Microsoft triệt phá Fox Tempest – dịch vụ ký mã độc giúp ransomware “hợp pháp hóa” phần mềm độc hại

Cách Fox Tempest lợi dụng hệ thống ký mã của Microsoft

Fox Tempest đã lạm dụng Microsoft Artifact Signing — một dịch vụ đám mây hợp pháp cho phép các nhà phát triển ký số phần mềm để hệ điều hành và người dùng xác minh rằng chương trình chưa bị chỉnh sửa.

Thay vì ký các ứng dụng hợp pháp, nhóm này sử dụng dịch vụ để:

• Tạo chứng chỉ ký mã (code‑signing certificates) cho các tệp độc hại
• Khiến malware trông như phần mềm đã được xác minh
• Giúp mã độc vượt qua một số cơ chế kiểm tra bảo mật của Windows

Microsoft cho biết Fox Tempest đã tạo hơn 1.000 chứng chỉ ký mã giả và thiết lập hàng trăm tenant và subscription trên Azure để vận hành hệ thống này.

Dịch vụ signspace[.]cloud hoạt động ra sao

Trung tâm của hoạt động này là một nền tảng có tên signspace[.]cloud. Đây thực chất là một dịch vụ trả phí cho phép tội phạm mạng ký số malware của họ.

Quy trình được cho là diễn ra như sau:

• Kẻ tấn công tải tệp malware lên dịch vụ.
• Nền tảng sử dụng quyền truy cập gian lận vào Artifact Signing để tạo chứng chỉ ký mã.
• Malware được trả lại với chữ ký số hợp lệ.

Vì tệp tin đã được ký bằng chuỗi chứng chỉ đáng tin cậy, chúng có thể trông giống phần mềm hợp pháp đối với người dùng và một số hệ thống phòng thủ tự động.

Một số báo cáo cho biết các chứng chỉ này chỉ tồn tại trong thời gian rất ngắn — khoảng 72 giờ. Thời gian ngắn giúp kẻ tấn công phát tán malware trước khi hệ thống phòng thủ kịp phát hiện và thu hồi chứng chỉ.

Các nhóm ransomware liên quan

Microsoft cho biết dịch vụ ký mã độc của Fox Tempest được nhiều nhóm tội phạm mạng sử dụng, bao gồm:

• Rhysida ransomware
• Vanilla Tempest
• Storm‑0501
• một số nhóm khác được Microsoft theo dõi

Hạ tầng này cũng được liên hệ với các họ malware như Oyster, Lumma Stealer và Vidar, dù chi tiết về cách từng công cụ sử dụng dịch vụ ký mã không được công bố đầy đủ.

Microsoft đã triệt phá chiến dịch như thế nào

Để phá vỡ hoạt động của Fox Tempest, Microsoft kết hợp nhiều biện pháp pháp lý, kỹ thuật và điều tra.

1. Khởi kiện dân sự

Microsoft đã nộp đơn kiện và sau đó công bố vụ việc tại Tòa án Quận Hoa Kỳ khu vực Nam New York, nhằm vào mạng lưới Fox Tempest.

2. Thu giữ và vô hiệu hóa hạ tầng

Phối hợp với nhà cung cấp dịch vụ lưu trữ và cơ quan chức năng, Microsoft đã:

• thu giữ website của nhóm
• chặn các dịch vụ liên quan
• tháo dỡ hạ tầng vận hành nền tảng ký mã độc

3. Thu hồi chứng chỉ giả

Công ty đã thu hồi hơn 1.000 chứng chỉ ký mã gian lận được tạo thông qua hệ thống này.

4. Ngắt hệ thống trên Azure

Microsoft phát hiện và vô hiệu hóa hàng trăm tenant, máy ảo và subscription Azure liên quan đến hoạt động của Fox Tempest.

5. Điều tra và thâm nhập bí mật

Đơn vị Digital Crimes Unit (DCU) của Microsoft còn sử dụng các kỹ thuật điều tra, bao gồm việc tiếp cận ngầm để xác định hạ tầng và những người vận hành trước khi thực hiện chiến dịch triệt phá.

Vì sao vụ việc này quan trọng

1. Tội phạm mạng đang trở thành “nền kinh tế dịch vụ”

Thay vì tự xây dựng toàn bộ công cụ tấn công, nhiều nhóm hacker hiện nay dựa vào các dịch vụ chuyên biệt như:

• ransomware‑as‑a‑service
• môi giới quyền truy cập ban đầu
• hạ tầng lưu trữ malware
• và dịch vụ ký mã độc như Fox Tempest

Chỉ cần bán một khả năng duy nhất — ví dụ chữ ký số đáng tin cậy — cũng đủ để đóng vai trò quan trọng trong các chiến dịch ransomware quy mô lớn.

2. Lạm dụng chữ ký số phá vỡ niềm tin trong hệ sinh thái phần mềm

Chữ ký số được thiết kế để giúp hệ điều hành và người dùng xác minh rằng phần mềm là xác thực và chưa bị chỉnh sửa.

Khi kẻ tấn công có thể tạo hoặc chiếm quyền các chứng chỉ giả, malware có thể:

• giảm cảnh báo bảo mật
• tăng khả năng thực thi trên máy nạn nhân
• né tránh các cơ chế phát hiện dựa trên uy tín

Điều này khiến lớp “niềm tin” trong hệ sinh thái phần mềm trở thành mục tiêu tấn công, một vấn đề đặc biệt nguy hiểm đối với an ninh mạng.

Bài học lớn cho an ninh mạng

Vụ Fox Tempest cho thấy việc chống tội phạm mạng không chỉ là truy bắt các nhóm ransomware trực tiếp. Nhiều khi hiệu quả hơn là đánh vào các dịch vụ nền tảng trong hệ sinh thái tội phạm — những nơi cung cấp công cụ cho nhiều nhóm khác nhau.

Khi một dịch vụ như nền tảng ký mã độc bị triệt phá, toàn bộ chuỗi cung ứng tấn công có thể bị gián đoạn cùng lúc. Tuy vậy, sự kiện này cũng nhấn mạnh một thách thức lâu dài: ngay cả các công nghệ được thiết kế để tăng độ tin cậy cho phần mềm vẫn có thể bị lạm dụng nếu kẻ tấn công tìm ra cách khai thác chúng.