Phân tích chuyên sâu: Các mối đe dọa nguy hiểm ẩn dưới các dịch vụ đám mây

Trong thế giới số hóa ngày càng tăng cao như hiện nay, các dịch vụ đám mây đã trở thành một phần không thể thiếu trong các môi trường cá nhân và chuyên nghiệp. Những dịch vụ đám mây cung cấp khả năng lưu trữ mở rộng, hợp tác thuận tiện và tăng cường khả năng truy cập. Tuy nhiên, giống như bất kỳ công nghệ nào, chúng cũng đều có thể mang đến những các mối đe dọa mạng nguy hiểm, một trong những mối đe dọa mới nhất và nguy hiểm nhất là việc sử dụng malware được ngụy trang sau các dịch vụ đám mây. Báo cáo gần đây từ đội ngũ chuyên gia của Việt Tuấn đã làm rõ vấn đề đáng lo ngại này. Bài viết sau đây chúng tôi sẽ đi sâu vào cơ chế của từng mối đe dọa ngày càng tăng hiện nay, các phương pháp được sử dụng bởi tội phạm mạng và những tác động đến an ninh mạng.

Tổng quan và các lỗ hổng trong các dịch vụ đám mây 

Các dịch vụ đám mây, bao gồm các nền tảng như Google Drive, Dropbox và Microsoft OneDrive,... cung cấp khả năng lưu trữ phong phú và các tùy chọn chia sẻ dễ dàng. Việc sử dụng rộng rãi khiến các đám mây trở thành mục tiêu “hấp dẫn” cho tội phạm mạng. Dưới đây là một số lỗ hổng chính bị phần mềm độc hại khai thác:

1. Dễ dàng truy cập và phân phối: Các dịch vụ đám mây đơn giản hóa việc chia sẻ tệp tin nên có thể dễ dàng bị khai thác để phân phối phần mềm độc hại nhanh chóng.
2. Ẩn danh và né tránh: Phần mềm độc hại có thể được ẩn giấu trong các file tệp hợp pháp, làm cho các biện pháp bảo mật truyền thống khó phát hiện.
3. Khả năng mở rộng: Khả năng mở rộng của các dịch vụ đám mây cho phép sự lan rộng nhanh chóng của phần mềm độc hại trên nhiều tài khoản và thiết bị.

Tại sao các mối đe dọa này lại nguy hiểm?

• Khó bị phát hiện: Các dịch vụ đám mây cung cấp khả năng ẩn danh cao, khiến cho việc theo dõi và xác định nguồn gốc của các hoạt động độc hại trở nên khó khăn hơn.
• Khó ngăn chặn: Việc chặn các dịch vụ đám mây hợp pháp có thể gây ra gián đoạn cho người dùng.
• Mức độ thiệt hại lớn: Các cuộc tấn công sử dụng dịch vụ đám mây có thể nhắm mục tiêu đến nhiều thiết bị hơn và gây ra thiệt hại to lớn hơn.

Các phương pháp được sử dụng bởi tội phạm mạng

Báo cáo từ FortiGuard Labs cho thấy một số phương pháp tinh vi đã được tội phạm mạng sử dụng để khai thác các dịch vụ đám mây có thể kể đến như:

1. Phishing và Social Engineering: Kẻ tấn công thường sử dụng email lừa đảo để lừa người dùng tải xuống các tệp độc hại từ các liên kết lưu trữ đám mây.
2. Nhúng tệp độc hại: Các tệp hợp pháp như tài liệu và PDF được nhúng mã độc và tải lên các dịch vụ đám mây.
3. Khai thác API: Tội phạm mạng khai thác API của các dịch vụ đám mây để tự động hóa việc tải lên và lan rộng của phần mềm độc hại.
4. Command & Control (C2) Channels: Một số phần mềm độc hại sử dụng các dịch vụ đám mây như các kênh C2 để liên lạc với kẻ tấn công, làm cho việc truy vết trở nên khó khăn hơn.

Sử dụng dịch vụ đám mây để lưu trữ mã độc

Các kẻ tấn công tận dụng các dịch vụ đám mây như AWS và DriveHQ để lưu trữ các tệp tin mã độc. Việc sử dụng các dịch vụ này giúp mã độc dễ dàng được phân phối đến nhiều thiết bị hơn, đồng thời làm giảm khả năng bị phát hiện bởi các hệ thống bảo mật truyền thống. Các tệp tin độc hại có thể được gửi qua email hoặc các liên kết lừa đảo, làm cho người dùng dễ dàng bị lừa tải xuống và chạy chúng mà không nghi ngờ.

