Tấn công “Thunderspy” là gì và vì sao chúng ta chẳng cần lo về nó?

Năm ngoái, một loại hình tấn công mới xuất hiện có thể chiếm quyền kiểm soát hoàn toàn máy tính bằng thiết bị ngoại vi – thậm chí tin tặc chỉ cần một vài phút để thực hiện cuộc tấn công này. Lỗ hổng xuất phát từ một cổng kết nối quen thuộc: Thunderbolt, cổng giao tiếp siêu nhanh giúp kết nối card đồ họa, hệ thống lưu trữ và các thiết bị ngoại vi khác cho đến hàng triệu máy tính.

Cuộc tấn công được chuẩn bị trong vài năm và đã ứng dụng thành công. Đó là sự kết hợp giữa kỹ thuật phân tích mật mã, kỹ thuật đảo ngược để phát triển và khai thác một lỗ hổng lớn trong lớp phòng thủ do Intel (công ty tạo ra Thunderbolt) dành nhiều thời gian và nguồn lực để phát triển. Tuy nhiên, Thunderspy là một bước tiến lớn của loại hình tấn công đã tồn tại trong 10 năm gần đây. Trong khi những điểm yếu mà nó khai thác là có thật và nên được khắc phục, thì đại đa số người dùng (có thể là 99%) chẳng cần lo lắng về cuộc tấn công này.

Truy cập phân làn bộ nhớ

Thunderspy được đặt tên bởi người tạo ra nó, Bjorn Ruytenberg. Trong hầu hết các trường hợp, Thunderspy yêu cầu tác động trực tiếp vào phần cứng máy tính. Sau đó, tin tặc sẽ xác định vị trí bộ xử lý của Thunderbolt, kết nối nó với một loạt thiết bị có giá khoảng 600 USD và nối với máy tính xách tay của tin tặc. Những thiết bị này sẽ phân tích bản firmware hiện tại của Thunderbolt và cài đặt lại một phiên bản tương tự ngoại trừ việc nó đã bị vô hiệu hóa mọi tính năng bảo mật do Intel phát triển và cài đặt.

Khi lớp phòng thủ đã bị vô hiệu hóa, tin tặc sẽ có toàn quyền kiểm soát thông qua truy cập trực tiếp vào bộ nhớ bằng một tính năng trên các máy tính hiện đại cho phép thiết bị ngoại vi truy cập trực tiếp vào bộ nhớ chính của máy tính. Tin tặc sử dụng Thunderspy sẽ có thể thoải mái kết nối thông qua thiết bị ngoại vi mà không cần đăng nhập màn hình khóa của Window.

Đoạn video bên dưới sẽ cho bạn thông tin chi tiết hơn về cách thức hoạt động của Thunderspy để tấn công chiếc máy tính xách tay Lenovo P1 được mua vào năm 2019:

Trong video trên, quá trình chiếm quyền truy cập chỉ mất khoảng 5 phút, trên thực tế thì tin tặc sẽ cần nhiều thời gian hơn để cài đặt phần mềm độc hại, sao chép dữ liệu từ ổ cứng và những hành vi khác. Trong 3 năm trở lại đây, Thunderspy không thể hoạt động với máy Mac của Apple (miễn là chúng còn sử dụng hệ điều hành macOS) và cũng không thể thực hiện trên các máy chạy Windows hoặc Linux đã được cập nhật các bản vá bảo mật mới nhất với tính năng Kernel Direct Memory Access Protection (bảo vệ truy cập trực tiếp bộ nhớ).

Kernel DMA là phương pháp hệ điều hành sử dụng để hoàn thiện công cụ quản lý bộ nhớ đầu vào và đầu ra (Input-Output Memory Management Unit). Phương thức bảo vệ này thường được viết tắt là IOMMU, là cơ chế được phát triển bởi Intel, kết nối qua bus hỗ trợ DMA để kiểm soát hoặc chặn truy cập bộ nhớ, bao gồm cả việc ngăn chặn chuyển các phần mềm độc hại bằng thiết bị ngoại vi.

