Mục lục bài viết || Contents of the article

    Theo thông tin từ Bloomberg ngày 04/10/2018, bằng một hình thức vô cùng tinh vi Trung Quốc đã gắn các con chip siêu nhỏ (Microchip) vào các bo mạch của các máy chủ chuyên dụng trong trung tâm dữ liệu của hơn 30 công ty Mỹ, bao gồm Amazon và Apple.

    Liệu đây là cuộc tấn công chủ đích nhằm vào Mỹ hay là chiến dịch giám sát toàn cầu? SecurityBox thực hiện phân tích sự kiện này dựa trên bản báo cáo từ Bloomberg và nhận định từ các chuyên gia để đem đến cho người đọc góc nhìn toàn diện và đầy đủ hơn.

    1. PHƯƠNG PHÁP TẤN CÔNG

    Trước đây, một số công ty Trung Quốc đã bị phát hiện cài đặt các phần mềm gián điệp lên các máy tính. Từ những năm 2013, các thiết bị gia dụng từ Trung Quốc cũng đã bị phát hiện có gắn chip do thám trong các sản phẩm gia dụng như bàn là, ấm đun nước, thậm chí những sản phẩm khác như điện thoại di động, camera dành cho ô tô.

    Theo báo cáo của Bloomberg, hình thức tấn công mới tinh vi hơn rất nhiều, đòi hỏi kỹ thuật rất cao khi microchip được gắn thêm vào bo mạch chủ và có khả năng kết nối tới BMC (Baseboard Management Controller – Vi điều khiển nhúng trong bo mạch chủ để quản lý giao diện tương tác giữa phần mềm quản lý hệ thống và nền tảng phần cứng). Có 05 bước để thực hiện quá trình tấn công này:

     

    Hình 1. Các bước microchip xâm nhập vào trung tâm dữ liệu

    Hình 1. Các bước microchip xâm nhập vào trung tâm dữ liệu (Theo Bloomberg)

     

    • Bước 1: Trung Quốc thiết kế và phát triển loại microchip chuyên dụng (Bằng đầu ruột bút chì) với hình dạng giống một thành phần kết nối tín hiệu trên bo mạch máy chủ. Microchip này có khả năng kết hợp với bộ nhớ, kết nối mạng để phục vụ các cuộc tấn công.
    • Bước 2: Các microchip được mang tới nhà máy gia công bo mạch máy chủ cho Supermicro tại Trung Quốc. Supermicro là một trong những nhà cung cấp bo mạch máy chủ lớn nhất trên thế giới.
    • Bước 3: Các bo mạch bị cấy microchip sẽ được lắp ráp vào các máy chủ của Supermicro cho các công ty/tổ chức.
    • Bước 4: Các máy chủ được triển khai trong trung tâm dữ liệu của các công ty/tổ chức.
    • Bước 5: Khi các máy chủ hoạt động, các chip này có thể tham gia vào chuỗi tấn công từ các máy chủ C&C do hacker kiểm soát.

    2. LÀM CÁCH NÀO ĐỂ GẮN MICROCHIP LÊN BO MẠCH?

    Theo các chuyên gia an ninh mạng của SecurityBox, quá trình xây dựng bo mạch rất phức tạp, trải qua giai đoạn thiết kế, thử nghiệm sau đó mới tới bước gia công. Trong quá trình gia công bo mạch, các hãng bảo mật công nghệ bằng nhiều biện pháp như sử dụng hai nhà cung cấp riêng cho việc làm mạch và hàn mạch, các đơn vị gia công bo mạch chỉ có được file bản in của bo mạch. Bước này có rất ít thông tin về thiết kế tổng thể của bo mạch, do đó, việc gắn chip lên bo mạch không thể thực hiện một cách dễ dàng.

    Để thực hiện được việc này có hai khả năng xảy ra:

    • Các dây chuyền gia công bo mạch tại Trung Quốc được tiếp cận tới bản thiết kế bo mạch hoặc thiết kế của các bo mạch đã được chỉnh sửa trước khi gia công;
    • Đội ngũ hacker Trung Quốc đã dịch ngược bản in bo mạch, sau đó tiến hành chỉnh sửa và bổ sung thiết kế mới gắn với microchip. Việc này rất khó nhưng trên lý thuyết vẫn có thể thực hiện được trong điều kiện khu vực can thiệp và tác động trên bo mạch không quá lớn.

