Cách kiểm tra và phát hiện tấn công Microchip

Theo thông tin từ Bloomberg ngày 04/10/2018, bằng một hình thức vô cùng tinh vi Trung Quốc đã gắn các con chip siêu nhỏ (Microchip) vào các bo mạch của các máy chủ chuyên dụng trong trung tâm dữ liệu của hơn 30 công ty Mỹ, bao gồm Amazon và Apple.

Liệu đây là cuộc tấn công chủ đích nhằm vào Mỹ hay là chiến dịch giám sát toàn cầu? SecurityBox, một công ty bảo mật của Việt Nam đãthực hiện phân tích sự kiện này dựa trên bản báo cáo từ Bloomberg và nhận định từ các chuyên gia để đem đến cho người đọc góc nhìn toàn diện và đầy đủ hơn.

Phương pháp tấn công

Trước đây, một số công ty Trung Quốc đã bị phát hiện cài đặt các phần mềm gián điệp lên các máy tính. Từ những năm 2013, các thiết bị gia dụng từ Trung Quốc cũng đã bị phát hiện có gắn chip do thám trong các sản phẩm gia dụng như bàn là, ấm đun nước, thậm chí những sản phẩm khác như điện thoại di động, camera dành cho ô tô.

Theo báo cáo của Bloomberg, hình thức tấn công mới tinh vi hơn rất nhiều, đòi hỏi kỹ thuật rất cao khi microchip được gắn thêm vào bo mạch chủ và có khả năng kết nối tới BMC (Baseboard Management Controller – Vi điều khiển nhúng trong bo mạch chủ để quản lý giao diện tương tác giữa phần mềm quản lý hệ thống và nền tảng phần cứng). Có 05 bước để thực hiện quá trình tấn công này:

· Bước 1: Trung Quốc thiết kế và phát triển loại microchip chuyên dụng (Bằng đầu ruột bút chì) với hình dạng giống một thành phần kết nối tín hiệu trên bo mạch máy chủ. Microchip này có khả năng kết hợp với bộ nhớ, kết nối mạng để phục vụ các cuộc tấn công.

· Bước 2: Các microchip được mang tới nhà máy gia công bo mạch máy chủ cho Supermicro tại Trung Quốc. Supermicro là một trong những nhà cung cấp bo mạch máy chủ lớn nhất trên thế giới.

· Bước 3: Các bo mạch bị cấy microchip sẽ được lắp ráp vào các máy chủ của Supermicro cho các công ty/tổ chức.

· Bước 4: Các máy chủ được triển khai trong trung tâm dữ liệu của các công ty/tổ chức.

· Bước 5: Khi các máy chủ hoạt động, các chip này có thể tham gia vào chuỗi tấn công từ các máy chủ C&C do hacker kiểm soát.

Các bước microchip xâm nhập vào trung tâm dữ liệu (Theo Bloomberg)

Làm cách nào để gắn Microchip lên bo mạch?

Theo các chuyên gia an ninh mạng của SecurityBox, quá trình xây dựng bo mạch rất phức tạp, trải qua giai đoạn thiết kế, thử nghiệm sau đó mới tới bước gia công. Trong quá trình gia công bo mạch, các hãng bảo mật công nghệ bằng nhiều biện pháp như sử dụng hai nhà cung cấp riêng cho việc làm mạch và hàn mạch, các đơn vị gia công bo mạch chỉ có được file bản in của bo mạch. Bước này có rất ít thông tin về thiết kế tổng thể của bo mạch, do đó, việc gắn chip lên bo mạch không thể thực hiện một cách dễ dàng.

Để thực hiện được việc này có hai khả năng xảy ra:

· Các dây chuyền gia công bo mạch tại Trung Quốc được tiếp cận tới bản thiết kế bo mạch hoặc thiết kế của các bo mạch đã được chỉnh sửa trước khi gia công;

· Đội ngũ hacker Trung Quốc đã dịch ngược bản in bo mạch, sau đó tiến hành chỉnh sửa và bổ sung thiết kế mới gắn với microchip. Việc này rất khó nhưng trên lý thuyết vẫn có thể thực hiện được trong điều kiện khu vực can thiệp và tác động trên bo mạch không quá lớn.

Như đã đề cập ở phần trước, từ những năm 2013 các đồ dùng từ Trung Quốc như bàn là, ấm đun nước, điện thoại di động, camera gắn trên ô tô… đã bị phát hiện gắn các thiết bị theo dõi. Tuy nhiên, các công cụ theo dõi rất thô sơ và dễ phát hiện.

Với việc gắn microchip là hình thức tấn công hiệu quả, khó bị phát hiện và tính ổn định sẽ lâu hơn. Ngoài ra, microchip sẽ dễ dàng hơn trong việc xâm nhập vào các hệ thống thông tin quan trọng của các tập đoàn lớn cũng như các tổ chức chính phủ.

Chip theo dõi được phát hiện trong bàn là Trung Quốc từ những năm 2013

Cách thức kiểm tra và phát hiện

Để phát hiện có microchip gắn thêm vào các bo mạch không quá phức tạp nhưng việc này đòi hỏi quá trình kiểm tra và hợp tác với các nhà sản xuất phần cứng. Nếu chỉ có bo mạch đã gia công hoàn chỉnh thì rất khó để thực hiện kiểm tra. Khi có sự hợp tác từ nhà sản xuất phần cứng, chỉ cần đối chiếu bản thiết kế bo mạch và bo mạch đã gia công hoàn chỉnh để tìm ra sự sai khác. Nếu có sự sai khác, chứng tỏ bo mạch đã bị thay đổi trong quá trình gia công.

Thực tế phản hồi về vụ việc từ các tuyên bố của Apple, Amazon và Supermicro đều bác bỏ các tuyên bố liên quan tới báo cáo từ Bloomberg và tái khẳng định không có bất kỳ thông tin nào liên quan tới việc phát hiện microchip trên các máy chủ của các hãng. Do đó, microchip cũng có thể là một thông tin giả mạo. Dù là kịch bản nào đi nữa thì rõ ràng không gian mạng đang trở thành một vũ khí quan trọng phục vụ các lợi ích kinh tế, chính trị của các quốc gia trên thế giới.

Theo SecurityBox