Một ứng dụng trình duyệt đáng tin cậy đã trở thành tâm điểm của một sự cố an ninh mạng trong chuỗi cung ứng. Các nhà nghiên cứu phát hiện ra rằng quy trình phân phối chính thức của ứng dụng này đã bị xâm nhập mạng một cách thầm lặng. Sự việc này làm nổi bật rủi ro tiềm tàng khi một tấn công chuỗi cung ứng có thể len lỏi vào cả những phần mềm được tin dùng nhất.
Trình duyệt Hola dành cho Windows, được hàng triệu người dùng trên toàn thế giới sử dụng, đã bị phát hiện phân phối một tệp thực thi không mong muốn song song với trình cài đặt hợp pháp của nó. Đây là một ví dụ điển hình về mối đe dọa từ các mã độc được phân tán thông qua kênh chính thức.
Phát hiện và Phân Tích Kỹ Thuật Ban Đầu
Tệp thực thi đáng ngờ, có tên là me.exe, không phải là một phần của gói phần mềm đã được khai báo của trình duyệt. Nó xuất hiện trên hệ thống người dùng mà không có sự đồng ý hay kiến thức của họ, cho thấy một sự xâm nhập mạng tinh vi.
Quy Trình Phát Hiện của AppEsteem
Vấn đề này được đưa ra ánh sáng trong quá trình kiểm tra chứng nhận định kỳ thông qua chương trình Ứng dụng được chứng nhận Windows của AppEsteem. AppEsteem, một tổ chức được AMTSO chứng nhận thành lập vào năm 2016, thực hiện các bài kiểm tra xác thực định kỳ để đảm bảo rằng phần mềm đã được chứng nhận khớp với dấu chân cài đặt đã được khai báo và phê duyệt.
Trong một trong những thử nghiệm đó, liên quan đến trình duyệt Hola phiên bản 1.251.91.0, tệp không mong muốn này đã được phát hiện nằm trong thư mục cài đặt của trình duyệt tại:
C:\Program Files\Hola\me.exeViệc phát hiện tệp này tại vị trí đã biết của ứng dụng hợp pháp là một dấu hiệu rõ ràng của một sự tấn công chuỗi cung ứng. Nó cho thấy kẻ tấn công đã kiểm soát một phần nào đó của quá trình phát hành phần mềm.
Đánh Giá của Sophos X-Ops
Các nhà phân tích tại Sophos X-Ops đã xác định tệp đáng ngờ này và gắn cờ nó là một Ứng dụng Không mong muốn Tiềm ẩn (Potentially Unwanted Application – PUA) trong quá trình kiểm tra chứng nhận.
Theo báo cáo của Sophos được chia sẻ, tệp nhị phân này không được ký mã (code signed), không có dấu thời gian (no timestamp), chứa mã bị che giấu (obfuscated code) và có khả năng ghi vào bộ nhớ (memory-write capability).
Mỗi đặc điểm này, nếu đứng riêng lẻ, có thể không gây báo động ngay lập tức. Tuy nhiên, khi kết hợp lại, chúng vẽ nên một bức tranh rõ ràng về một mã độc không hề có lý do để được đóng gói cùng với một ứng dụng đã được chứng nhận. Việc thiếu chữ ký số là một cảnh báo lớn về tính toàn vẹn của phần mềm.
Mã bị che giấu thường được các tác nhân đe dọa sử dụng để tránh bị phân tích và phát hiện. Khả năng ghi vào bộ nhớ cho phép thực hiện các hoạt động nguy hiểm trên hệ thống. Đây là những dấu hiệu điển hình của một mối đe dọa mạng nghiêm trọng.
Bản Chất của Cuộc Tấn Công Chuỗi Cung Ứng
Cuộc điều tra sâu hơn đã chỉ ra rằng tệp me.exe không xuất hiện trong mọi lần chạy thử nghiệm. Điều này loại trừ khả năng nó được mã hóa cứng vào chính trình cài đặt.
Sự không nhất quán này thay vào đó chỉ ra một vấn đề về đường dẫn phân phối. Nó gợi ý rằng tệp nhị phân đang được đẩy qua quy trình phân phối cập nhật trong các điều kiện cụ thể.
Nói tóm lại, AppEsteem đã chứng nhận một phiên bản Hola Browser sạch. Tuy nhiên, một số người dùng lại nhận được nhiều hơn những gì đã được chứng nhận. Đây là một đặc điểm nhận dạng quan trọng của tấn công chuỗi cung ứng có mục tiêu.
Phản Ứng của Hola và Điều Tra Pháp Y
Sau khi vấn đề được AppEsteem chuyển đến Hola, công ty đã xác nhận rằng me.exe không bao giờ có ý định trở thành một phần của trình cài đặt của họ.
CEO của Hola, Avi Raz Cohen, thừa nhận rằng hệ thống giám sát nội bộ của họ cũng đã phát hiện ra sự bất thường này. Công ty bảo mật độc lập Sygnia đã được mời để thực hiện một cuộc kiểm tra pháp y toàn diện.