    Như đã đề cập ở phần trước, từ những năm 2013 các đồ dùng từ Trung Quốc như bàn là, ấm đun nước, điện thoại di động, camera gắn trên ô tô… đã bị phát hiện gắn các thiết bị theo dõi. Tuy nhiên, các công cụ theo dõi rất thô sơ và dễ phát hiện.

     

    Hình 2. Chip theo dõi được phát hiện trong bàn là Trung Quốc từ những năm 2013 (Theo nguồn kênh truyền hình Rossiya 24 - Nga)

    Hình 2. Chip theo dõi được phát hiện trong bàn là Trung Quốc từ những năm 2013

    (Theo nguồn kênh truyền hình Rossiya 24 – Nga)

     

    Với việc gắn microchip là hình thức tấn công hiệu quả, khó bị phát hiện và tính ổn định sẽ lâu hơn. Ngoài ra, microchip sẽ dễ dàng hơn trong việc xâm nhập vào các hệ thống thông tin quan trọng của các tập đoàn lớn cũng như các tổ chức chính phủ.

    3. KỊCH BẢN TẤN CÔNG

    Theo các thông tin từ báo cáo của Bloomberg về microchip đặc biệt này, SecurityBox nhận định do giới hạn về kích thước và không gian lưu trữ nên số lượng các đoạn mã mà microchip có thể lưu trữ và thực thi được sẽ rất hạn chế.

    Trước khi phân tích cụ thể về các kịch bản tấn công có thể xảy ra, chúng ta tìm hiểu sơ bộ về cơ chế và tính khả thi của việc gắn microchip lên các bo mạch chủ.

    Các máy chủ sử dụng nhiều công nghệ để hỗ trợ khả năng quản lý và tương tác từ xa. Một trong những công nghệ này là BMC (Baseboard Management Controller – Vi điều khiển nhúng trong bo mạch chủ để quản lý giao diện tương tác giữa phần mềm quản lý hệ thống và nền tảng phần cứng).

    Trung Quốc hay bất kì một nước hoặc hãng sản xuất phần cứng có thể gắn thêm microchip giữa các kết nối của chip BMC để có khả năng thay đổi dữ liệu hoặc thay luôn con chip này nếu có khả năng dịch ngược tính năng và làm giả.

    Như vậy, về nguyên lý thì phương pháp tấn công này hoàn toàn có thể thực hiện được. Tiếp theo, SecurityBox phân tích và đưa ra một số kịch bản khả thi như sau:

    Kịch bản 1: Bản thân microchip có khả năng mở cổng hậu

    Để hoạt động dựa theo kịch bản này, microchip phải có tập lệnh đủ lớn để có thể thực hiện các thao tác điều khiển bộ nhớ, kết nối mạng hoặc bản thân firmware nạp lên máy chủ cũng phải được tùy biến để có khả năng cung cấp các đoạn mã hỗ trợ chức năng cho microchip.

     

    Hình 3. Kịch bản Microchip có khả năng mở cổng hậu

    Hình 3. Kịch bản Microchip có khả năng mở cổng hậu

     

    Do có khả năng tương tác hoặc thay thế BMC nên microchip này có thể chèn các mã độc hại vào nhân hệ điều hành, qua đó, nó có thể tải và thực thi các phần mềm độc hại (Với điều kiện Firewall và các hệ thống bảo vệ không ngăn chặn).

    Cả hai phương án đều yêu cầu kỹ thuật rất cao để tạo ra các mã lệnh tinh gọn và tối ưu trong không gian tập lệnh hạn chế hoặc với các hành vi bất thường và các mã lệnh thừa sẽ có nguy cơ bị kiểm duyệt và phát hiện.

    Kịch bản 2: Microchip là bước đệm trung gian, tạo ra các lỗ hổng có khả năng khai thác hệ thống từ xa

    Trường hợp này cũng có khả năng xảy ra rất lớn, microchip sẽ đóng vai trò là một bước đệm trung gian. Khi máy chủ bị cài đặt microchip hoạt động, microchip sẽ tạo ra một lỗ hổng cho phép khai thác từ xa để chiếm quyền hệ thống.

