BadBIOS - malware kỳ lạ phá hoại phần sụn máy tính và lây nhiễm qua
loa/mic?
3 năm trước, chuyên gia bảo mật Dragos Ruiu đã phát hiện ra một điều gì đó bất bình thường với chiếc máy tính MacBook Air của mình khi ông đang làm việc trong phòng thí nghiệm. Chiếc máy này vừa được cài đặt phiên bản OS X mới đồng thời cập nhật firmware để khởi động. Thế nhưng khi Ruiu tìm cách khởi động máy từ CD-ROM, hệ thống từ chối. Ông cũng nhận ra rằng chiếc máy có thể tự xóa dữ liệu và hủy các thay đổi thiết lập mà không báo trước. Lúc đó, Ruiu đã không biết chuyện gì đang xảy ra và mãi đến sau này thì ông mới tìm ra lời giải đáp - một loại malware bí ẩn tấn công vào phần sụn máy tính với cách lây nhiễm vô cùng độc đáo.
Trong nhiều tháng sau đó, Ruiu đã theo dõi các triệu chứng kỳ lạ chưa từng có trên nhiều chiếc máy tính khác. Một chiếc máy tính chạy hệ điều hành nguồn mở nhân Unix - OpenBSD cũng bắt đầu tự điều chỉnh thiết lập và xóa dữ liệu mà không hề báo trước. Ruiu phát hiện dữ liệu truyền tải qua mạng sử dụng giao thức Internet thế hệ mới IPv6 và lạ lùng thay chúng được truyền từ những chiếc máy tính mà IPv6 đã bị vô hiệu hóa. Điều kỳ lạ nhất mà Ruiu nhận ra là những chiếc máy tính bị lây nhiễm có khả năng tryền các gói dữ liệu nhỏ với những chiếc máy tính khác ngay cả khi chúng không cắm dây sạc, không dùng cáp Ethernet, card Wi-Fi và Bluetooth đã bị gỡ bỏ. Hoạt động điều tra tiếp tục mở rộng danh sách các hệ điều hành bị lây nhiễm, không chỉ Mac OS X, OpenBSD mà còn là Windows và Linux.
Ruiu cho biết trong suốt 3 năm, hiện tượng lây nhiễm bí ẩn vẫn xuất hiện dai dẳng, giống như một loại vi khuẩn lạ có thể sống sót trước những loại kháng sinh mạnh nhất. Mỗi chiếc máy tính bị lây nhiễm sẽ mất nhiều giờ hay thậm chí nhiều tuần để dọn sạch malware thế nhưng triệu chứng lây nhiễm có thể xuất hiện trở lại. Dấu hiệu lây nhiễm có thể thấy được ngay là một chiếc máy tính không thể boot từ đĩa CD nhưng một số triệu chứng khó thấy hơn có thể được phát hiện khi sử dụng các công cụ giám sát tiến trình như Process Monitor hay Task Manager - được thiết kế để soát lỗi và giám định điều tra.
Một đặc tính thú vị khác là bên cạnh khả năng vượt cơ chế tĩnh không (airgap - một thước đo bảo mật mạng nhằm đảm bảo một mạng lưới máy tính an toàn được cách ly vật lý với các mạng máy tính thiếu an toàn, chẳng hạn như Internet công cộng và kết nối mạng cục bộ không bảo đảm), malware dường như có khả năng tự phục hồi.
"Chúng tôi có một chiếc máy tính đã được cách ly airgap, BIOS của máy vừa được flash lại, lắp ổ cứng trống hoàn toàn, không có dữ liệu nào trên đó và cài đặt hệ điều hành Windows từ đĩa CD. Tại một thời điểm, lúc chúng tôi đang chỉnh sửa vài thành phần thì tự dưng hệ thống registry của máy bị vô hiệu hóa. Nó giống như: có gì đó là lạ, làm thế nào điều này có thể xảy ra? Làm thế nào chiếc máy có thể phản ứng và tấn công lại phần mềm mà chúng tôi đang dùng để tấn công nó? Đây là một chiếc máy tính đã được cách ly an toàn và điều ngạc nhiên nhất là tính năng tìm kiếm trong trình chỉnh sửa registry (Registry Editor - regedit) ngưng hoạt động khi chúng tôi đang sử dụng nó để tìm các khóa đăng ký," Ruiu kể lại.
