Ít nhất 20 công ty công nghệ lớn bị ảnh hưởng từ malware của CCleaner, trong đó có cả Google, Samsung và Microsoft

CCleaner chỉ là công cụ để một thế lực bí ẩn nào đó thao túng Internet, không hơn không kém

Sự việc hàng trăm ngàn máy tính bị xâm nhập qua malware bởi một phần mềm “dọn rác” siêu phổ biến đã khiến dư luận một phen tá hỏa thời gian vừa qua, thế nhưng hậu quả khôn lường của thảm họa này giờ đây mới khởi đầu dần lộ rõ. Các nhà nghiên cứu đang cho rằng nhóm hacker đứng sau vụ việc này không chỉ nhắm vào mục đích lây lan malware diện rộng, mà còn có ý đồ thực hiện các làm việc gián điệp nhằm chiếm quyền vào web vào mạng lưới nội bộ của ít nhất 20 công ty công nghệ.

Hồi đầu tuần, hai công ty Morphisec và Cisco đã hé lộ về việc CCleaner, phần mềm dọn file rác phổ biến nhất trên toàn cầu, của công ty Avast đến từ Czech đã bị hack và gắn đầy mã backdoor nhằm lách qua mọi bước kiểm tra an ninh của Avast. Kết cục là phần mềm CCleaner sau khi dính mã độc đã được cài lên hơn 700.000 máy tính. Hôm qua, các nhà nghiên cứu tại nhóm bảo mật Talos của Cisco cho hay họ đã tìm hiểu được máy chủ “ra lệnh-và-kiểm soát”, vốn dĩ liên kết với các version CCleaner dính mã độc mà người sử dụng cài lên PC của mình.

Trên máy chủ đó, các nhà nghiên cứu tìm ra bằng chứng cho thấy tin tặc đã dốc sức lọc ra trong số các nạn nhân để tìm các máy tính thuộc hệ thống mạng lưới nội bộ của 20 công ty công nghệ lớn, bao gồm cả Intel, Google, Microsoft, Akamai, Samsung, Sony, VMware, HTC, đường dẫnsys, D-đường dẫn và chính bản thân Cisco. phân nửa trong số các công ty bị nhắm vào, theo giám đốc nghiên cứu Craig Williams của Talos, tin tặc đã tìm ra được thành công một máy tính trong mạng lưới nội bộ, để từ đó dùng backdoor lây nhiễm thêm một loại malware có chức năng gắn chặt vào mạng lưới – Cisco cho rằng malware này được tạo ra với ý đồ gián điệp công nghiệp.

William nói: “Khi chúng tôi mới tìm ra chuyện này, chúng tôi nhận ra rằng nó đã lây lan sang nhiều công ty rồi. Giờ ta biết được thêm rằng nó được dùng như một tấm lưới đánh cá nhắm vào 20 công ty công nghệ toàn cầu này để tìm một chỗ chôn chân trong mạng lưới nội bộ các công ty, từ đó đánh cắp các bí mật công nghiệp vô giá, bao gồm cả từ Cisco”.

Một mạng lưới rộng khắp

Cisco cho hay công ty đã thu thập được một bản sao kỹ thuật số của máy chủ command-and-server từ một nguồn vô danh có quan hệ trong cuộc điều tra về CCleaner. Máy chủ này chứa một lượng data nền của mọi máy tính bị xâm nhập nào đã liên lạc về máy chủ – tức máy tính của các tin tặc – khoảng thời gian từ 12/9 đến 16/9. Trong đó bao gồm 700.000 máy tính, con số mà chính Avast công bố vào lúc hãng phát giác ra mạng lưới bị thâm nhập. Nhưng không dừng lại ở đó, cơ sở data kia còn chứa một list cụ thể các tên miền mà hacker đã cài đặt malware thứ hai vào, hay là những tên miền nào chịu ảnh hưởng từ cú lây dịch thứ hai này.

Mã độc thứ hai nói trên nhắm vào 20 công ty, mặc dù vậy Williams không quên quan tâm rằng trong đó một vài công ty bị chiếm nhiều hơn một máy tính, và cũng lại có những công ty không bị chiếm quyền kiểm soát máy tính. Ông từ chối chỉ đích danh công ty nào đã bị xâm nhập, nhưng Cisco cho hay mình đã cảnh báo tới tất cả các công ty nạn nhân về vụ tấn công.

Williams còn nói thêm rằng list đối tượng mà Cisco tìm thấy được không hoàn toàn đẩy đủ mà dường như đã bị “cắt” bớt. Nhiều kỹ xảo bản gốc có thể chứa bằng chứng về các đối tượng khác, dù xâm nhập thành công hay chưa, mà các hacker âm mưu lây lan trong thời gian đầu của vụ phát tán malware kéo dài một tháng này.

Với các công ty không may bị nhiêm malware, Cisco cảnh báo rằng chỉ bằng cách xóa CCleaner đi không hoàn toàn cam kết phần mềm backdoor đã được xóa. Cũng không có gì đảm bảo rằng CCleaner chưa cài đặt phần mềm thứ hai nào có kỹ xảo làm việc độc lập. Thay vì xóa CCleaner, Cisco khuyên nên sao lưu và phục hồi lại tất cả hệ thống về lúc trước khi cài đặt app. Williams nói: “Nếu bạn không tìm được cách phục hồi lại hệ thống từ backup, nguy cơ rất cao là bạn vẫn chưa dọn sạch được malware đâu”.

Thực sự đối tượng của cuộc tấn công này là gì?

Âm mưu đằng sau cuộc tấn công là gì?

Quy mô chính xác của cuộc tấn công mang tên CCleaner này sẽ còn tiếp tục lan rộng. Nhưng hiện giờ ta đã có thể coi đây là một ví dụ nghiêm túc về hàng loạt các vụ tấn công qua phần mềm làm chao đảo cộng đồng internet thời gian thời gian này. Hai tháng trước, tin tặc chiếm quyền kiểm soát cơ chế update của một phần mềm kế toán của Ukrain có tên Medoc để phát tán mã độc NotPetya, gây tổn thất vô cùng nghiêm trọng tới nhiều công ty của Ukrain hay là tại châu Âu và Mỹ. Đối với hoàn cảnh của CCleaner, nạn nhân tự tay cài đặt một phần mềm đáng lý ra phải hoàn toàn “sạch sẽ” từ một công ty, dù nhỏ, nhưng đáng tin cậy, để rồi tiếp nữa nhận quả đắng khi phần mềm mình cài đặt chứa mã độc tấn công sâu và cắm rễ trong hệ thống.

trở lại lúc của NotPetya, nhiều cộng đồng nghiên cứu an ninh mạng đã chuyển kết luận của mình từ một cuộc tấn công tống tiền đơn thuần sang một âm mưu bí ẩn, kinh to lớn hơn được tạo ra bởi các hacker cấp quốc gia. giờ đây, dường như vụ việc CCleaner đang tiến triển theo chiều hướng giống như, và ta cần hành động ngay trước khi mọi thứ trở nên quá muộn.