    Do có khả năng tương tác hoặc thay thế BMC nên microchip có thể xử lý các luồng dữ liệu. Với một định dạng cấu trúc dữ liệu đặc biệt, microchip sẽ kích hoạt một tính năng trong nó. Hơn nữa, bản thân tính năng kích hoạt được thiết kế có tồn tại các lỗ hổng cho phép khai thác từ xa.

    Để khai thác, các hacker đơn thuần chỉ cần dò tìm các máy chủ có chứa microchip bằng các dữ liệu có cấu trúc đặc biệt đã biết.

     

    Hình 4. Kịch bản tấn công qua lỗ hổng trên Microchip

    Hình 4. Kịch bản tấn công qua lỗ hổng trên Microchip

     

    Trường hợp này rất khả thi vì lúc này, microchip không cần nạp quá nhiều lệnh hoặc thực hiện các hành vi có thể gây nghi ngờ. Hơn nữa, firmware nạp lên thiết bị cũng không cần bổ sung bất kì một đoạn mã độc hại nào. Việc duy nhất cần thực hiện đó là tạo ra một tính năng của microchip được kích hoạt khi xử lý một cấu trúc dữ liệu đặc biệt và tạo ra một lỗ hổng có khả năng khai thác và chiếm quyền điều khiển hệ thống từ xa.

    4. CHỈ CÓ TRUNG QUỐC MỚI THỰC HIỆN ĐƯỢC PHƯƠNG PHÁP TẤN CÔNG NÀY?

    Trung Quốc được coi là công xưởng của thế giới, các nhà máy đặt tại Trung Quốc tham gia rất sâu vào chuỗi giá trị toàn cầu. Do đó, Trung Quốc có cơ hội thực hiện việc này nhiều nhất. Tuy nhiên, thực tế, bất cứ hãng công nghệ nào tham gia vào chuỗi giá trị Toàn Cầu đều có thể thực hiện hành vi trên nếu họ có đủ năng lực công nghệ.

    5. CÁCH THỨC KIỂM TRA VÀ PHÁT HIỆN. LIỆU MICROCHIP CÓ PHẢI LÀ THÔNG TIN GIẢ MẠO?

    Để phát hiện có microchip gắn thêm vào các bo mạch không quá phức tạp nhưng việc này đòi hỏi quá trình kiểm tra và hợp tác với các nhà sản xuất phần cứng. Nếu chỉ có bo mạch đã gia công hoàn chỉnh thì rất khó để thực hiện kiểm tra. Khi có sự hợp tác từ nhà sản xuất phần cứng, chỉ cần đối chiếu bản thiết kế bo mạch và bo mạch đã gia công hoàn chỉnh để tìm ra sự sai khác. Nếu có sự sai khác, chứng tỏ bo mạch đã bị thay đổi trong quá trình gia công.

    Thực tế phản hồi về vụ việc từ các tuyên bố của Apple, Amazon và Supermicro đều bác bỏ các tuyên bố liên quan tới báo cáo từ Bloomberg và tái khẳng định không có bất kỳ thông tin nào liên quan tới việc phát hiện microchip trên các máy chủ của các hãng. Do đó, microchip cũng có thể là một thông tin giả mạo. Dù là kịch bản nào đi nữa thì rõ ràng không gian mạng đang trở thành một vũ khí quan trọng phục vụ các lợi ích kinh tế, chính trị của các quốc gia trên thế giới.

    SecurityBox là một trong những Công ty bảo mật hàng đầu tại Việt Nam. Chúng tôi cung cấp dịch vụ kiểm tra, đánh giá an ninh mạng toàn diện cho các Tổ chức/Doanh nghiệp trong nước và Quốc tế. Chúng tôi tự hào là đơn vị tiên phong trong việc áp dụng các tiêu chuẩn và phương pháp quốc tế về đánh giá an ninh, kiểm thử xâm nhập ở Việt Nam.

    Mọi thông tin góp ý hoặc yêu cầu dịch vụ vui lòng liên hệ:
    – Hotline: 092 711 8899
    – Email: info[@]securitybox.vn

    Nguồn: SecurityBox

    Phân tích sự kiện khách hàng VPBank bị tấn công lừa đảo

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...