Tưởng tượng bạn mua một sản phẩm có tem chống hàng giả của chính phủ, nhưng hóa ra đó lại là hàng độc hại? Fox Tempest đã làm điều tương tự với phần mềm máy tính. Nhóm tội phạm mạng này vận hành dịch vụ ký số (digital signing) cho malware, khiến ransomware và các phần mềm độc hại trông như phần mềm hợp pháp. Microsoft vừa triệt phá thành công mạng lưới này sau một cuộc điều tra kéo dài. Đây được coi là một trong những dịch vụ 'tẩy trắng' malware tinh vi và nguy hiểm nhất từng được phát hiện.

Khi chữ ký số thành 'vũ khí' của tội phạm mạng

Chữ ký số (digital signature) hoạt động như tem chống hàng giả điện tử, xác nhận phần mềm được phát hành bởi nhà phát triển đáng tin cậy và không bị chỉnh sửa. Khi người dùng tải phần mềm có chữ ký số hợp lệ, hệ điều hành sẽ tin tưởng và cho phép cài đặt mà không cảnh báo. Fox Tempest đã lợi dụng lòng tin này bằng cách cung cấp dịch vụ ký số cho các nhóm tội phạm mạng với giá 'hời'.

Theo phân tích của chúng tôi, đây không chỉ là hoạt động đơn lẻ mà là một 'siêu thị' chuyên nghiệp phục vụ cộng đồng cybercrime toàn cầu. Dịch vụ này giúp ransomware và malware khác vượt qua các hệ thống bảo mật hiện đại một cách dễ dàng. Điều đáng lo ngại là Fox Tempest có thể đã hoạt động âm thầm trong nhiều năm trước khi bị phát hiện.

Công nghệ 'tẩy trắng' malware đỉnh cao

Fox Tempest sử dụng các chứng chỉ code signing (chứng chỉ ký mã) hợp pháp để tạo chữ ký số cho malware. Những chứng chỉ này có thể được mua từ các Certificate Authority (CA) - tổ chức cấp chứng chỉ số uy tín - bằng thông tin giả mạo, hoặc đánh cắp từ các công ty thật. Khi malware được ký bằng chứng chỉ này, các phần mềm antivirus và Windows Defender sẽ khó phát hiện hơn đáng kể.

Quy trình hoạt động của Fox Tempest rất chuyên nghiệp: tội phạm mạng gửi malware thô, thanh toán phí dịch vụ (thường bằng cryptocurrency), sau đó nhận lại sản phẩm đã được 'tẩy trắng' với chữ ký số hợp lệ. Điều này biến việc phát tán malware từ hoạt động có rủi ro cao thành quy trình đơn giản như mua hàng online. Chúng tôi đánh giá đây là bước tiến nguy hiểm trong việc công nghiệp hóa tội phạm mạng.

Tác động khủng khiếp đến an ninh toàn cầu

Dịch vụ của Fox Tempest đã giúp hàng nghìn mẫu malware vượt qua hệ thống phòng thủ của các tổ chức trên toàn thế giới. Các nhóm ransomware nổi tiếng có thể đã sử dụng dịch vụ này để tấn công bệnh viện, trường học, và doanh nghiệp mà không gặp trở ngại từ các giải pháp bảo mật truyền thống. Việc malware mang chữ ký số hợp pháp khiến ngay cả những người dùng cẩn thận cũng có thể bị lừa.

Tại Việt Nam, xu hướng tấn công bằng malware có chữ ký số giả mạo đang gia tăng đáng báo động. Theo báo cáo từ các đơn vị an ninh mạng trong nước, nhiều doanh nghiệp Việt đã trở thành nạn nhân của các cuộc tấn công sử dụng kỹ thuật này. Sự tồn tại của Fox Tempest giải thích tại sao malware ngày càng khó phát hiện và nguy hiểm hơn.

Cách bảo vệ doanh nghiệp Việt Nam

Doanh nghiệp cần triển khai ngay giải pháp phân tích hành vi (behavior analysis) thay vì chỉ dựa vào danh sách đen malware truyền thống. Cập nhật Windows Defender và các phần mềm antivirus lên phiên bản mới nhất để có khả năng phát hiện malware có chữ ký số đáng ngờ. Đặc biệt quan trọng là thiết lập chính sách Application Control, chỉ cho phép chạy phần mềm từ các nhà phát hành đã được xác minh kỹ lưỡng.

Chúng tôi khuyến cáo các tổ chức nên đầu tư vào giải pháp EDR (Endpoint Detection and Response) có khả năng giám sát hoạt động bất thường ngay cả khi malware có chữ ký số hợp lệ. Đồng thời, tăng cường đào tạo nhận thức an ninh mạng cho nhân viên, vì con người vẫn là khâu yếu nhất trong chuỗi bảo mật. Việc Microsoft triệt phá được Fox Tempest chỉ là khởi đầu - các dịch vụ tương tự khác chắc chắn sẽ xuất hiện để lấp chỗ trống này.