Có bao giờ bạn tưởng tượng kẻ trộm có thể sử dụng chính hệ thống khóa của ngân hàng để đột nhập vào két sắt? Microsoft vừa phải đối mặt với tình huống tương tự khi phát hiện ra một mạng lưới tội phạm mạng đã biến dịch vụ Artifact Signing của hãng thành "nhà máy" sản xuất chứng thư số giả mạo. Các chứng thư này sau đó được bán cho các băng nhóm ransomware và tội phạm mạng khác để "hợp pháp hóa" malware của chúng. Đây là lần đầu tiên trong lịch sử, một dịch vụ MSaaS (Malware-Signing-as-a-Service - dịch vụ ký chứng thư cho malware) hoạt động ngay trên chính nền tảng của một tập đoàn công nghệ hàng đầu thế giới.

Khi công nghệ bảo mật trở thành vũ khí tấn công

Artifact Signing service được Microsoft thiết kế ban đầu nhằm giúp các nhà phát triển ký chứng thư số cho phần mềm của họ, tạo ra "con dấu tin cậy" giúp hệ điều hành và phần mềm antivirus nhận diện được phần mềm chính thống. Tuy nhiên, các tội phạm mạng đã tìm ra cách lạm dụng dịch vụ này để tạo ra những chứng thư số có vẻ hoàn toàn hợp pháp cho các mã độc của chúng. Điều này giống như việc hacker có thể làm giả con dấu của cơ quan chính phủ để "chứng minh" tính hợp pháp cho hoạt động bất hợp pháp.

Chúng tôi cho rằng đây là một trong những vụ việc nghiêm trọng nhất trong năm 2024 bởi nó không chỉ là một lỗ hổng kỹ thuật đơn thuần mà còn là sự sụp đổ của toàn bộ hệ thống tin cậy trong ký chứng thư số. Khi malware được "ký chứng thư chính thức", các hệ thống bảo mật truyền thống sẽ coi chúng là phần mềm an toàn, tạo ra lớp ngụy trang hoàn hảo cho các cuộc tấn công. Theo thông tin từ Microsoft, mạng lưới MSaaS này đã hoạt động trong thời gian dài trước khi bị phát hiện.

Giải mã chiến thuật tinh vi của tội phạm mạng

Để hiểu rõ mức độ tinh vi của vụ việc này, chúng ta cần nắm được cách thức hoạt động của code signing certificate (chứng thư ký mã). Đây là công nghệ sử dụng mã hóa khóa công khai để xác minh tính toàn vẹn và nguồn gốc của phần mềm. Khi một phần mềm được ký bởi chứng thư hợp lệ, hệ điều hành sẽ tin tưởng và cho phép nó chạy mà không cảnh báo người dùng. Các tội phạm mạng đã lợi dụng chính cơ chế tin cậy này để "tẩy trắng" malware.

Quy trình tấn công diễn ra theo nhiều bước phức tạp. Đầu tiên, các hacker tìm cách tiếp cận dịch vụ Artifact Signing của Microsoft thông qua các tài khoản giả mạo hoặc đã bị xâm nhập. Sau đó, chúng sử dụng dịch vụ để tạo ra những chứng thư số có vẻ chính thống cho các file malware. Cuối cùng, những chứng thư này được bán trên dark web như một dịch vụ, cho phép bất kỳ tội phạm mạng nào cũng có thể "hợp pháp hóa" phần mềm độc hại của mình chỉ với vài click chuột.

Thiệt hại lan rộng trên toàn cầu

Tác động của vụ việc này không chỉ dừng lại ở việc một vài máy tính bị nhiễm malware. Theo đánh giá của chúng tôi, việc lạm dụng hệ thống ký chứng thư của Microsoft có thể đã ảnh hưởng đến hàng triệu thiết bị trên toàn thế giới. Các băng nhóm ransomware - những kẻ đã gây ra thiệt hại hàng tỷ USD trong những năm gần đây - nay có thể dễ dàng phá vỡ các hệ thống phòng thủ truyền thống nhờ có "lá chắn" chứng thư số giả mạo.

Đối với Việt Nam, nơi các doanh nghiệp vừa và nhỏ thường dựa vào các giải pháp antivirus cơ bản, nguy cơ càng trở nên nghiêm trọng hơn. Khi malware được ký chứng thư "hợp pháp", các phần mềm antivirus phổ thông sẽ khó phát hiện ra chúng, tạo ra lỗ hổng bảo mật khổng lồ cho hệ thống doanh nghiệp Việt. Các chuyên gia an ninh mạng trong nước cảnh báo rằng đây có thể là tiền đề cho một làn sóng tấn công mới nhắm vào khu vực Đông Nam Á.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp Việt

Trước mối đe dọa này, các doanh nghiệp và tổ chức Việt Nam cần thực hiện ngay một số biện pháp bảo vệ cấp thiết. Thứ nhất, hãy cập nhật ngay tất cả các phần mềm antivirus và endpoint security lên phiên bản mới nhất để đảm bảo có thể phát hiện các mã độc sử dụng chứng thư giả mạo. Thứ hai, triển khai giải pháp Application Control hoặc Allowlisting để chỉ cho phép các phần mềm đã được xác minh chạy trên hệ thống doanh nghiệp.

Chúng tôi khuyến nghị các CISO và quản trị viên IT nên xem xét việc sử dụng các giải pháp Threat Intelligence để theo dõi các chỉ số xâm nhập (IoCs) liên quan đến vụ việc này. Đồng thời, hãy tăng cường giám sát các hoạt động bất thường trên mạng nội bộ, đặc biệt chú ý đến các file thực thi mới xuất hiện có chứng thư ký gần đây. Việc backup dữ liệu quan trọng và thực hiện các bài kiểm tra khôi phục định kỳ cũng trở nên cực kỳ quan trọng trong bối cảnh này. Microsoft đã cam kết sửa chữa lỗ hổng này, nhưng những tác động từ các chứng thư đã bị lạm dụng có thể kéo dài trong nhiều tháng tới.