Trong kỷ nguyên số, các cuộc tấn công mạng không chỉ nhắm vào phần mềm mà còn len lỏi vào phần cứng và mã vi mô (firmware) – những thành phần cốt lõi của thiết bị. Từ vụ nổ máy nhắn tin gây sốc ở Lebanon đến các cuộc tấn công mã độc tống tiền (ransomware) tại Việt Nam, các mối đe dọa an ninh mạng đang ngày càng tinh vi, đặt ra thách thức lớn cho doanh nghiệp, chính phủ và người dùng. Bài viết này sẽ phân tích hiểm họa từ firmware, thực trạng tại Việt Nam, và giải pháp bảo vệ hiệu quả.
Sự kiện điều khiển máy nhắn tin đến bài học từ chuỗi cung ứng
Tháng 9 năm 2024, thế giới bàng hoàng chứng kiến hàng ngàn máy nhắn tin phát nổ đồng loạt tại Lebanon, khiến 9 người thiệt mạng và gần 3.000 người bị thương. Theo phân tích ban đầu, các máy nhắn tin nhận được tin nhắn giả mạo từ lãnh đạo Hezbollah, kích hoạt một cơ chế phá hoại được cài sẵn. Đây không phải sự cố pin quá nhiệt thông thường, mà là một cuộc tấn công mạng – vật lý kết hợp, có thể liên quan đến thực thi mã từ xa (Remote Code Execution) – kỹ thuật khai thác lỗ hổng để chạy mã độc từ xa.
Điều đáng lo ngại là cuộc tấn công này xuất phát từ chuỗi cung ứng. Kẻ tấn công có thể đã can thiệp vào quá trình sản xuất hoặc vận chuyển máy nhắn tin, cấy ghép vi điều khiển hoặc sửa đổi firmware – phần mềm điều khiển phần cứng. Việc kích hoạt từ xa qua tín hiệu mạng hoặc tần số vô tuyến (Radio Frequency) cho thấy mức độ tinh vi chưa từng có. Vụ việc là lời cảnh báo: nếu chuỗi cung ứng không được bảo vệ, bất kỳ thiết bị nào cũng có thể trở thành vũ khí.
Ransomware: Mối đe dọa toàn cầu và thực trạng tại Việt Nam
Không chỉ trong các cuộc xung đột, các cuộc tấn công mạng, đặc biệt là ransomware, đang hoành hành trên toàn cầu. Ransomware là loại mã độc mã hóa dữ liệu của nạn nhân, yêu cầu tiền chuộc để khôi phục. Theo Patrick Garrity, nhà nghiên cứu bảo mật tại VulnCheck, các băng nhóm ransomware như Black Basta nhắm vào các lĩnh vực dễ trả tiền chuộc như tài chính, y tế, pháp lý và công nghiệp. Chúng khai thác các lỗ hổng nghiêm trọng, ví dụ:
– CitrixBleed: Lỗ hổng trong Citrix NetScaler ADC và Gateway, bị nhiều nhóm ransomware khai thác.
– Fortinet Zero-day: Lỗ hổng chưa được vá, bị tấn công từ năm 2024.
– ConnectWise ScreenConnect: Lỗ hổng cho phép kẻ tấn công kiểm soát hệ thống từ xa.
Tại Việt Nam, tình hình cũng đáng báo động. Theo ông Adrian Hia, Giám đốc Kaspersky khu vực châu Á – Thái Bình Dương, năm 2024 ghi nhận 29.282 vụ tấn công ransomware nhằm vào doanh nghiệp Việt Nam, tương đương 80 vụ mỗi ngày. Báo cáo từ Hiệp hội An ninh mạng Quốc gia cho thấy 14,59% trong 5.000 tổ chức khảo sát từng bị ransomware tấn công. Các vụ việc nổi bật như PVOIL, VnDirect, Vietnam Post và gần đây là CMC gây thiệt hại nghiêm trọng về tài chính và uy tín. (Nguồn: vnexpress.net).