Botnet và các cuộc tấn công đám mây

Các botnet là mạng lưới của nhiều thiết bị bị nhiễm mã độc, thường được sử dụng để thực hiện các cuộc tấn công có tổ chức như tấn công DDoS (Distributed Denial of Service), gửi spam hoặc thực hiện các hành động phá hoại khác. Trong bối cảnh sử dụng các dịch vụ đám mây, các botnet như UNSTABLE và Condi đã trở thành những mối đe dọa nguy hiểm đáng chú ý.

1. Botnet UNSTABLE

UNSTABLE là một botnet lợi dụng các dịch vụ đám mây để thực hiện các cuộc tấn công. Kẻ tấn công sử dụng botnet này để khai thác lỗ hổng trong các máy chủ web và các thiết bị kết nối internet, từ đó kiểm soát và điều khiển các thiết bị bị nhiễm. Một số mục tiêu cụ thể của UNSTABLE bao gồm:

• Máy chủ web JAWS: Lỗ hổng trong hệ thống JAWS cho phép kẻ tấn công thực hiện truy cập trái phép và cài đặt mã độc. Máy chủ web JAWS thường được sử dụng trong các doanh nghiệp nhỏ và vừa, làm cho chúng trở thành mục tiêu hấp dẫn cho các cuộc tấn công.

• Router gia đình Dasan GPON: Các lỗ hổng trong bộ định tuyến này cho phép kẻ tấn công kiểm soát thiết bị từ xa. Dasan GPON thường được sử dụng trong các hộ gia đình và văn phòng nhỏ, khiến cho việc bảo mật trở nên khó khăn hơn.
• Router Huawei HG532 và TP-Link Archer AX21: Các lỗ hổng trong các bộ định tuyến này bị khai thác để lây lan mã độc và tạo botnet. Kẻ tấn công có thể sử dụng các thiết bị này để thực hiện các cuộc tấn công DDoS hoặc các hoạt động độc hại khác.
• Ivanti Connect Secure: Đây là một hệ thống bảo mật mạng thường được sử dụng trong các doanh nghiệp. Lỗ hổng trong hệ thống này cho phép kẻ tấn công truy cập và kiểm soát các thiết bị kết nối, làm tăng khả năng tấn công và lây lan mã độc.

2. Botnet Condi

Condi là một botnet khác sử dụng các dịch vụ đám mây để thực hiện các cuộc tấn công DDoS và các hoạt động phá hoại khác. Condi lợi dụng lỗ hổng CVE-2023-1389 để tấn công các hệ thống và dịch vụ trực tuyến. Một số đặc điểm và hoạt động của botnet Condi bao gồm:

• Tấn công DDoS: Condi sử dụng các thiết bị nhiễm mã độc để gửi một lượng lớn yêu cầu đến một máy chủ mục tiêu, làm cho máy chủ quá tải và ngừng hoạt động. Các cuộc tấn công DDoS có thể gây ra gián đoạn dịch vụ nghiêm trọng và thiệt hại tài chính lớn.
• Khai thác lỗ hổng CVE-2023-1389: Đây là một lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công thực hiện các hành động trái phép trên các hệ thống bị ảnh hưởng. Condi sử dụng lỗ hổng này để xâm nhập và kiểm soát các thiết bị, từ đó lây lan mã độc và thực hiện các cuộc tấn công phá hoại.
• Hoạt động phá hoại khác: Ngoài tấn công DDoS, Condi còn thực hiện các hoạt động phá hoại khác như đánh cắp dữ liệu, cài đặt ransomware và tấn công mạng. Các hoạt động phá hoại gây ra thiệt hại nghiêm trọng cho các doanh nghiệp và người dùng cá nhân.

Mã độc Skibidi

Mã độc Skibidi là một trong những ví dụ điển hình cho sự tinh vi và nguy hiểm nhất của malware hiện đại, đặc biệt khi nó lợi dụng các lỗ hổng trong thiết bị mạng và hệ thống bảo mật để lây lan và gây thiệt hại. FortiGuard Labs đã phát hiện ra Skibidi sử dụng một phương thức tấn công phức tạp để chiếm quyền kiểm soát các thiết bị mục tiêu, chủ yếu là thông qua các lỗ hổng trong bộ định tuyến và hệ thống bảo mật.

Mã độc Skibidi tận dụng các lỗ hổng bảo mật trong các thiết bị router để lây lan vi-rút. Những lỗ hổng này cho phép kẻ tấn công truy cập trái phép vào thiết bị và cài đặt mã độc mà không cần sự cho phép của người dùng.

• TP-Link Archer AX21: Đây là một thiết bị router phổ biến với nhiều gia đình nhờ hiệu suất tốt cùng mức giá phải chăng, nhưng lại chứa nhiều lỗ hổng bảo mật. Skibidi khai thác những lỗ hổng này để chiếm quyền kiểm soát thiết bị, sau đó tải xuống và cài đặt mã độc dựa trên kiến trúc của hệ điều hành Linux trên thiết bị.

