Khánh Vân
Writer
Chuyên gia bảo mật Christiaan Beek từ Rapid7 đã tạo thành công mã độc tống tiền (ransomware) mẫu có khả năng cấy vào vi mã CPU, hoạt động trước cả hệ điều hành và vô hiệu hóa các biện pháp bảo vệ thông thường, mở ra nguy cơ về một kỷ nguyên ransomware "bất tử".
Mối đe dọa ransomware "không thể tiêu diệt" từ cấp độ CPU
Thế giới an ninh mạng có thể đang đứng trước một hiểm họa mới, với tiềm năng tàn phá chưa từng có: một dạng mã độc tống tiền (ransomware) hoạt động ở cấp độ vi mã (microcode) của bộ vi xử lý (CPU). Loại mã độc này có khả năng ẩn mình sâu trong phần cứng, qua mặt hầu hết các giải pháp bảo mật truyền thống và thậm chí "sống sót" ngay cả khi người dùng cài đặt lại toàn bộ hệ điều hành.
Trong một cuộc phỏng vấn đáng chú ý với trang tin công nghệ The Register, ông Christiaan Beek – Giám đốc cấp cao mảng phân tích mối đe dọa tại công ty bảo mật danh tiếng Rapid7 – đã tiết lộ một thông tin gây chấn động. Ông cho biết mình đã viết thành công mã chứng minh khái niệm (Proof-of-Concept - PoC) cho một loại ransomware có khả năng ẩn náu và hoạt động ngay trong vi mã của CPU. Mục đích của việc tạo ra bản mã độc mẫu này không phải để phát tán, mà là để đưa ra một lời cảnh báo nghiêm túc về một kịch bản tấn công tiềm ẩn mà các hệ thống bảo mật hiện tại gần như chưa đủ khả năng để đối phó.
Lỗ hổng từ vi kiến trúc AMD Zen và cách mã độc hoạt động
Ý tưởng về loại mã độc "siêu cứng đầu" này bắt nguồn từ một lỗ hổng bảo mật đã được biết đến trong vi kiến trúc AMD Zen, cụ thể là khả năng cho phép tải các bản cập nhật vi mã (microcode) chưa được ký số (unsigned) vào CPU. Lỗ hổng này được cho là ảnh hưởng đến các thế hệ CPU Zen từ Zen 1 đến Zen 5 và từng được nhóm bảo mật của Google phát hiện trước đó. Mặc dù AMD đã phát hành các bản vá lỗi, ông Beek cho rằng trong tay những tin tặc có kỹ năng cao, đây hoàn toàn có thể là một "cánh cửa hậu" để chúng tấn công và can thiệp vào hành vi của CPU ở cấp độ thấp nhất, vượt qua sự kiểm soát của hệ điều hành.
"Là một người có nền tảng về bảo mật firmware, tôi đã nghĩ ngay: ‘Tôi có thể viết mã độc tống tiền chạy trong CPU’ – và tôi đã làm được điều đó," ông Beek chia sẻ một cách thẳng thắn.
Một khi mã độc có thể được cấy vào vi mã của CPU hoặc vào UEFI/BIOS (hệ thống đầu vào/ra cơ bản của máy tính), nó sẽ có khả năng hoạt động ngay cả trước khi hệ điều hành (như Windows) được khởi động. Điều này khiến cho các phần mềm bảo mật truyền thống, vốn chỉ hoạt động sau khi hệ điều hành đã chạy, trở nên gần như vô dụng trong việc phát hiện và ngăn chặn. Theo ông Beek, đây là dạng mã độc có thể "bỏ qua mọi cơ chế phòng thủ hiện có."
Thực tế, những lo ngại về ransomware cấp độ firmware không phải là mới. Trong các cuộc hội thoại bị rò rỉ từ nhóm mã độc Conti vào năm 2022, một thành viên của nhóm này từng viết: "Tôi đang thử nghiệm một mẫu ransomware cài thẳng vào UEFI, để khi người dùng có cài lại Windows thì dữ liệu vẫn bị khóa." Một thành viên khác bình luận: "Nếu chúng ta chỉnh sửa được BIOS và nạp một bootloader riêng, chúng ta có thể khóa ổ đĩa từ trước cả khi hệ điều hành được tải lên."