Hơn 2 tuần trước, Ruiu đã đăng tải dẫn chứng điều tra về trường hợp của mình trên các mạng xã hội Twitter, Facebook, Google+ và giả thuyết mà ông chia sẻ đã thu hút được sự quan tâm của một số chuyên gia bảo mật hàng đầu thế giới. Ruiu tin rằng malware được truyền qua những chiếc bút nhớ (USB) để lây nhiễm vào các phần cứng cấp thấp nhất của máy tính. Với khả năng tập trung vào hệ thống xuất/nhập cơ bản (BIOS), giao diện firmware mở rộng hợp nhất (UEFI) và khả năng là những tiêu chuẩn phần sụn khác, malware nói trên có thể tấn công một loạt các nền tảng, lẩn tránh trước các loại hình nhận dạng phổ biến và sống sót trước những nổ lực diệt trừ triệt để.
Tuy nhiên, câu chuyện của Ruiu vẫn chưa dừng lại. Ông tiếp tục đưa ra một giả thuyết không tưởng khác: loại malware được ông đặt tên là "badBIOS" có khả năng sử dụng tần số cao để lây nhiễm, cụ thể là giữa loa máy tính và microphone để vượt khoảng trống không gian airgap.
Hiện tượng Bigfoot:
Chuyên gia bảo mật Dragos Ruiu.
Sự lây nhiễm dai dẳng và bí ẩn của malware badBIOS có thể được ví như Bigfoot - quái vật chân to vẫn được giới khoa học săn tìm trong nhiều thập kỷ qua và sự tồn tại của nó vẫn chưa được khẳng định hoặc phủ nhận. Thật vậy, Ruiu đã thừa nhận rằng trong khi có rất nhiều chuyên gia hỗ trợ điều tra nhưng không ai phản biện quy trình hay phát hiện của ông.
Với vai trò và tầm ảnh hưởng lớn trong thế giới bảo mật, Ruiu dĩ nhiên là một mục tiêu hấp dẫn đối với các điệp viên cũng như các hacker nhằm mục đích tài chính. Tuy nhiên, Ruiu không phải là mục tiêu hấp dẫn nhất mà chính là hàng trăm hàng ngàn đồng nghiệp của ông - những người chưa từng đối mặt với hiện tượng kỳ lạ mà Ruiu gặp phải trên máy tính và hệ thống mạng của mình.
Trái ngược với chủ nghĩa hoài nghi phổ biến trong văn hóa bảo mật và hacking, các đồng nghiệp của Ruiu hầu hết đều phản ứng với một sự quan ngại lớn và họ thậm chí bị thuyết phục bởi thông báo của ông về badBIOS.
Vào tuần trước, Alex Stamos - một trong những nhà nghiên cứu bảo mật đáng tin cậy nhất đã viết trên trang Twitter cá nhân rằng: "Mọi người trong giới bảo mật cần phải dõi theo @dragosr và xem những phân tích của anh ta về #badBIOS." Trong khi đó, Jeff Moss - nhà sáng lập hội nghị bảo mật Defcon và Blackhat đồng thời là cố vấn của thư ký Bộ An ninh Nội địa Hoa Kỳ -Janet Napolitano về bảo mật máy tính đã phản hồi trước dòng Tweet của Alex rằng: "Đây không phải là trò đùa, nó thật sự nghiêm trọng" và rất nhiều chuyên gia khác cũng bày tỏ sự đồng tình.
Theo nhà nghiên cứu bảo mật Arrigo Triulzi: "Dragos là một trong những người đáng tin cậy và tôi chưa bao giờ nghĩ anh ta thiếu trung thực. Những gì Ruiu nói không phải là khoa học viễn tưởng được sáng tạo bởi một cá nhân, nhưng chúng ta chưa từng thấy thứ gì tương tự từ trước đến nay."
Những khả năng:
Triulzi cho biết anh đã chứng kiến rất nhiều loại malware tấn côn firmware trong phòng thí nghiệm. Từng có một khách hàng của anh sử dụng máy tính Mac và BIOS của máy bị nhiễm malware. 5 năm trước, bản thân Triulzi cũng đã chứng minh ý tưởng về một loại malware có thể lén lút lây nhiễm các bộ điều khiển giao tiếp mạng nằm trên bo mạch chủ của máy tính. Nghiên cứu của anh được xây dựng dựa trên một cơ sở nghiên cứu của John Heasman - người đã trình diễn cách cấy một loại malware khó phát hiện được biết đến với tên gọi rootkit vào các thành phần ngoại vi liên kết với nhau của một chiếc máy tính - cụ thể hơn là một kết nối được Intel phát triển để liên kết các thiết bị phần cứng vào CPU.
