Một tác nhân đe dọa có
mối liên hệ bị nghi ngờ là của Trung Quốc đã được liên kết với một loạt các cuộc tấn
công gián điệp ở Philippines. Nhóm tin tặc UNC4191 này
bị phát hiện sử dụng mã độc tự sao chép trên các ổ USB để lây nhiễm các mục
tiêu.
(Ảnh sưu tầm)
UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu, Hoa Kỳ và đặc biệt tập trung vào Philippines. Theo kết quả điều tra, nhóm tin tặc này đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher. Các chuyên gia tin rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.
Việc dựa vào các ổ USB bị nhiễm để phát tán phần mềm độc hại là điều không bình thường nếu không muốn nói là mới. Sâu Raspberry Robin, đã phát triển thành dịch vụ truy cập ban đầu cho các cuộc tấn công tiếp theo, được biết là sử dụng ổ USB làm điểm vào.
Những kẻ tấn công cũng đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo backdoor vào hệ thống.
Mandiant (thuộc sở hữu của Google) cho biết: “Mã độc tự sao chép bằng cách lây nhiễm các ổ đĩa di động mới được cắm vào một hệ thống bị xâm nhập, cho phép payload lan truyền sang các hệ thống khác và có khả năng thu thập dữ liệu từ các hệ thống air-gapped”.
(Ảnh sưu tầm)
Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống. Bluehaze, hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, thực thi một tệp NCAT đã được đổi tên, tạo ra một reverse shell cho một máy chủ C&C cố định. Mandiant chưa thấy bằng chứng về tương tác reverse shell; tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn.
Để hạn chế khả năng xâm nhập của virut và sử dụng USB một cách an toàn chúng ta có thể áp dụng một số biện pháp sau:
Tắt Auto Play trên hệ thống
Khi kết nối các thiết bị ngoại vi như USB, thẻ nhớ, điện thoại, CD/DVD… vào máy tính qua cổng USB thì máy sẽ tự động mở thiết bị đó lên hoặc chạy những file tự động trong thiết bị. Từ đó, các mã độc hại là virus sẽ nhanh chóng lây lan vào máy tính. Đây là một trong những đường truyền virus nguy hiểm. Do đó, người dùng cần tắt tính năng này để không gây ảnh hưởng đến hoạt động của hệ thống.
Để tắt Auto Play trên Windows bạn thực hiện như sau:
Bước 1: Truy cập vào Control Panel qua thanh tìm kiếm và chọn Auto Play.
Bước 2: Bỏ dấu tích ở ô "Use Autoplay for all media and devices".
Ngăn chặn chạy file virus trực tiếp từ USB
Thủ thuật này giúp bạn ngăn chặn tất cả những file có đuôi ".exe", thường là để chạy ứng dụng đồng thời kích hoạt virus. Vì chúng ta chỉ dùng USB để lưu trữ văn bản, tài liệu, hình ảnh là chính nên việc tắt tùy chọn này khiến máy bạn khá an toàn trước virus lây nhiễm từ USB.
Để thực hiện làm bạn như sau:
Bước 1: Mở hộp thoại Run sau đó nhập lệnh gpedit.msc và nhấn OK.
Bước 2: Tìm đến đường dẫn: Computer Configuration chọn Administrative Templates chọn System chọn Removable Storage Access tìm ở bên phải mục có tên Removable Disks: Deny Execute Access.
Bước 3: Nháy đúp chuột vào file Removable Disks: Deny Execute Access bạn vừa tìm thấy và bật Enabled lên, sau đó nhấn OK để áp dụng thay đổi.
Sau khi thiết lập thành công như trên, tất cả những file có định dạng *.exe sẽ không thể chạy trực tiếp trên USB được, điều này cũng có nghĩa dù bạn vô tình nhấn nhầm vào file đó thì cũng không sao cả, vì nó không thể chạy được.
Sử dụng phần mềm diệt virus cho máy tính
Đây là cách làm đơn giản và phổ biến hơn cả, phù hợp với tất cả đối tượng người dùng.
Bạn nên cài đặt một trình anti-virus đủ mạnh để bảo vệ máy tính của mình trước sự nguy hại của các chương trình độc hại và các cặp mắt tò mò. Nếu có điều kiện, bạn có thể dùng các phần mềm diệt virus trả phí. Bên cạnh đó, một số phần mềm miễn phí vẫn bảo vệ khá tốt cho người dùng. Lưu ý, khi cắm các thiết bị lưu trữ ngoại vi vào máy tính, bạn cần quét qua một lần để đảm bảo thiết bị không bị nhiễm virus.
Theo chuyên gia, phần mềm chống ghi lên USB có tên Drive Protection khá hữu dụng. Khi dùng USB boot (cài boot loader lên usb để làm usb cứu hộ) và dùng thêm phần mềm này, bạn có thể tạo 1 folder được phép ghi. Những dữ liệu người dùng đc ghi vào đó bản thân usb không bị nhiễm virus trên boot loader, trên auto run nên khi cắm vào máy, nó ko lây virus. Tuy nhiên, để an toàn, bạn vẫn phải kiểm tra các file chia sẻ.
Chú ý hành vi người dùng
Đây là điều quan trọng nhất để bảo vệ máy tính của mình. Người dùng cần trang bị những kỹ năng làm chủ máy tính cơ bản. Việc thận trọng khi cắm USB lạ vào máy tính hay không nên sử dụng USB cá nhân cho quá nhiều máy tính là điều cần thiết. Hiểu và biết cơ chế hoạt động của những loại virus máy tính cũng giúp bạn có thêm kiến thức để phòng tránh và bảo vệ máy tính.