Lời cảnh báo và kêu gọi hành động từ chuyên gia
Ông Christiaan Beek cho biết ông sẽ không công khai mã độc tống tiền mẫu mà mình đã tạo ra để tránh việc nó rơi vào tay kẻ xấu. Tuy nhiên, ông đưa ra lời cảnh báo mạnh mẽ rằng các nhóm tội phạm mạng đang ngày càng trở nên thông minh và tinh vi hơn, và chúng hoàn toàn có thể sớm phát triển được loại hình tấn công nguy hiểm này.
Ông nhấn mạnh rằng, trong bối cảnh công nghệ của năm 2025, "chúng ta không nên còn phải nói đến ransomware nữa". Ông kêu gọi toàn bộ ngành công nghiệp công nghệ và bảo mật cần phải tập trung hơn nữa vào việc giải quyết các vấn đề bảo mật từ gốc rễ – bắt đầu từ chính lớp phần cứng và firmware, thay vì chỉ tập trung vào các giải pháp phần mềm chạy trên hệ điều hành.
Đồng thời, ông Beek cũng chỉ ra một thực tế đáng lo ngại nhưng vẫn còn phổ biến: nhiều vụ tấn công mạng thành công hiện nay vẫn bắt nguồn từ những lỗi bảo mật rất cơ bản từ phía người dùng hoặc tổ chức, chẳng hạn như sử dụng mật khẩu yếu, thiếu các biện pháp xác thực đa yếu tố, hoặc không cập nhật kịp thời các bản vá cho những lỗ hổng đã được công bố.
Sự xuất hiện của nguy cơ mã độc ẩn trong CPU đặt ra một thách thức vô cùng lớn cho toàn bộ hệ sinh thái an ninh mạng, đòi hỏi sự hợp tác chặt chẽ hơn nữa giữa các nhà sản xuất phần cứng, các công ty phần mềm và cộng đồng nghiên cứu bảo mật để tìm ra những giải pháp phòng chống hiệu quả.
Mối đe dọa ransomware "không thể tiêu diệt" từ cấp độ CPU
Thế giới an ninh mạng có thể đang đứng trước một hiểm họa mới, với tiềm năng tàn phá chưa từng có: một dạng mã độc tống tiền (ransomware) hoạt động ở cấp độ vi mã (microcode) của bộ vi xử lý (CPU). Loại mã độc này có khả năng ẩn mình sâu trong phần cứng, qua mặt hầu hết các giải pháp bảo mật truyền thống và thậm chí "sống sót" ngay cả khi người dùng cài đặt lại toàn bộ hệ điều hành.
Trong một cuộc phỏng vấn đáng chú ý với trang tin công nghệ The Register, ông Christiaan Beek – Giám đốc cấp cao mảng phân tích mối đe dọa tại công ty bảo mật danh tiếng Rapid7 – đã tiết lộ một thông tin gây chấn động. Ông cho biết mình đã viết thành công mã chứng minh khái niệm (Proof-of-Concept - PoC) cho một loại ransomware có khả năng ẩn náu và hoạt động ngay trong vi mã của CPU. Mục đích của việc tạo ra bản mã độc mẫu này không phải để phát tán, mà là để đưa ra một lời cảnh báo nghiêm túc về một kịch bản tấn công tiềm ẩn mà các hệ thống bảo mật hiện tại gần như chưa đủ khả năng để đối phó.