Ngoài ra, theo chuyên gia bảo mật kiêm CEO của công ty thử nghiệm xâm nhập Errata Security - Rob Graham thì vẫn có khả năng sử dụng âm thanh tần số cao để truyền tải các gói dữ liệu qua loa. Các tiêu chuẩn mạng thời gian đầu đều sử dụng kỹ thuật này và gần đây hơn thì các nhà nghiên cứu tại viện MIT cũng đã sử dụng mạng siêu âm để truyền tải dữ liệu.
Ví dụ nêu trên chứng minh tính khả thi của loại rootkit lây nhiễm firmware hay khả năng truyền tải dữ liệu bằng sóng siêu âm trong phòng thí nghiệm. Vậy trên thực tế thì sao? Triulzi gợi ý rằng badBIOS là một thứ khác biệt so với những loại malware mà chúng ta từng biết và nó hoàn toàn có thể được tạo ra. Ông đưa ra dẫn chứng về việc sử dụng một chiếc USB để lây nhiễm trên một loạt các nền tảng máy tính ở cấp độ BIOS, tương tự hệ thống phân phối được tìm thấy trên Stuxnet - một loại sâu máy tính do chính phủ Mỹ phối hợp cùng Israel tạo ra để phá hoại chương trình hạt nhân của Iran. Trước báo cáo của Ruiu về khả năng vượt airgap của badBOS, ông tiếp tục so sánh với Flame - một loại malware được chính phủ "tài trợ" có thể sử dụng tín hiệu Bluetooth để giao tiếp với các thiết bị không kết nối Internet.
Graham nói: "Thật sự, những gì Dragos báo cáo về badBIOS có thể được thực hiện dễ dàng với khả năng của nhiều người. Nếu bỏ ra 1 năm, tôi có thể viết một thứ tương tự badBIOS. Sử dụng sóng âm thanh tần số siêu cao để giao tiếp giữa các máy tính là một điều rất dễ."
Một điều trùng hợp là các tờ báo tại Ý trong tuần này đã đưa tin về việc các điệp viên Nga đã tìm cách theo dõi những cá nhân thap gia hội nghị kinh tế cấp cao G20 diễn ra hồi tháng trước bằng cách đưa cho họ bút nhớ USB và những sợi cáp sạc được lập trình sẵn để chặn hoạt động liên lạc của họ.
Phát hiện:
Trong 3 năm, Ruiu vẫn đang "vật lộn" với badBIOS và cơ chế lây nhiễm của nó vẫn nằm trong bức màn bí ẩn. Vài tháng trước, sau khi mua một chiếc máy tính mới, Ruiu đã nhận ra nó gần như ngay lập tức bị lây nhiễm sau khi ông cắm một chiếc USB vào máy. Ông nhanh chóng đưa ra giả thuyết rằng các máy tính bị lây nhiễm có thể đã truyền malware vào USB và ngược lại.
"Điều tôi nghi ngờ là đã có hiện tượng tràn bộ đệm khi BIOS tự đọc trình điều khiển (driver) và chúng (badBIOS) đã tái lập trình các bộ điều khiển ổ nhớ gây quá tải BIOS và sau đó tự động thêm một thành phần vào bảng BIOS," Ruiu giải thích.
Ông vẫn không biết phải chăng USB chính là công cụ kích hoạt lây nhiễm trên chiếc MacBook Air của mình cách đây 3 năm nay hay không và cũng không loại trừ khả năng USB đã bị lây nhiễm chỉ sau khi tiếp xúc với một chiếc máy nào đó, theo ông là 1 trong số 24 chiếc máy đang sử dụng trong phòng thí nghiệm. Tại hội nghị PacSec diễn ra vào tháng tới, Ruiu cho biết ông đã lên kế hoạch sử dụng một công cụ phân tích USB đắt tiền với hy vọng cung cấp thêm những chứng cứ mới về cơ chế lây nhiễm.
