Bao nhiêu chứng chỉ ký mã đã bị đánh cắp trong vụ xâm phạm DigiCert?

27 chứng chỉ ký mã đã bị đánh cắp trong vụ xâm phạm. Chúng sau đó đã được sử dụng để ký mã độc trước khi DigiCert thu hồi chúng.

Những kẻ tấn công đã giành quyền truy cập vào các hệ thống của DigiCert như thế nào?

Những kẻ tấn công đã sử dụng kỹ thuật tấn công phi kỹ thuật (social engineering) để thao túng hai nhân viên hỗ trợ kỹ thuật cung cấp quyền truy cập vào các hệ thống back-end. Không có lỗ hổng phần mềm hay kỹ thuật tấn công vũ lực nào được sử dụng.

Chứng chỉ ký mã là gì và tại sao nó có giá trị đối với những kẻ tấn công?

Chứng chỉ ký mã là chữ ký số được phát hành bởi một tổ chức cấp chứng chỉ đáng tin cậy, xác minh rằng phần mềm đến từ một nguồn hợp pháp và chưa bị giả mạo. Những kẻ tấn công chiếm được chứng chỉ này có thể ký mã độc để làm cho nó trông có vẻ đáng tin cậy đối với hệ điều hành và các công cụ bảo mật.

Việc thu hồi các chứng chỉ bị đánh cắp có bảo vệ người dùng ngay lập tức không?

Thu hồi là phản ứng đúng đắn nhưng không cung cấp sự bảo vệ tức thời, vì các kiểm tra thu hồi không phải lúc nào cũng được thực thi theo thời gian thực. Một số hệ thống hoặc cấu hình có thể không nhận ra ngay rằng một chứng chỉ trước đây hợp lệ đã không còn đáng tin cậy.

Tại sao nhân viên bộ phận hỗ trợ thường xuyên bị nhắm mục tiêu trong các cuộc tấn công phi kỹ thuật?

Nhân viên hỗ trợ thường bị nhắm mục tiêu vì công việc của họ yêu cầu phải nhiệt tình và phản hồi nhanh, khiến họ dễ bị thao túng hơn. Những kẻ tấn công thường giả mạo đồng nghiệp, nhà cung cấp hoặc các yêu cầu nội bộ khẩn cấp để gây áp lực buộc nhân viên bỏ qua các quy trình xác minh thông thường.

Vụ Tấn Công Cổng Hỗ Trợ DigiCert: 27 Chứng Chỉ Ký Mã Bị Đánh Cắp

Một vụ xâm phạm tại một trong những tổ chức cấp chứng chỉ được tin cậy nhất trên internet đã đặt ra những câu hỏi nghiêm túc về bảo mật chuỗi cung ứng phần mềm. DigiCert, nhà cung cấp chứng chỉ số lớn được dùng để xác minh tính xác thực của phần mềm và trang web, đã xác nhận rằng những kẻ tấn công đã sử dụng kỹ thuật tấn công phi kỹ thuật (social engineering) để xâm phạm hai nhân viên hỗ trợ kỹ thuật, giành quyền truy cập vào các hệ thống back-end và đánh cắp 27 chứng chỉ ký mã. Những chứng chỉ này sau đó đã được dùng để ký mã độc trước khi DigiCert thu hồi chúng.

Sự cố này là lời nhắc nhở rằng ngay cả những tổ chức chịu trách nhiệm duy trì niềm tin kỹ thuật số cũng không miễn nhiễm với các cuộc tấn công nhắm vào con người.

Chứng Chỉ Ký Mã Là Gì Và Tại Sao Chúng Quan Trọng?

Khi bạn tải xuống phần mềm, hệ điều hành thường kiểm tra xem phần mềm đó có mang chữ ký số hợp lệ hay không. Chữ ký này, do một tổ chức cấp chứng chỉ đáng tin cậy như DigiCert phát hành, được cho là để xác nhận rằng phần mềm đến từ một nguồn hợp pháp và chưa bị giả mạo. Đây là một phần cốt lõi trong cách các hệ điều hành hiện đại, từ Windows đến macOS, giúp người dùng phân biệt phần mềm đáng tin cậy với các phần mềm giả mạo độc hại.

Khi kẻ tấn công chiếm được chứng chỉ ký mã hợp lệ, chúng có thể bọc mã độc trong lớp vỏ hợp pháp. Các công cụ bảo mật, cảnh báo của hệ điều hành, và thậm chí một số hệ thống bảo vệ thiết bị đầu cuối doanh nghiệp có thể mặc định coi phần mềm đã ký là đáng tin cậy. Người dùng tải xuống thứ trông có vẻ là một ứng dụng đã được ký và xác minh sẽ có ít tín hiệu cảnh báo trực quan hơn để nhận ra rằng có điều gì đó không ổn.

Trong trường hợp này, 27 chứng chỉ bị đánh cắp đã được tích cực sử dụng để ký mã độc trước khi DigiCert phát hiện vụ xâm phạm và thu hồi chúng. Thu hồi là phản ứng đúng đắn, nhưng đó không phải là biện pháp bảo vệ tức thời. Kiểm tra thu hồi không phải lúc nào cũng được thực thi theo thời gian thực, và một số hệ thống hoặc cấu hình có thể không nhận ra ngay rằng một chứng chỉ trước đây hợp lệ đã không còn đáng tin cậy.