Ngoài ra, có một biến thể khác là tấn công thiết bị ngoại vi sử dụng Thunderbolt đã được quyền truy cập vào máy tính. Tin tặc có thể sao chép thiết bị ngoại vi và sử dụng nó để truy cập vào DMA trên máy tính mục tiêu. Dưới đây là video mô phỏng:

Các chuyên gia bảo mật từ lâu đã xác định rõ: nếu một kẻ thù có kinh nghiệm chiếm được quyền truy cập vật lý vào một thiết bị, dù là trong một thời gian ngắn, đồng nghĩa với việc trò chơi đã kết thúc. Những thiết bị phù hợp nhất chính là máy tính, điện thoại hoặc các thiết bị tương thích khác. Phản ứng duy nhất có thể làm được trong viễn cảnh đó chính là tháo bỏ thiết bị ngoại vi, vì bạn có thể tưởng tượng rằng việc phát hiện một firmware đã bị viết lại trong rất nhiều linh kiện của thiết bị ngoại vi là điều không thể. Một nhóm tin tặc có tên Equation Group, có liên quan với NSA của Mỹ, đã thực hiện cuộc tấn công tương tự vào đầu những năm 2000.

Vì cần có kết nối vật lý để truy cập, nên một số chuyên gia bảo mật còn gọi cuộc tấn công này là "người hầu ác quỷ", theo đó đối tượng tấn công có thể là người giữ nhà, đồng nghiệp, nhân viên văn phòng… Chính vì lý do này mà các công ty phát triển phần cứng và phần mềm, trong đó có Intel, đã dùng một số tiền khổng lồ để tạo ra các công cụ mã hóa ổ cứng, khởi động bằng chuỗi tin cậy và các công cụ bảo mật khác. Nhiều người nghiêm trọng hóa cuộc tấn công Thunderspy do loại hình tấn công này sử dụng phần cứng đã được lắp đặt sẵn trên hàng triệu thiết bị.

Phá hoại không hẳn là hacking

Ngay cả trong số những người tin vào khả năng của "người hầu ác quỷ", nhiều người vẫn không xem Thunderspy là một hình thức "hacking" nổi bật của loại hình tấn công này. Nhiều linh kiện có firmware cũng có thể truy cập vào nguồn tài nguyên nhạy cảm trên máy tính. Bộ xử lý chạy BIOS, hay firmware khởi tạo phần cứng trong quá trình khởi động đều là mục tiêu tấn công chính của tin tặc khi sử dụng phương pháp kết nối vật lý và tác động trực tiếp vào thiết bị.

Một phương pháp khác đơn giản hơn là tháo ổ cứng và tạo cửa hậu trong hệ điều hành. Nếu một máy tính được trang bị Trusted Platform Module hoặc phương thức bảo vệ tương tự sử dụng mã hóa để đảm bảo sự toàn vẹn của phần cứng trước khi tải hệ điều hành, giả sử người dùng chưa kích hoạt mật khẩu khởi động, tin tặc vẫn có thể khai thác khóa mã hóa qua LPC bus. Một số bộ điều khiển quản lý bàn phím và nguồn điện cũng có thể là mục tiêu tấn công, và cả những bộ quản lý khác có DMA (ví dụ như Ethernet và USB3…).

"Có hàng tấn thứ bạn có thể thực hiện một khi mở được phần cứng máy tính ra", Hector Martin cho biết, ông là chuyên gia nghiên cứu bảo mật độc lập có nhiều kinh nghiệm trong hack hay đảo ngược kỹ thuật trên Nintendo Wii, một số phiên bản Sony PlayStation và các thiết bị khác có khả năng phòng thủ mạnh mẽ trước các cuộc tấn công vật lý. "Mô hình tấn công ‘người hầu ác quỷ' rất thú vị khi bạn phải kết nối thông qua cổng vật lý và phải làm việc đó rất nhanh, ngay khi người chủ vừa quay mặt đi chẳng hạn".

Mặc dù mô hình tấn công này không yêu cầu tháo gỡ quá nhiều, nhưng không phải lúc nào cũng cần phải động tay. Năm 2015, chuyên gia nghiên cứu bảo mật Trammel Hudson đã tạo một thiết bị có thể bí mật thay thế firmware của máy Mac khi gắn vào cổng Thunderbolt dù hệ điều hành được cập nhật đầy đủ. Thiết bị này không yêu cầu bất kỳ thao tác tháo gỡ nào, cũng không cần cấp quyền truy cập thiết bị tin cậy. Sau đó, Apple đã vá lỗ hổng này.