Lỗ hổng từ vi kiến trúc AMD Zen và cách mã độc hoạt động
Ý tưởng về loại mã độc "siêu cứng đầu" này bắt nguồn từ một lỗ hổng bảo mật đã được biết đến trong vi kiến trúc AMD Zen, cụ thể là khả năng cho phép tải các bản cập nhật vi mã (microcode) chưa được ký số (unsigned) vào CPU. Lỗ hổng này được cho là ảnh hưởng đến các thế hệ CPU Zen từ Zen 1 đến Zen 5 và từng được nhóm bảo mật của Google phát hiện trước đó. Mặc dù AMD đã phát hành các bản vá lỗi, ông Beek cho rằng trong tay những tin tặc có kỹ năng cao, đây hoàn toàn có thể là một "cánh cửa hậu" để chúng tấn công và can thiệp vào hành vi của CPU ở cấp độ thấp nhất, vượt qua sự kiểm soát của hệ điều hành.
"Là một người có nền tảng về bảo mật firmware, tôi đã nghĩ ngay: ‘Tôi có thể viết mã độc tống tiền chạy trong CPU’ – và tôi đã làm được điều đó," ông Beek chia sẻ một cách thẳng thắn.
Một khi mã độc có thể được cấy vào vi mã của CPU hoặc vào UEFI/BIOS (hệ thống đầu vào/ra cơ bản của máy tính), nó sẽ có khả năng hoạt động ngay cả trước khi hệ điều hành (như Windows) được khởi động. Điều này khiến cho các phần mềm bảo mật truyền thống, vốn chỉ hoạt động sau khi hệ điều hành đã chạy, trở nên gần như vô dụng trong việc phát hiện và ngăn chặn. Theo ông Beek, đây là dạng mã độc có thể "bỏ qua mọi cơ chế phòng thủ hiện có."
Thực tế, những lo ngại về ransomware cấp độ firmware không phải là mới. Trong các cuộc hội thoại bị rò rỉ từ nhóm mã độc Conti vào năm 2022, một thành viên của nhóm này từng viết: "Tôi đang thử nghiệm một mẫu ransomware cài thẳng vào UEFI, để khi người dùng có cài lại Windows thì dữ liệu vẫn bị khóa." Một thành viên khác bình luận: "Nếu chúng ta chỉnh sửa được BIOS và nạp một bootloader riêng, chúng ta có thể khóa ổ đĩa từ trước cả khi hệ điều hành được tải lên."
Lời cảnh báo và kêu gọi hành động từ chuyên gia
Ông Christiaan Beek cho biết ông sẽ không công khai mã độc tống tiền mẫu mà mình đã tạo ra để tránh việc nó rơi vào tay kẻ xấu. Tuy nhiên, ông đưa ra lời cảnh báo mạnh mẽ rằng các nhóm tội phạm mạng đang ngày càng trở nên thông minh và tinh vi hơn, và chúng hoàn toàn có thể sớm phát triển được loại hình tấn công nguy hiểm này.
Ông nhấn mạnh rằng, trong bối cảnh công nghệ của năm 2025, "chúng ta không nên còn phải nói đến ransomware nữa". Ông kêu gọi toàn bộ ngành công nghiệp công nghệ và bảo mật cần phải tập trung hơn nữa vào việc giải quyết các vấn đề bảo mật từ gốc rễ – bắt đầu từ chính lớp phần cứng và firmware, thay vì chỉ tập trung vào các giải pháp phần mềm chạy trên hệ điều hành.
Đồng thời, ông Beek cũng chỉ ra một thực tế đáng lo ngại nhưng vẫn còn phổ biến: nhiều vụ tấn công mạng thành công hiện nay vẫn bắt nguồn từ những lỗi bảo mật rất cơ bản từ phía người dùng hoặc tổ chức, chẳng hạn như sử dụng mật khẩu yếu, thiếu các biện pháp xác thực đa yếu tố, hoặc không cập nhật kịp thời các bản vá cho những lỗ hổng đã được công bố.
Sự xuất hiện của nguy cơ mã độc ẩn trong CPU đặt ra một thách thức vô cùng lớn cho toàn bộ hệ sinh thái an ninh mạng, đòi hỏi sự hợp tác chặt chẽ hơn nữa giữa các nhà sản xuất phần cứng, các công ty phần mềm và cộng đồng nghiên cứu bảo mật để tìm ra những giải pháp phòng chống hiệu quả.
