- Nhóm Phân tích Mối đe dọa (TAG) của Google gần đây đã xác nhận có các cuộc tấn công nhắm vào các nhà nghiên cứu bảo mật, trong đó có khai thác lỗ hổng zero-day.
- Lỗ hổng zero-day đã được báo cáo cho nhà cung cấp liên quan và bản vá đang được triển khai.
- Các tác nhân tấn công từ Triều Tiên đã tích cực trò chuyện với mục tiêu thông qua mạng xã hội như Twitter để xây dựng quan hệ.
- Trên thực tế, họ đã trò chuyện trong nhiều tháng với một nhà nghiên cứu bảo mật về các chủ đề cùng quan tâm và tạo dựng lòng tin.
- Sau đó, họ chuyển sang ứng dụng nhắn tin mã hóa và gửi tệp độc hại chứa ít nhất một lỗ hổng zero-day trong một gói phần mềm phổ biến.
- Khi khai thác thành công, shellcode sẽ kiểm tra máy ảo và gửi nhiều loại thông tin về máy chủ của kẻ tấn công; cách triển khai này tương tự với các cuộc tấn công khai thác lỗ hổng của Triều Tiên từng được phát hiện trước đây.
- Ngoài các cuộc tấn công có chủ đích thông qua lỗ hổng zero-day, họ còn phát triển một công cụ mã nguồn mở phục vụ reverse engineering và phát hành nó trên Github.
- Chương trình này lần đầu được đăng vào ngày 30/9/2022, sau đó được phát triển tích cực và cập nhật nhiều lần.
- Tuy nhiên, công cụ này có chứa một backdoor có thể tải xuống và thực thi mã tùy ý từ máy chủ của kẻ tấn công.
- TAG khuyến nghị nếu đã sử dụng công cụ này thì nên kiểm tra hệ thống và cài đặt lại OS nếu cần.
- Tất cả các website và domain độc hại đã được xác định đã được thêm vào Safe Browsing của Google, và các tài khoản Google có thể bị ảnh hưởng đã được gửi cảnh báo tấn công do chính phủ hậu thuẫn.
- Ngoài ra, họ cũng đã công khai mọi domain, tệp và tài khoản độc hại như dbgsymbol, blgbeach, @Paul091_ và các mục khác.
5 bình luận
Các cuộc tấn công có chủ đích đã đáng sợ, nhưng có lẽ phần cài mã độc vào dự án mã nguồn mở còn cần phải cẩn trọng hơn.
Nghe nói mã nguồn của công cụ đó thì bình thường, nhưng các tệp đi kèm trong Github Release lại chứa mã độc.
Nghe nói còn có hơn 200 sao trên GitHub nữa...
Dạo này tự nhiên liên tiếp xuất hiện tin tức về bảo mật. Có lẽ mọi người đều nên chú ý hơn đến vấn đề an ninh bảo mật.
Tôi cứ nghĩ ít nhất mã nguồn vẫn có thể được kiểm chứng, nhưng lại không ngờ nó có thể khác với bản Release. Bảo mật đúng là không có hồi kết..
Đây có vẻ cũng là một dạng tấn công chuỗi cung ứng.
Tình cờ là với Go 1.21.0 được phát hành đúng 1 tháng trước, họ đã đăng trên blog một bài viết nói rằng lần đầu tiên kết quả build toolchain của họ có thể tái lập hoàn toàn. Hai đoạn đầu của bài đó như sau.
Perfectly Reproducible, Verified Go Toolchains
> Một trong những lợi ích lớn của phần mềm mã nguồn mở là bất kỳ ai cũng có thể đọc mã nguồn và kiểm tra chức năng của nó. Tuy nhiên, vì hầu hết phần mềm, kể cả phần mềm mã nguồn mở, đều được tải xuống dưới dạng binary đã biên dịch, nên việc kiểm tra khó hơn nhiều. Nếu kẻ tấn công muốn thực hiện tấn công chuỗi cung ứng vào một dự án mã nguồn mở, cách ít gây chú ý nhất là thay thế binary được phát hành mà không sửa mã nguồn.
>
> Cách tốt nhất để đối phó với kiểu tấn công này là làm cho bản build phần mềm mã nguồn mở có thể tái lập, tức là mỗi lần chạy build bắt đầu từ cùng một nguồn sẽ tạo ra cùng một đầu ra. Khi đó, bất kỳ ai cũng có thể build từ mã nguồn thực tế và xác minh rằng binary được build lại giống hệt từng bit với binary đã phát hành, qua đó kiểm tra xem binary phát hành có thay đổi ẩn nào không. Cách tiếp cận này chứng minh rằng binary không có backdoor hay những thay đổi khác không tồn tại trong mã nguồn, mà không cần phải dịch ngược binary hay soi vào bên trong. Vì ai cũng có thể xác minh binary, các nhóm độc lập có thể dễ dàng phát hiện và báo cáo các cuộc tấn công chuỗi cung ứng. (Bản dịch DeepL)
Tôi còn tự hỏi sao phải lo chuyện như vậy, hóa ra kiểu tấn công này đã âm thầm diễn ra từ khoảng 1 năm trước rồi. Ôi đúng là thời buổi bất an thật…
Tôi cũng có xu hướng tin hơn một chút vào những thứ được đăng kèm mã trên GitHub... chắc phải cẩn thận hơn rồi.
Có lẽ không còn cách nào khác ngoài việc luôn rà soát mã và tự build trực tiếp...
Tóm tắt AI của luồng HN