Alfredo Ortega, chuyên gia bảo mật chuyên nghiên cứu lỗ hổng bảo mật và mã hóa, cho biết Thunderspy xác định điểm yếu có thể tạo ra lỗ hổng bảo mật trong hệ thống của Thunderbolt, nhưng ông cũng cho rằng những điểm yếu này không đáng kể. Ông chỉ ra rằng Common Vulnerability Scoring System chấm điểm những điểm yếu này khá thấp, dưới 7, như vậy cả những chuyên gia bảo mật khác cũng đồng quan điểm với ông.

Các nhà phê bình cũng lưu ý rằng trong thập kỷ qua đã có nhiều cuộc tấn công nhắm vào những điểm yếu của Thunderbolt và hầu hết đều có cùng kết quả. Một trong số đó có tên là Thunderclap. Dù vậy, dư luận trên mạng xã hội về Thunderspy thời gian qua lại có nhiều ý kiến trái chiều, nhiều chuyên gia bảo mật cho rằng Thunderspy là một cuộc tấn công nghiêm trọng và cần được xem xét nghiêm túc.

Intel đảm bảo có thể ngăn chặn cuộc tấn công

"Nhiều người cho rằng để máy tính bị tấn công vật lý là bạn đã thua: Vậy sao bạn lại nghĩ rằng máy tính xách tay không nên có khả năng chống lại tấn công vật lý, ít nhất như iPhone?", ;Matthew Garrett viết trên Twitter. Trong cùng chủ đề trên, Saleem Rashid, cùng là chuyên gia nghiên cứu bảo mật, nói thêm "Bỏ qua số đông cho rằng ‘truy cập qua kết nối vật lý = thua cuộc', một thực tế là bạn có thể mở máy tính xách tay ra và thay đổi phần cứng theo nhiều cách khác nhau hơn một chiếc điện thoại di động".

Một chuyên gia khác cũng công nhận nguy cơ từ Thunderspy là Kenn White. Anh nhận định cuộc tấn công này chỉ thể hiện "sự nâng cấp" của các cuộc tấn công vào Thunderbolt trước đó, nhưng nó vẫn rất quan trọng.White cho biết cả Apple và Google đã bổ sung nhiều cài đặt để chặn các cuộc tấn công vật lý khác vào DMA, tương tự với Thunderspy, bao gồm cả sử dụng cổng USB-C để tấn công máy Mac và Pixelbook. "Các kỹ sư của Apple và Google dường như đã lường trước vấn đề này và cài đặt cấu hình mặc định cho IOMMU mạnh hơn, nhờ đó người dùng của họ ít gặp rủi ro hơn".

Về phần này, Intel cũng thông báo rằng Thunderspy hoàn toàn thất bại trước lớp bảo vệ Kernel DMA, công cụ này đã được cập nhật cho người dùng Windows (Windows 10 1803 RS4 trở về sau) và Linux  (kernel 5.x trở về sau) từ năm 2019. Và macOS (macOS 10.12.4 trở về sau) đã được cập nhật từ năm 2017, trước Windows và Linux đến 2 năm. Thông báo cũng nhận định Thunderspy là một phương thức tấn công mới dựa trên lỗ hổng bảo mật đã lỗi thời.

Nhưng thông tin không được đề cập trong thông báo cũng chính là điều mà Intel chưa thừa nhận: hàng triệu máy tính vẫn chưa được bảo vệ dù Intel từng hứa sẽ sử dụng xác thực mật khẩu mã hóa để "ngăn các thiết bị trái phép kết nối thông qua Thunderbolt PCIe mà không có sự cho phép của người dùng".

Người dùng cần làm gì?

Với những độc giả vẫn còn băn khoăn về mối đe dọa từ Thunderspy, bạn cần lưu ý rằng mức độ can thiệp sâu của loại hình tấn công này khiến nó khó có thể thực hiện rộng rãi trên tình hình thực tế hiện nay. Ngoại trừ một số mục tiêu giá trị cao chứa các dữ liệu bí mật có thể là mục tiêu tình báo... Trừ khi có sự thay đổi tích cực hơn thì hiện thực này vẫn không thay đổi.

Bạn có thể sử dụng một số phần mềm để kiểm tra máy tính của mình đã được bảo vệ hay chưa. Nếu máy tính của bạn chưa được bảo vệ, bạn có thể sử dụng BIOS để vô hiệu hóa cổng kết nối Thunderbolt hoặc cập nhật hệ điều hành lên phiên bản mới hơn. Người dùng cũng cần kích hoạt mã hóa ổ đĩa và tắt máy tính hoàn toàn khi không sử dụng thay vì đặt chúng ở chế độ chờ.

Minh Bảo theo Ars Technica