Thế giới có thể đang đứng trước một mối đe dọa mới trong lĩnh vực an ninh mạng – một dạng mã độc tống tiền (ransomware) hoạt động ở cấp độ CPU, có khả năng ẩn mình sâu trong phần cứng và vượt qua hầu hết các giải pháp bảo mật truyền thống.
Trong cuộc phỏng vấn với The Register, ông Christiaan Beek – Giám đốc cấp cao mảng phân tích mối đe dọa tại Rapid7 – tiết lộ rằng ông đã viết thành công mã PoC (proof-of-concept) cho một loại ransomware có thể ẩn trong vi mã (microcode) của CPU.
Mục đích của bản mẫu này là cảnh báo về một kịch bản tấn công tiềm ẩn mà các hệ thống bảo mật hiện nay chưa đủ khả năng đối phó.
Các mã độc "không thể gỡ bỏ" có thể ghi đè lên vi mã của CPU đã được viết ra. Ảnh: TH Creat
Câu chuyện bắt đầu từ một lỗ hổng bảo mật trong vi kiến trúc AMD Zen, cho phép tải các bản microcode chưa ký số (unsigned). Lỗ hổng này ảnh hưởng đến cả Zen 1 đến Zen 5, và từng được nhóm bảo mật của Google phát hiện. Mặc dù AMD đã phát hành bản vá, Beek cho rằng trong tay tin tặc có kỹ năng cao, đây hoàn toàn có thể là cánh cửa để tấn công và can thiệp vào hành vi CPU ở cấp độ thấp nhất.
“Là người có nền tảng về bảo mật firmware, tôi nghĩ ngay: ‘Tôi có thể viết mã độc tống tiền chạy trong CPU’ – và tôi đã làm được,” Beek chia sẻ.
Một khi mã độc có thể cấy vào vi mã hoặc UEFI/BIOS, nó sẽ có khả năng hoạt động ngay cả trước khi hệ điều hành được khởi động – khiến các phần mềm bảo mật truyền thống gần như vô dụng. Theo Beek, đây là dạng mã độc có thể “bỏ qua mọi cơ chế phòng thủ hiện có.”
Một khi mã độc có thể cấy vào vi mã hoặc UEFI/BIOS, việc cài đặt lại Windows cũng không giúp ích. Ảnh: Maintain Security
Thậm chí trong các cuộc hội thoại bị rò rỉ từ nhóm mã độc Conti (2022), một thành viên từng viết: “Tôi đang thử nghiệm mẫu ransomware cài thẳng vào UEFI, để khi người dùng cài lại Windows, dữ liệu vẫn bị khóa.” Một người khác bình luận: “Nếu chỉnh sửa được BIOS và nạp bootloader riêng, chúng ta có thể khóa ổ đĩa từ trước cả khi hệ điều hành tải lên.”
Beek cho biết ông sẽ không công khai mã mẫu, nhưng đưa ra cảnh báo rằng các nhóm tội phạm mạng đang ngày càng thông minh và có thể sớm phát triển loại tấn công này. Ông nhấn mạnh, trong bối cảnh 2025, “chúng ta không nên nói đến ransomware nữa”, và kêu gọi cả ngành cùng tập trung giải quyết các vấn đề bảo mật từ gốc – bắt đầu từ phần cứng.
Đồng thời, ông cũng chỉ ra thực tế đáng lo ngại: nhiều vụ tấn công vẫn bắt nguồn từ lỗi cơ bản như mật khẩu yếu, thiếu xác thực hoặc lỗ hổng chưa vá.