• Ivanti Connect Secure: Là một giải pháp bảo mật doanh nghiệp, Ivanti Connect Secure bị Skibidi khai thác thông qua các lỗ hổng chưa được vá hoặc cấu hình bảo mật kém, cho phép mã độc thâm nhập và thực hiện các hành động độc hại như đánh cắp dữ liệu hoặc làm gián đoạn dịch vụ.

Skibidi không chỉ dừng lại ở việc khai thác lỗ hổng, mà nó còn có khả năng tải xuống và thực thi các mã độc khác dựa trên kiến trúc Linux của các thiết. Quá trình này diễn ra như sau:

• Khai thác lỗ hổng: Skibidi sử dụng các kỹ thuật tấn công để khai thác lỗ hổng bảo mật trong thiết bị mục tiêu.
• Tải xuống mã độc: Sau khi chiếm quyền kiểm soát thiết bị, Skibidi kết nối tới máy chủ điều khiển (C&C server) để tải xuống các tệp tin mã độc bổ sung.

• Thực thi mã độc: Skibidi sau đó thực thi các tệp tin này, cài đặt chúng vào hệ thống và thiết lập để khởi động cùng hệ điều hành, mã độc sẽ tiếp tục hoạt động ngay cả khi thiết bị được khởi động lại.

Sự hiện diện của Skibidi trong hệ thống có thể gây ra nhiều hậu quả nghiêm trọng, Skibidi có khả năng thu thập và gửi thông tin nhạy cảm từ thiết bị bị nhiễm về cho kẻ tấn công bao gồm thông tin đăng nhập, dữ liệu cá nhân, và các tài liệu quan trọng. Bằng cách chiếm quyền kiểm soát thiết bị mạng, Skibidi có thể làm gián đoạn các dịch vụ internet, gây ảnh hưởng đến hoạt động kinh doanh và sinh hoạt của người dùng. Cuối cùng, mã độc Skibidi cũng có thể tạo điều kiện cho các malware khác xâm nhập vào hệ thống, làm gia tăng mức độ phức tạp và nguy hiểm của chúng.

Tác động xấu đối với các tổ chức, doanh nghiệp

1. Thiệt hại tài chính

• Chi phí khắc phục sự cố: Các cuộc tấn công mã độc có thể dẫn đến việc tổ chức phải chi tiêu lớn để khắc phục sự cố, bao gồm các chi phí cho kỹ thuật viên bảo mật, phục hồi dữ liệu, và phục hồi hệ thống.
• Mất mát do ngừng hoạt động: Các cuộc tấn công DDoS hoặc các cuộc tấn công khác có thể làm gián đoạn dịch vụ và hoạt động kinh doanh, dẫn đến mất doanh thu và cơ hội kinh doanh.
• Tiền chuộc: Trong trường hợp ransomware, tổ chức có thể phải trả tiền chuộc để lấy lại quyền truy cập vào dữ liệu bị mã hóa, đôi khi việc này không đảm bảo rằng dữ liệu sẽ được phục hồi hoàn toàn.

2. Mất mát dữ liệu

• Đánh cắp dữ liệu nhạy cảm: Các mã độc có thể đánh cắp dữ liệu nhạy cảm của doanh nghiệp, chẳng hạn như thông tin khách hàng, dữ liệu tài chính và tài liệu nội bộ quan trọng. Việc mất mát dữ liệu có thể gây ra thiệt hại nghiêm trọng đến uy tín của doanh nghiệp và mất lòng tin của khách hàng.
• Mất mát dữ liệu khách hàng: Nếu dữ liệu khách hàng bị rò rỉ hoặc bị đánh cắp, doanh nghiệp có thể đối mặt với các vấn đề pháp lý và yêu cầu bồi thường từ khách hàng bị ảnh hưởng.

3. Tổn hại đến danh tiếng

• Ảnh hưởng đến uy tín: Các cuộc tấn công mạng có thể làm tổn hại nghiêm trọng đến uy tín của doanh nghiệp. Khách hàng và đối tác có thể mất niềm tin vào khả năng bảo mật và sự tin cậy của tổ chức, dẫn đến việc giảm khách hàng và cơ hội kinh doanh.

4. Rủi ro pháp lý

• Xử lý quy định: Việc để lộ dữ liệu cá nhân hoặc dữ liệu nhạy cảm có thể dẫn đến vi phạm các quy định bảo mật dữ liệu như GDPR (General Data Protection Regulation) ở Châu Âu hoặc CCPA (California Consumer Privacy Act) ở Mỹ, dẫn đến các hình phạt tài chính và yêu cầu tuân thủ pháp lý.
• Khách hàng và đối tác: Các doanh nghiệp, tổ chức có thể bị kiện bởi khách hàng hoặc đối tác vì không bảo vệ dữ liệu của họ một cách hiệu quả, dẫn đến các vụ kiện và chi phí pháp lý.