Ông gợi ý badBIOS chỉ là mô-đun kích hoạt của một gói dữ liệu nhiều giai đoạn với khả năng lây nhiễm các hệ điều hành Windows, Mac OS X, BSD và Linux.
"Nó xuất hiện từ mạng máy tính hay xuất hiện từ một chiếc USB bị nhiễm trước đó? Đây cũng là một phỏng đoán cho lý do tại sao máy không thể khởi động từ đĩa CD. Malware muốn duy trì sự hiện diện trên hệ thống và dĩ nhiên nó không muốn bạn khởi động một OS khác mà nó không được lập trình để lây nhiễm," Ruiu đề ra giả thuyết.
Mọi thứ vẫn đang được khắc phục:
Ruiu cho biết ông đã đi đến giả thuyết về khả năng truyền dữ liệu bằng âm thanh tần số cao của badBIOS sau khi quan sát các gói dữ liệu mã hóa được gởi nhận từ một chiếc laptop bị lây nhiễm mà nó không hề có kết nối mạng, nhưng được đặt gần với một chiếc máy tính nhiễm badBIOS khác. Các gói dữ liệu được truyền đi ngay cả khi card Wi-Fi và Bluetooth của laptop đã bị gỡ bỏ. Ruiu cũng ngắt kết nối nguồn để máy chạy bằng pin nhằm loại bỏ khả năng máy nhận được tín hiệu từ kết nối điện. Mặc dù vậy, các công cụ chẩn đoán vẫn cho thấy hoạt động truyền tải các gói dữ liệu vẫn được duy trì giữa 2 chiếc máy đã được cách ly. Sau cùng, khi Ruiu tháo bỏ loa và mic tích hợp trên 2 máy thì lập tức, hoạt động truyền dữ liệu dừng lại.
Nếu để nguyên loa và mic, 2 chiếc máy tính cách ly dường như có thể sử dụng kết nối tần số cao để duy trì tình trạng lây nhiễm badBIOS. Ruiu cho biết: "Máy tính được cách ly airgap vẫn hoạt động như thể đang kết nối Internet. Vấn đề lớn nhất mà chúng tôi đang gặp phải là chúng tôi chỉ có thể chỉnh sửa đơn giản vài thành phần của hệ thống. Nó (badBIOS) vô hiệu hóa nhiều thứ. Thế nhưng ngay khi chúng tôi phá vỡ kết nối giữa 2 máy, mọi thứ được phục hồi tự động. Thật là kỳ lạ."
Vẫn còn quá sớm để tự tin mà nói những gì Ruiu đã và đang quan sát là một loại rootkit lây nhiễm qua USB có thể tấn công thành phần thấp cấp nhất của một chiếc máy tính và sử dụng nó để lây nhiễm trên nhiều hệ điều hành bằng một loại malware không thể phát hiện. Và càng khó hơn để chắc chắn rằng liệu các hệ thống bị lây nhiễm có sử dụng sóng âm thanh tần số cao để giao tiếp với các máy cách ly khác không. Sau gần 2 tuần với các chủ đề thảo luận trực tuyến, không ai có thể xác định vấn đề thật sự mà Ruiu đang gặp phải.
"Nó giống như một loại hình xâm nhập tinh vi và tiên tiến hơn những gì chúng tôi có thể thừa nhận. Chúng tôi nhận thấy cá thủ tục điều tra của mình vẫn quá yếu kém khi đối mặt với những thử thách như vậy. Các công ty cần phải cẩn thận hơn khi sử dụng dữ liệu điều tra nếu chạm trán với những kẻ tấn công tinh vi như trường hợp của badBIOS. ...
Ngay sau khi Ruiu đăng tải những điều tra của mình lên mạng xã hội, một chuyên gia bảo mật nổi tiếng không kém là Phillip Jaenke (còn được biết đến với cái tên rootwyrm) đã đăng tải ý kiến của mình trên trang web riêng và cho rằng mọi người đã hiểu sai về badBIOS cũng như quá lo lắng về nó. Trích lời Jaenke:
Phil Jaenke.
Trên đây vẫn là ý kiến cá nhân của Jaenke bởi nhiều chuyên gia khác vẫn đồng tình với nghiên cứu của Ruiu. badBIOS là gì, cơ chế hoạt động của nó như thế nào và nó có thật sự nguy hiểm? Hạ hồi phân giải!