Microsoft: tin tặc đang "nhòm ngó" Windows qua hệ thống cập nhật phần mềm

18:44, Thứ Bảy, 06/05/2017 (GMT+7)

(XHTT) - Mới đây, Microsoft đã đưa ra cảnh báo về một loạt các vụ tấn công mới nhằm chiếm quyền điều khiển hệ thống cập nhật phần mềm phổ biến, sau đó triển khai phần mềm độc hại trên các máy tính thuộc sở hữu của các tổ chức tài chính và các dịch vụ thanh toán.

Mặc dù, Microsoft không tiết lộ tên của giải pháp phần mềm đang bị tấn công, nhưng họ khẳng định đó là một ứng dụng biên tập rất phổ biến và nhà cung cấp phần mềm tạo ra nó cũng đang phải hứng chịu một số cuộc tấn công tương tự.

Loạt các cuộc tấn công mới này đã được phát hiện bởi nhóm nghiên cứu Windows Defender Advanced Threat Protection (Windows Defender ATP). Đồng thời các chuyên gia này cũng cho biết, công ty phát triển phần mềm mục tiêu đã không nhận thức được hết vấn đề này.

Theo Microsoft, việc phát hiện sớm vấn đề cũng cho phép các chuyên gia ứng cứu kịp thời – đây có thể xem là sự hợp tác giữa các chuyên gia bảo mật của các ngành công nghiệp mục tiêu và các nhà phát triển làm việc cho các nhà cung cấp phần mềm của bên thứ ba cùng với các chuyên gia nghiên cứu bảo mật của Microsoft nhanh chóng xác định và vô hiệu hóa các hoạt động liên quan đến chiến dịch tấn công mạng này.

Bằng cách chiếm quyền điều khiển hệ thống cập nhật phần mềm, tin tặc đã triển khai một tệp thực thi trên các máy tính mục tiêu, sau đó giành quyền truy cập từ xa và cuối cùng là kiểm soát được các mục tiêu của chúng.

"Các kịch bản PowerShell để kiểm soát hệ thống"

Tệp thực thi sử dụng tập lệnh PowerShell đi kèm với trình bao đảo ngược Meterpreter, có thể cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn hệ thống máy tính mà chủ nhân không hề hay biết. Microsoft cũng cảnh báo những tập lệnh như Rivit (là phần mềm được nghiên cứu và phát triển bởi hãng Autodesk – một phần mềm mạnh mẽ hỗ trợ cho các kiến trúc sư, kỹ sư xây dựng).

Cũng theo các chuyên gia của Microsoft, hình thức tấn công nói trên không phải là mới, mà tin tặc đã sử dụng một kỹ thuật tương tự trong quá khứ để nhắm vào một số mục tiêu cao cấp, mặc dù trong trường hợp này, các cuộc tấn công nhằm vào các hệ thống có giá trị hơn, chủ yếu là liên quan đến tài chính

Kỹ thuật tổng quát của phần mềm tự động cập nhật mục tiêu và cơ sở hạ tầng của họ đã đóng một vai trò thiết yếu trong một loạt các cuộc tấn công cao cấp, chẳng hạn như các sự cố liên quan đến quá trình cập nhật EvLog của Altair Technologies, cơ chế tự động cập nhật phần mềm SimDisk của Hàn Quốc và máy chủ cập nhật được sử dụng bởi ứng dụng nén ALZip của ESTsoft.

Microsoft cho rằng các nhà phát triển phần mềm của bên thứ ba nên nâng cấp khả năng bảo mật của cơ chế cập nhật, đồng thời chỉ ra rằng cơ chế mã hóa mạnh đã trở thành điều sống còn trước các cuộc tấn công cướp hệ thống máy chủ đang ngày càng gia tăng.

Bên cạnh đó, các nhà sản xuất phần mềm không nên cho phép các lệnh thực thi ẩn danh và cần phải duy trì các chữ ký số có hiệu lực đối với hệ thống của mình.

Theo tổng kết của các chuyên gia, chỉ cần dựa vào những dấu hiệu lạ xuất hiện trong quá trình sử dụng máy tính, có thể biết được máy của bạn đã và đang bị tấn công hay chưa để tìm cách khắc phục ngay. Có 11 dấu hiệu sau đây: Thông báo của trình chống virus giả; Xuất hiện thanh công cụ lạ; Kết quả tìm kiếm hiển thị ở một trang “lạ”; Xuất hiện liên tục các pop-up; Người thân nhận được email hoặc tin nhắn giả mạo tài khoản của bạn; Mật khẩu của tài khoản trực tuyến đột ngột bị thay đổi; Máy tính tự cài những phần mềm lạ; Con trỏ chuột chạy lung tung và dừng lại đúng mục tiêu chỉ định của hacker; Các chương trình chống virus, Task Manager, Registry Editor bị vô hiệu hóa; Tài khoản ngân hàng bị mất tiền; Nhận được cuộc gọi về những đơn đặt hàng.

 

Hoàng Thanh (theo Smedia)

 

.
.
.
.
.

.
.
.