Thiệt hại của các tấn công mạng kiểu này là rất lớn, có doanh nghiệp đã mất hơn 100 tỷ đồng. Một doanh nghiệp khác, thiệt hại tính toán sau khi bị ransomware tấn công cũng lên đến 800 tỷ đồng. (Nguồn: nhandan.vn)
Lỗ hổng phần cứng: Ransomware cấp CPU – Kỷ nguyên mới của mã độc
Nếu ransomware truyền thống tấn công phần mềm, thì một mối đe dọa mới đang nổi lên: ransomware cấp CPU, nhắm trực tiếp vào phần cứng. Christiaan Beek, Giám đốc phân tích mối đe dọa tại Rapid7, đã cảnh báo về lỗ hổng trong chip AMD Zen (từ Zen 1 đến Zen 5). Lỗ hổng này cho phép kẻ tấn công tải firmware chưa được kiểm duyệt vào bộ xử lý, phá vỡ mã hóa phần cứng và thay đổi hành vi CPU. Đây là phần mềm tống tiền cấp CPU đầu tiên trên thế giới, có khả năng vượt qua các biện pháp bảo mật truyền thống.
Trong một thí nghiệm, nhóm của Beek đã chứng minh ransomware có thể khóa ổ đĩa cứng cho đến khi tiền chuộc được trả, mà không bị các công cụ bảo mật phát hiện. Google cũng xác nhận lỗ hổng này trong CPU AMD Zen, làm dấy lên lo ngại về an ninh phần cứng trong các trung tâm dữ liệu. Khi firmware – “bộ não” của phần cứng – bị xâm phạm, toàn bộ hệ thống trở nên dễ tổn thương.
Thách thức bảo mật phần cứng: Tại sao khó đối phó?
Bảo mật phần cứng đang là bài toán nan giải vì:
– Thiếu chú trọng: Các biện pháp bảo mật hiện nay tập trung vào phần mềm, bỏ qua firmware và chuỗi cung ứng.
– Tấn công tinh vi: Kẻ tấn công có thể cấy mã độc vào linh kiện từ giai đoạn sản xuất, rất khó phát hiện.
– Hậu quả nghiêm trọng: Một khi firmware bị xâm phạm, toàn bộ hệ thống – từ máy chủ đến thiết bị cá nhân – đều có thể bị kiểm soát.
Dù đã có các giải pháp như đóng gói chống giả mạo hay theo dõi chuỗi cung ứng bằng blockchain, những biện pháp này chưa đủ để ngăn chặn các cuộc tấn công có chủ đích. Thực tế, nhiều tổ chức vẫn vô tình tải firmware giả mạo, mở đường cho kẻ tấn công.
Giải pháp từ Eclypsium: Bảo vệ từ gốc rễ
Để đối phó, Eclypsium – công ty được thành lập bởi các chuyên gia từ Intel – đã phát triển giải pháp bảo mật phần cứng toàn diện, bao gồm:
– Kiểm tra linh kiện: Đối chiếu danh mục linh kiện (Bill of Materials) để phát hiện thành phần cấy ghép “bọ” hay giả mạo, .
– Xác minh firmware: Kiểm tra tính toàn vẹn của mã vi mô firmware, thay thế hoặc vá các phiên bản bị xâm phạm.
– Cung cấp/khuyến nghị: bản thay thế cho mã vi mô firmware bị thay đổi/đánh tráo.
– Giám sát liên tục: Phát hiện và cảnh báo các nguy cơ mới trên toàn bộ thiết bị.
– Tương thích đa nền tảng: Hỗ trợ cả điện toán đám mây và trung tâm dữ liệu mặt đất.
Những giải pháp này không chỉ bảo vệ chuỗi cung ứng mà còn đảm bảo thiết bị hoạt động an toàn từ sản xuất đến vận hành. Ví dụ, một ngân hàng áp dụng giải pháp Eclypsium đã phát hiện firmware giả mạo trong máy chủ, ngăn chặn thiệt hại hàng triệu USD.
Hành động ngay hôm nay
Từ vụ nổ máy nhắn tin ở Lebanon đến các cuộc tấn công ransomware tại Việt Nam, hiểm họa an ninh mạng từ firmware và phần cứng đang hiện hữu hơn bao giờ hết. Đã đến lúc chúng ta nhìn nhận lại cách tiếp cận bảo mật, không chỉ ở phần mềm mà cả ở phần cứng. Với các giải pháp tiên tiến như Eclypsium, doanh nghiệp có thể xây dựng lá chắn vững chắc, bảo vệ dữ liệu và danh tiếng trước các cuộc tấn công thế hệ mới. Hãy hành động ngay hôm nay để không trở thành nạn nhân tiếp theo.■
Quang Hùng