5. Gián đoạn hoạt động

• Ngừng hoạt động hệ thống: Mã độc có thể làm hỏng hoặc khóa các hệ thống quan trọng, dẫn đến việc ngừng hoạt động trong thời gian dài, ảnh hưởng đến khả năng hoạt động bình thường của doanh nghiệp.
• Tăng cường khả năng tấn công: Sau khi hệ thống bị xâm nhập, các kẻ tấn công có thể sử dụng các lỗ hổng để thực hiện các cuộc tấn công tiếp theo, mở rộng ảnh hưởng của cuộc tấn công và làm tăng sự gián đoạn.

Các giải pháp được chuyên gia khuyến nghị

Trước mối đe dọa ngày càng gia tăng của malware được ngụy trang sau các dịch vụ đám mây, các chuyên gia từ Việt Tuấn đã đưa ra nhiều giải pháp bảo mật nhằm giúp các tổ chức và doanh nghiệp bảo vệ hệ thống của mình. Dưới đây là các giải pháp được khuyến nghị:

1. Fortinet Protections

Các malware được mô tả trong báo cáo của Việt Tuấn được phát hiện và chặn bởi dịch vụ FortiGuard Antivirus với các định danh mã độc như:

• BASH/Mirai.AEH!tr.dldr
• ELF/Gafgyt.ST!tr
• ELF/Mirai.CDB!tr
• ELF/Mirai.CEA!tr
• ELF/Mirai.CPD!tr
• ELF/Mirai.OX!tr
• ELF/Skibidi.CQC!tr
• ELF/UDPFlooder.1C8B!tr
• ELF/UDPFlooder.1EE7!tr
• ELF/UDPFlooder.E063!tr
• Linux/Mirai.CPD!tr
• Linux/Mirai.REAL!tr

Các sản phẩm như FortiGate, FortiMail, FortiClient, và FortiEDR đều hỗ trợ dịch vụ FortiGuard AntiVirus. Nhờ vào tính năng chống virus chuyên sâu của FortiGuard, hệ thống mạng của người dùng sẽ luôn được bảo vệ trước các mối đe dọa nguy hiểm.

2. FortiGuard Web Filtering Service

Dịch vụ lọc web FortiGuard có khả năng chặn các máy chủ C2 (Command and Control) và các URL tải xuống độc hại giúp ngăn chặn các mã độc không thể kết nối với máy chủ điều khiển và tải thêm mã độc từ các nguồn trực tuyến.

3. IPS Signatures từ FortiGuard Labs

FortiGuard Labs cung cấp các chữ ký IPS (Intrusion Prevention System) để ngăn chặn các cuộc tấn công khai thác các lỗ hổng bảo mật sau:

• CVE-2016-20016: JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution
• CVE-2017-17215: Huawei.HG532.Remote.Code.Execution
• CVE-2018-10561: Dasan.GPON.Remote.Code.Execution
• CVE-2018-10562: Dasan.GPON.Remote.Code.Execution
• CVE-2023-1389: TP-Link.Archer.AX21.Unauthenticated.Command.Injection
• CVE-2024-21887: Ivanti.Connect.Secure.Policy.Secure.Authentication.Bypass

Các giải pháp Fortinet Protections, FortiGuard Web Filtering Service và IPS Signatures đều có sẵn trong nhiều sản phẩm tường lửa thế hệ mới (Next-Generation Firewalls - NGFW) của Fortinet bao gồm: Fortinet FortiGate 60F (FG-60F-BDL-950-12), FortiGate 80F (FG-80F-BDL-950-12) và Fortinet FortiGate 100F (FG-100F-BDL-950-12). Việt Tuấn hiện đang phân phối các dòng thiết bị tường lửa Fortinet trên, chính hãng đảm bảo uy tín. Liên hệ ngay với chúng tôi để nhận được sự tư vấn và hỗ trợ từ các chuyên gia trong thời gian sớm nhất.

Kết luận

Tính linh hoạt và hiệu quả vốn có của các dịch vụ đám mây đã vô tình cung cấp cho tội phạm mạng một vị trí mới cho các hoạt động bất hợp pháp của chúng. Sự chuyển dịch sang các hoạt động dựa trên đám mây đánh dấu một sự tiến hóa đáng kể trong bối cảnh đe dọa mạng đang gia tăng như hiện nay. Các tổ chức và doanh nghiệp cần phải cảnh giác và áp dụng các biện pháp như triển khai phương pháp bảo mật nhiều lớp, cập nhật và phân đoạn mạng hay sử dụng các thiết bị tường lửa có khả năng bảo mật cao là điều rất cần thiết.