Kết quả từ Sygnia đã xác nhận đây là một tấn công chuỗi cung ứng. Sự cố ảnh hưởng đến khoảng 0.1% người dùng và không có dữ liệu người dùng nào bị truy cập hoặc đánh cắp tại bất kỳ thời điểm nào. Điều này cho thấy mặc dù đã có xâm nhập mạng, nhưng tác động ban đầu đến dữ liệu người dùng đã được ngăn chặn.
Chức Năng của Mã Độc me.exe: Cryptominer XMRig
Tệp nhị phân me.exe dường như được xây dựng dựa trên XMRig, một công cụ khai thác tiền điện tử mã nguồn mở nổi tiếng. Khi chạy với quyền quản trị, tệp này sẽ sao chép chính nó sang một đường dẫn mới trong thư mục Hola và tự đăng ký làm dịch vụ Windows có tên hola_monitor_svc.
Dịch vụ này được thiết lập để tự động khởi động và chỉ kích hoạt khi máy chủ không hoạt động. Điều này khiến người dùng thông thường khó nhận thấy bất kỳ hoạt động bất thường hoặc hiệu suất chậm lại nào. Đây là một chiến thuật phổ biến của mã độc khai thác tiền ảo để duy trì hoạt động ẩn mình.
Cơ Chế Lẩn Tránh Phát Hiện
Để tránh bị phát hiện, tệp nhị phân cũng thực hiện một loại trừ trên Windows Defender. Điều này yêu cầu hệ điều hành bỏ qua sự hiện diện của nó hoàn toàn, một kỹ thuật lẩn tránh tinh vi để đảm bảo hoạt động lâu dài.
Các chuỗi được tìm thấy bên trong tệp, bao gồm các tham chiếu đến việc dừng trình khai thác khi người dùng trở nên hoạt động, cho thấy nó được thiết kế cẩn thận để chạy âm thầm trong nền mọi lúc. Sophos đã phân loại mối đe dọa cụ thể này dưới tên phát hiện Troj/GoMiner-B. Thông tin chi tiết có thể được tham khảo tại báo cáo của Sophos: Sophos X-Ops Blog.
Các Chỉ Số Thỏa Hiệp (IoCs)
Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IoCs) liên quan đến sự cố mã độc này. Việc nhận diện các IoCs là rất quan trọng để phát hiện và ngăn chặn các cuộc tấn công chuỗi cung ứng tương tự trong tương lai.
- Tên tệp:
me.exe - Đường dẫn tệp được phát hiện:
C:\Program Files\Hola\me.exe - Tên dịch vụ Windows:
hola_monitor_svc - Tên phát hiện của Sophos:
Troj/GoMiner-B
Lưu ý: Không có địa chỉ IP hoặc tên miền C2 (Command and Control) cụ thể được đề cập trong báo cáo ban đầu.
Bài Học Rút Ra và Biện Pháp Khắc Phục
Sự cố này là một lời nhắc nhở mạnh mẽ rằng ngay cả phần mềm được chứng nhận và đáng tin cậy cũng có thể trở thành phương tiện cho các tải trọng độc hại khi chính đường dẫn phân phối bị tấn công chuỗi cung ứng.
Thách Thức Trong Phát Hiện
Việc tệp độc hại không xuất hiện nhất quán trên các môi trường thử nghiệm đã khiến việc phát hiện trở nên khó khăn hơn thông qua các kiểm tra chứng nhận tiêu chuẩn đơn thuần. Điều này nhấn mạnh sự phức tạp của các chiến thuật xâm nhập mạng hiện đại.
Để phát hiện đầy đủ phạm vi vấn đề, cần có sự kết hợp của kiểm tra bên thứ ba và dữ liệu đo từ xa từ nhà cung cấp bảo mật (security vendor telemetry). Sự phối hợp này là chìa khóa để đối phó với các mối đe dọa mạng phức tạp.
Biện Pháp Khắc Phục của Hola
Sau khi phát hiện, Hola đã xây dựng lại quy trình phân phối của mình từ đầu. Họ đã giới thiệu các biện pháp xác minh chữ ký mã nâng cao và thắt chặt kiểm soát truy cập trên toàn bộ cơ sở hạ tầng của mình. Đây là những bước quan trọng để củng cố an ninh mạng.
Công ty cũng cam kết giám sát liên tục để đảm bảo rằng chỉ các thành phần đã được khai báo và ký đúng cách mới đến được người dùng cuối trong tương lai. Điều này cho thấy sự đầu tư nghiêm túc vào việc phòng ngừa tấn công chuỗi cung ứng.
Kết quả ở đây thể hiện hệ sinh thái chứng nhận hoạt động đúng như dự định, với một vấn đề về tính toàn vẹn được phát hiện, leo thang và giải quyết hoàn toàn trước khi nó có thể phát triển thành điều gì đó gây hại lớn hơn. Sự hợp tác giữa các bên là yếu tố then chốt để duy trì một môi trường an toàn thông tin đáng tin cậy.
