Patrick Wardle, Nghiên cứu trưởng tại Digita Security và là cựu hacker của NSA, đã trình diễn màn tấn công kiểm soát trình diệt virus của Kaspersky Lab và biến nó thành một cỗ máy tìm kiếm các tài liệu tuyệt mật cực mạnh.
Theo Patrick Wardle, "trong cuộc chiến chống lại mã độc, các sản phẩm diệt virus là một công cụ hữu hiệu. Trớ trêu thay, để thực hiện nhiệm vụ của mình, chúng lại có chung những đặc điểm với các mã độc gián điệp mạng tiên tiến ẩn sâu trong hệ thống - vốn là mục tiêu tìm diệt của các trình antivirus".
"Tôi muốn tìm hiểu xem liệu đây có phải là một cơ chế có thể bị lợi dụng để thực hiện các vụ tấn công ngược hay không. Tôi không muốn vướng vào những vụ tố cáo phức tạp. Nhưng xét về quan điểm kỹ thuật, nếu một nhà phát triển trình antivirus muốn, hoặc bị ép buộc, hoặc bị hack, hoặc vì một lý do gì đó, liệu họ có thể tạo ra một 'chữ ký' chèn vào trong trình antivirus của mình để tìm kiếm và đánh dấu lại các tài liệu tuyệt mật hay không?"
Vào tháng 12 vừa qua, Tổng thống Mỹ Donald Trump đã ký một sắc lệnh trong đó cấm sử dụng các sản phẩm và dịch vụ của Kaspersky Lab trong các cơ quan liên bang.
Theo một bản báo cáo tuyệt mật bị tung lên mạng của cựu nhân viên NSA Edward J. Snowden thì từ năm 2008, Cơ quan An ninh Quốc gia Mỹ (NSA) đã nhắm vào các phần mềm antivirus (ví dự như Checkpoint và Avast) để thu thập các dữ liệu nhạy cảm lưu trữ trong các máy tính mục tiêu.
Wardle đã thử sử dụng một quy trình đảo ngược trên trình antivirus của Kaspersky Lab để tìm hiểu khả năng nó có thể bị lợi dụng để thực hiện các hoạt động tình báo. Mục tiêu của ông này là tạo ra một chữ ký chèn vào trình antivirus để phát hiện các tài liệu tuyệt mật.
Wardle phát hiện ra rằng mã nguồn của Kaspersky Antivirus cực kỳ phức tạp, không giống như các trình antivirus thông thường, và các chữ ký định nghĩa malware của Kaspersky lại rất dễ để cập nhật. Tính năng này có thể bị lợi dụng để tự động quét máy tính nạn nhân và đánh cắp các tài liệu tuyệt mật.
"Các sản phẩm antivirus hiện đại là những phần mềm cực kỳ phức tạp, và Kaspersky có vẻ như là một trong những phần mềm phức tạp nhất. Do đó, hiểu được các chữ ký và phương pháp quét của nó là một thử thách khó khăn" - Wardle cho biết.
"Dù trình cài đặt đã kèm theo các chữ ký, giống như bất kỳ trình antivirus nào khác, bộ máy của Kaspersky Antivirus cũng thường xuyên kiểm tra và tự động cài đặt các chữ ký mới. Khi các chữ ký mới được tung ra, chúng sẽ tự động được tải xuống bởi trình kav daemon từ máy chủ cập nhật của Kaspersky".
Patrick Wardle
Wardle đã nhận ra rằng quá trình quét virus có thể bị lợi dụng để thực hiện các hoạt động gián điệp.
Chuyên gia này chỉ ra rằng các quan chức thường đánh dấu các tài liệu tuyệt mật với ký hiệu "TS/SCI" (Top Secret/Sensitive Compartmented Information). Thế là ông đã thêm một quy luật quét vào trình antivirus của Kaspersky để đánh dấu bất kỳ tài liệu nào có ký hiệu "TS/SCI".
Để kiểm tra thử quy luật quét mới này, Wardle đã chỉnh sửa một văn bản trên máy tính của mình, văn bản này có chứa nội dung về chú gấu Winnie the Pooh, và thêm ký hiệu TS/SCI vào đầu văn bản.
Ngay khi văn bản này được lưu lên ổ cứng, trình antivirus của Kaspersky đã lập tức đánh dấu và cách ly nó!
Tiếp theo, Wardle kiểm tra xem các tài liệu đã bị đánh dấu sẽ được quản lý như thế nào, và như thông thường, trình antivirus này đã gởi dữ liệu này về công ty để phân tích sâu hơn.
Kaspersky Lab giải thích rằng nghiên cứu của Wardle là không đúng bởi công ty không thể phân phối một chữ ký cụ thể hoặc cập nhật chữ ký cho một người dùng duy nhất một cách bí mật.
"Kaspersky Lab không thể phân phối một chữ ký cụ thể hoặc cập nhật chữ ký tới một người dùng duy nhất một cách bí mật và đã nhắm đến từ trước, bởi mọi chữ ký đều luôn được mở cho mọi người dùng, và các bản cập nhật đều được ký điện tử, khiến không ai có thể làm giả một bản cập nhật được" - Kaspersky tuyên bố.
Dù sao thì nghiên cứu của Wardle cũng đã chỉ ra rằng một trình antivirus có thể bị biến thành một công cụ tìm kiếm cực kỳ mạnh mẽ.
"Tuy nhiên, một kẻ tay trong có ý đồ xấu trong bất kỳ công ty antivirus nào cũng có thể phát tán một chữ ký như vậy và không hề bị phát hiện. Tất nhiên, về lý thuyết thì bất kỳ công ty antivirus nào cũng có thể bị ép buộc, hoặc sẵn sàng hợp tác với một tổ chức lớn hơn (như chính phủ) để biến sản phẩm của họ thành một công cụ phát hiện và đánh cắp bất kỳ tập tin nào họ muốn".
"Đôi lúc, lằn ranh giữa thiện và ác chỉ là một chữ ký đơn giản mà thôi" - Wardle kết luận.
Tham khảo: Security Affairs
Nguồn: Genk
No comments:
Post a Comment