữ ký số. Thứ hai, sử dụng multiple layers của các phần mềm bảo mật từ nhiều nhà cung cấp khác nhau thay vì chỉ dựa vào Windows Defender. Thứ ba, thiết lập hệ thống monitoring (giám sát) liên tục để phát hiện các hoạt động bất thường trong mạng nội bộ.

Chúng tôi khuyến nghị mạnh mẽ các CIO và CISO Việt Nam nên áp dụng Application Whitelisting - chỉ cho phép chạy những ứng dụng được phê duyệt cụ thể thay vì blacklisting. Đồng thời, cần đầu tư vào đào tạo nhận thức bảo mật cho nhân viên vì con người vẫn là khâu yếu nhất trong chuỗi bảo mật. Sự kiện này một lần nữa nhắc nhở chúng ta rằng trong thời đại số, nghi ngờ có thể là đức tính cần thiết để sinh tồn.