Ransomware cấy trong vi mã CPU: mối đe dọa vượt ngoài tầm với của mọi phần mềm bảo mật
Giới chuyên gia an ninh mạng đang gióng lên hồi chuông cảnh báo trước một hiểm họa mới trong kỷ nguyên số. Đó là một dạng mã độc tống tiền có khả năng hoạt động ngay trên tầng sâu nhất của hệ thống, nơi vi mã CPU kiểm soát các hoạt động cốt lõi của phần cứng. Loại mã độc này không chỉ ẩn mình hiệu quả trong lõi máy tính mà còn có thể vô hiệu hóa hầu hết các lớp bảo vệ truyền thống. Điều này mở ra một tương lai đáng sợ nơi ransomware không còn bị giới hạn bởi các giải pháp phòng thủ hiện hữu và có thể trở thành nỗi ám ảnh dai dẳng với mọi hệ thống.
Trong một cuộc phỏng vấn với tờ The Register, ông Christiaan Beek, Giám đốc cấp cao phụ trách phân tích mối đe dọa tại công ty an ninh mạng Rapid7, đã tiết lộ về một thử nghiệm mà ông thực hiện thành công. Theo đó, ông đã viết được một đoạn mã PoC, tức là một minh chứng kỹ thuật, cho loại ransomware có khả năng cư trú và hoạt động trong microcode của CPU. Dù bản mẫu này không được công bố rộng rãi, ông Beek cho biết mục tiêu chính là để cảnh báo cộng đồng an ninh mạng về một kịch bản tấn công chưa từng có tiền lệ mà các công cụ hiện tại chưa thể đối phó hiệu quả.
Nguồn gốc của vấn đề bắt đầu từ một lỗ hổng bảo mật nghiêm trọng trong vi kiến trúc Zen của hãng AMD. Cụ thể, lỗ hổng này cho phép các bản microcode chưa được ký số có thể được tải vào hệ thống và từ đó can thiệp trực tiếp vào hành vi của bộ vi xử lý. Điều đáng lo ngại là lỗ hổng này ảnh hưởng đến toàn bộ các thế hệ CPU từ Zen 1 đến Zen 5, tức là một phạm vi rất rộng trong ngành sản xuất phần cứng. Dù đã có bản vá chính thức từ AMD, ông Beek nhận định rằng nếu lỗ hổng rơi vào tay các nhóm tin tặc có trình độ cao, nó hoàn toàn có thể trở thành điểm khởi đầu cho những cuộc tấn công cực kỳ phức tạp.
Ông Beek chia sẻ rằng với nền tảng chuyên môn về bảo mật firmware, ông lập tức nghĩ đến việc tạo ra một mã độc tống tiền có thể hoạt động bên trong CPU và thực tế ông đã làm được điều đó. Theo ông, một khi mã độc được nhúng vào vi mã hoặc môi trường khởi động như UEFI hoặc BIOS, nó sẽ khởi chạy ngay từ lúc máy tính được bật. Điều này đồng nghĩa với việc nó có thể hoạt động trước cả khi hệ điều hành được tải, khiến mọi phần mềm bảo mật truyền thống trở nên vô dụng. Ông cảnh báo rằng đây là một loại mã độc có khả năng vượt qua toàn bộ các cơ chế phòng vệ hiện có.
Minh chứng cho mối nguy hiểm này cũng từng xuất hiện trong các cuộc hội thoại bị rò rỉ vào năm 2022 từ nhóm mã độc Conti. Một thành viên của nhóm từng tuyên bố rằng họ đang thử nghiệm một biến thể ransomware được cài thẳng vào UEFI để dù người dùng có cài lại hệ điều hành thì dữ liệu vẫn bị khóa như cũ. Một người khác còn cho rằng nếu có thể chỉnh sửa BIOS và thay thế bằng một bootloader riêng, thì hoàn toàn có khả năng khóa ổ đĩa từ trước khi hệ điều hành khởi động.
Mặc dù không công bố mã độc mẫu, ông Beek đưa ra lời cảnh báo rằng các nhóm tin tặc đang ngày càng tinh vi và sẽ không bỏ qua tiềm năng khủng khiếp của hình thức tấn công này. Ông nhấn mạnh rằng trong bối cảnh năm 2025 đang tới gần, cộng đồng công nghệ không nên tiếp tục bàn luận về ransomware như một vấn đề hiển nhiên mà cần chủ động xử lý nó từ gốc. Giải pháp được ông đưa ra là cần tái cấu trúc cách tiếp cận bảo mật, bắt đầu từ phần cứng thay vì chỉ tập trung vào các lớp phần mềm bên ngoài.
Bên cạnh đó, ông cũng thẳng thắn chỉ ra rằng nhiều cuộc tấn công nghiêm trọng vẫn xuất phát từ những lỗi đơn giản và hoàn toàn có thể phòng tránh. Những yếu tố như mật khẩu yếu, không sử dụng xác thực hai lớp hay bỏ qua các bản cập nhật bảo mật cần thiết vẫn là nguyên nhân chính khiến hệ thống bị xâm nhập. Dù các hình thức tấn công có tinh vi đến đâu thì sự bất cẩn của con người vẫn luôn là điểm yếu chí mạng trong chuỗi phòng vệ của bất kỳ tổ chức nào.
