Malware tấn công vào firmware, kể cả máy Mac

Có một nếp nghĩ lâu nay khi so sánh với PC, máy Mac của Apple lúc nào cũng được cho là bảo mật tốt hơn. Cụ thể là khi nói đến firmware, người ta thường cho rằng hệ thống Apple khoá chặt mọi ngõ ngách khiến tin tặc không thể xâm nhập, khác hoàn toàn với PC.

Nhưng điều đó có thể không còn đúng nữa. Hai nhà nghiên cứu bảo mật vừa phát hiện vài lỗi bảo mật tấn công vào firmware trên PC cũng có thể nhiễm vào firmware của Mac. Để chứng thực điều này, họ đã tạo một mẫu malware, lần đầu tiên tấn công qua firmware hệ thống, có thể lây nhiễm từ MacBook này sang MacBook khác mà không cần kết nối mạng.

Kiểu tấn công này khiến những người làm bảo mật hệ thống phải xem xét lại kỹ lưỡng hơn vì firmware cho phép tin tặc tấn công từ xa, trực tiếp mà không qua dây nhợ, và nhất là theo cách rất "ẩn" mà những biện pháp bảo mật thông thường rất khó lòng phát hiện được. Cập nhật firmware đòi hỏi cần có firmware hiện tại đang chạy trên máy, nên bất kỳ malware nào nhiễm vào firmware hiện tại có thể ngăn chặn không cho cập nhật firmware mới, hoặc đơn giản chỉ việc malware đó tự ghi lại lên firmware mới. Cách duy nhất để loại bỏ malware trong firmware của máy tính là re-flash lại chip có chứa firmware.

Xeno Kovah, một trong những nhà nghiên cứu phát hiện ra lỗi này cho biết kiểu tấn công này rất khó nhận diện và cũng rất khó loại trừ nó, vì thực sự khó khăn khi phải đụng chạm đến phần firmware của hệ thống máy tính. Đối với phần lớn người dùng, nếu gặp phải tình trạng này, đa phần họ khó lòng tự mình khắc phục được, nhất là khi phải mở cả máy tính ra và re-flash lại chip.

Đây là một trong những cách mà những tổ chức tình báo, trong đó có NSA của Mỹ, từng thực hiện. Thực tế, những tài liệu mà Edward Snowden tiết lộ và Kaspersky Lab tiến hành kiểm chứng, đã cho thấy NSA đã từng phát triển những kỹ thuật phức tạp để tấn công vào firmware.

Kovah, người sở hữu công ty tư vấn bảo mật LegbaCore, cùng với kỹ sư bảo mật Trammell Hudson ở Two Sigma Investments sẽ bàn về những phát hiện mới này của họ trong hội nghị bảo mật Black Hat vào ngày 6/8 tới đây tổ chức ở Las Vegas, Mỹ.

Ảnh minh họa từ Internet

Firmware lõi của một máy tính, có thể xem là BIOS, UEFI hoặc EFI, là một phần mềm khởi động máy tính và khởi chạy hệ điều hành. Nó có thể nhiễm malware bởi vì hầu hết nhà sản xuất phần cứng không mã hoá firmware nhúng trong hệ thống của họ, hoặc những bản update firmware không có bất kỳ chức năng xác thực nào để ngăn chặn malware "tỏ ra hợp lệ" để update firmware cả.

 Firmware là một nơi rất "ngon lành" để dấu malware trên máy tính bởi vì nó vận hành ở mức thấp, nơi mà phần mềm bảo mật, diệt virus không với tới được, do đó nói chung nó không hề bị phát hiện. Cũng rất khó cho người dùng kiểm tra thủ công bản firmware của mình có "sạch" hay không. Đồng thời, cho dù bạn có xoá hết dữ liệu trên ổ cứng máy tính và cài lại hệ điều hành thì malware vẫn tồn tại.

Trở lại với máy Mac, năm ngoái, Kovah và đồng nghiệp của ông tại LegbaCore là Corey Kallenberg, phát hiện một loạt lỗ hổng bảo mật trong firmware, nhiễm đến 80% PC mà họ kiểm tra, trong đó có cả PC của Dell, Lenovo, Samsung và HP. Mặc dù các nhà sản xuất phần cứng có đưa ra vài biện pháp bảo vệ để khiến người dùng khó lòng chỉnh sửa firmware nhưng những lỗ hổng được phát hiện cho phép tin tặc có thể qua mặt được những biện pháp an toàn ấy và re-flash lại BIOS để "cấy" malware vào. Kovah và Hudson cũng thấy lỗ hổng tương tự trên firmware của Apple và có thể tạo mã để nhiễm vào firmware flash khởi động của MacBook. Họ phát hiện có tổng cộng 6 lỗ hổng, trong đó có 5 lỗ hổng tác động được tới Mac. Những lỗ hổng này gần tương tự nhau và một malware có thể nhiễm được trên nhiều hệ thống khác nhau, vì firmware của các nhà sản xuất máy tính đều gần như tương tự nhau, kể cả MacBook, bởi vì Apple dùng firmware EFI khá phổ biến.

Theo PCWorldVN