Cuộc Tấn Công Xảy Ra Như Thế Nào: Tấn Công Phi Kỹ Thuật Nhắm Vào Bộ Phận Hỗ Trợ

Phương thức được sử dụng để giành quyền truy cập xứng đáng được chú ý kỹ lưỡng. Những kẻ tấn công không khai thác một lỗ hổng phần mềm chưa được vá hay dùng vũ lực tấn công qua tường lửa. Chúng nhắm vào con người. Hai nhân viên hỗ trợ kỹ thuật đã bị thao túng để cung cấp quyền truy cập vào các hệ thống back-end, một kỹ thuật được gọi rộng rãi là tấn công phi kỹ thuật (social engineering).

Nhân viên bộ phận hỗ trợ thường xuyên bị nhắm mục tiêu theo cách này vì công việc của họ yêu cầu phải nhiệt tình và phản hồi nhanh. Những kẻ tấn công thường giả mạo đồng nghiệp, nhà cung cấp hoặc các yêu cầu nội bộ khẩn cấp để gây áp lực buộc nhân viên hỗ trợ bỏ qua các quy trình xác minh thông thường.

Cuộc tấn công này tuân theo một mô hình đã được thiết lập rõ ràng, từng xuất hiện trong các vụ xâm phạm tại các tổ chức lớn trong nhiều ngành. Bài học rút ra không phải là DigiCert đặc biệt cẩu thả. Mà là tấn công phi kỹ thuật vẫn là một trong những véc-tơ tấn công hiệu quả nhất hiện có, bất kể hệ thống phòng thủ kỹ thuật của mục tiêu tinh vi đến mức nào.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn tải xuống phần mềm bảo mật, ứng dụng VPN hoặc bất kỳ ứng dụng nào từ internet, sự cố này có liên quan trực tiếp đến thói quen bảo mật cá nhân của bạn.

Thứ nhất, việc chỉ tải phần mềm từ các nguồn chính thức, nguồn gốc quan trọng hơn bao giờ hết. Chữ ký chứng chỉ là một tín hiệu hữu ích, nhưng không phải không thể sai lầm, như vụ xâm phạm này đã chứng minh. Tránh tải phần mềm từ các cửa hàng ứng dụng bên thứ ba, các trang mirror, hoặc các liên kết được chia sẻ qua mạng xã hội hoặc email trừ khi bạn đã xác minh độc lập nguồn gốc đó.

Thứ hai, việc cập nhật hệ điều hành và phần mềm bảo mật đảm bảo rằng các chứng chỉ đã bị thu hồi được nhận diện là không hợp lệ trên thiết bị của bạn. Danh sách thu hồi chứng chỉ và các bản cập nhật OCSP (Giao thức Trạng thái Chứng chỉ Trực tuyến) được phân phối thông qua các bản cập nhật hệ thống và trình duyệt. Một hệ thống lỗi thời có thể tiếp tục tin tưởng một chứng chỉ đã bị thu hồi.

Thứ ba, đối với người dùng VPN hoặc phần mềm bảo mật cụ thể, đáng để định kỳ xem xét nguồn gốc cài đặt của bạn và liệu nhà cung cấp có thông báo bảo mật nào hay không. Các nhà cung cấp uy tín sẽ công khai các vấn đề ảnh hưởng đến quy trình phân phối phần mềm của họ.

Đối với các tổ chức, sự cố này củng cố thêm lập luận ủng hộ việc yêu cầu xác thực đa yếu tố cho tất cả nhân viên hỗ trợ và quản trị, triển khai các quy trình xác minh nghiêm ngặt trước khi cấp bất kỳ quyền truy cập nào, và kiểm tra xem nhân viên nào có thể truy cập các hệ thống quản lý chứng chỉ nhạy cảm.

Các Biện Pháp Cụ Thể Cần Thực Hiện

Chỉ tải phần mềm từ trang web chính thức của nhà cung cấp. Tránh các trang tổng hợp tải xuống của bên thứ ba, kể cả đối với các ứng dụng nổi tiếng.
Cập nhật hệ điều hành và trình duyệt của bạn. Dữ liệu thu hồi được cung cấp qua các bản cập nhật. Một hệ thống lỗi thời có thể không nhận ra các chứng chỉ bị xâm phạm.
Kiểm tra các thông báo bảo mật từ nhà cung cấp. Nếu bạn sử dụng phần mềm được ký bởi DigiCert, hãy truy cập trang bảo mật chính thức của nhà cung cấp để xác nhận liệu phần mềm đã cài đặt của bạn có bị ảnh hưởng không.
Hãy thận trọng với các bản cập nhật phần mềm không mong đợi. Nếu bạn nhận được lời nhắc cập nhật ứng dụng không được yêu cầu, hãy xác minh thông qua chính ứng dụng đó thay vì nhấp vào liên kết bên ngoài.
Các tổ chức nên kiểm tra kho lưu trữ tin cậy chứng chỉ. Các nhóm bảo mật nên xem xét những chứng chỉ nào đang được tin cậy trong môi trường của họ và đảm bảo rằng việc kiểm tra thu hồi được thực thi.

Phản ứng của DigiCert, bao gồm việc thu hồi các chứng chỉ bị ảnh hưởng, là phù hợp và được kỳ vọng. Nhưng bài học rộng hơn là cơ sở hạ tầng tin cậy làm nền tảng cho việc phân phối phần mềm phụ thuộc vào các quy trình của con người không kém gì các quy trình kỹ thuật. Hiểu được nguồn gốc của niềm tin đó, và nơi nó có thể sụp đổ, đặt bạn vào vị thế tốt hơn để tự bảo vệ mình.