Phần mềm thuế bắt buộc của Trung Quốc được bí mật cài mã độc

Giúp NTDVN sửa lỗi

Theo các nhà nghiên cứu an ninh mạng, phần mềm nộp thuế điện tử, là một phần cần thiết để tiến hành hoạt động doanh nghiệp ở Trung Quốc, đã được cài mã độc (malware) ẩn trên các hệ thống máy tính doanh nghiệp, và phần mềm độc hại này có cơ chế tự động nhằm tránh bị phát hiện. 

Nhóm Trustwave, sau khi phát hiện ra malware này trên hệ thống của một trong các khách hàng của họ, đã tiến hành theo dõi và phân tích nó.

Nhà nghiên cứu Brian Hussey cho biết: “Khách hàng đã thông báo với chúng tôi trước khi đi vào hoạt động ở Trung Quốc. Ngân hàng địa phương ở Trung Quốc đã yêu cầu họ cài đặt một gói phần mềm với tên gọi ‘Thuế Thông minh’ (Intelligent Tax) được viết bởi Bộ phận ‘Thuế Vàng’ (Golden Tax Department) thuộc Tập đoàn Aisino, để thanh toán tiền thuế địa phương”.

“Khi chúng tôi tiếp tục khảo sát phần mềm này, chúng tôi thấy rằng nó hoạt động đúng như những gì viết trên quảng cáo. Nhưng nó đồng thời cũng cài đặt một ‘cửa hậu’ (Backdoor) ẩn vào hệ thống, cho phép điều khiển từ xa và thực thi việc tải lên và thực thi bất cứ lệnh nhị phân nào trên hệ điều hành Windows”.

Các doanh nghiệp hoạt động tại Trung Quốc phải trả thuế giá trị gia tăng (VAT).

Việc thanh toán thuế VAT được theo dõi thông qua Dự án ‘Thuế Vàng’ (Golden Tax) của Trung Quốc, yêu cầu các tổ chức sử dụng phần mềm chuyên biệt để nộp và theo dõi thông tin hóa đơn.

Với tên gọi ‘Gián điệp Vàng’ (GoldenSpy), malware này ẩn trong phần mềm Intelligent Tax của Aisino đã được tải xuống hệ thống máy chủ của nó, 2 giờ sau khi phần mềm này được cài đặt.

2 phiên bản của malware này được cài đặt và sẽ tự động bật khi hệ thống khởi động để duy trì quyền quản trị cấp hệ thống của nó.

Trustwave cho biết họ không thể nói trước rằng liệu chính Aisino đã chủ động sử dụng malware này trong phần mềm Intelligent Tax của họ hay không, nhưng khuyến nghị rằng các doanh nghiệp hoạt động ở Trung Quốc - đặc biệt là những công ty sử dụng phần mềm hỗ trợ thuế của Aisino - nên xem malware này là một mối đe dọa.

Phá hủy chứng cứ

Ngay sau khi Trustwave công bố những báo cáo gốc của họ về malware GoldenSpy vào tháng 6/2020, các nhà nghiên cứu phát hiện ra rằng bản cập nhật mới của phần mềm đã âm thầm xóa GoldenSpy khỏi máy tính.

Trình gỡ cài đặt được thiết kế để gỡ tất cả các mục, tệp tin và thư mục trong registry được tạo bởi GoldenSpy trước khi xóa chính nó - thông qua câu lệnh trên Window mà không có bất cứ thông báo nào đến người dùng.

Ông Hussey cho biết: “Nó biến mất không một dấu tích, hoặc thậm chí không để người ta có thể biết được nó đã từng tồn tại ở đó. Trong khảo sát của chúng tôi, trình gỡ cài đặt này sẽ tự động được tải xuống và chạy ngầm, sau đó sẽ ‘phủ nhận’ sự tồn tại và mối đe dọa của GoldenSpy trong máy tính của bạn một cách hiệu quả. Tuy nhiên, việc này đến trực tiếp từ một phần mềm thuế mà được cho là hợp pháp, nên điều này có thể làm cho người dùng Intelligent Tax lo ngại rằng có thể có những thứ khác được tải xuống và chạy ngầm theo cách tương tự”.

Vào tuần trước (12-18/7/2020), Trustwave đã phát hiện một phiên bản mới của chính trình gỡ cài đặt đấy. Phiên bản này cũng ‘âm thầm’ được tải xuống hệ thống với phần mềm thuế đã được cài đặt trước đó, với mục đích tương tự - để loại bỏ tất cả các vết tích của GoldenSpy - ngoại trừ việc nó đã được thiết kế đặc biệt để né tránh các phương pháp phát hiện trước đó đã được đưa ra bởi Trustwave.

GoldenHelper - tiền thân của GoldenSpy

Các bài đăng của Trustwave về Golden Spy đã dẫn đến việc phát hiện một malware khác có trong phần mềm được phân phối với một công ty con của Aisino, trước khi có sự xuất hiện của GoldenSpy.

Từ đầu năm 2018 đến tháng 7/2019, một phần mềm đáng ngờ đã được cài lên máy tính, thông qua phần mềm hỗ trợ thuế.

Ông Hussey cho biết: “Dự án Golden Tax là một dự án mang tính quốc gia ở Trung Quốc, tác động đến tất cả các doanh nghiệp hoạt động ở Trung Quốc. Hiện tại chúng tôi mới chỉ biết được hai tổ chức được phép phân phối phần mềm trong Golden Tax, là Aisino và Baiwang. Đây là gói phần mềm thứ hải của Golden Tax mà Trustwave đã phát hiện được malware ẩn có khả năng thực thi các câu lệnh từ xa với quyền quản trị cấp hệ thống”.

Với tên gọi GoldenHelper, chương trình này chứa 3 tập tin khác nhau có định dạng .dll, được sử dụng để vượt qua chức năng ‘Kiểm soát Tài khoản Người dùng Windows’ (Windows User Account Control) trước khi khởi chạy tập tin taxver.exe trên máy tính”.

Trong khi các nhà nghiên cứu hiện vẫn chưa thể trực tiếp phân tích một mẫu tập tin taxver.exe, các khía cạnh xung quanh nó cũng dẫn đến những câu hỏi về tính hợp pháp của tập tin này.

Ngoài việc cố tình vượt qua lớp bảo mật của Windows, tập tin taxver.exe tự cung cấp cho nó một định dạng bất kỳ (ví dụ như .jpg, .gif, .dat, .rar hoặc .zip) khiến cho người dùng không chú ý sau khi tải về.

Sau đó một trình sắp xếp ngẫu nhiên đưa tập tin này vào 1 trong 6 thư mục trên Windows khác nhau - một lần nữa cố gắng ẩn tập tin này tránh khỏi bị phát hiện.

Trustwave kiến nghị rằng “bất kỳ ứng dụng lưu trữ hệ thống của bên thứ 3 nào có khả năng đưa thêm một cổng truy cập vào máy tính của bạn cần được cô lập ra và giám sát chặt chẽ với quy trình nghiêm ngặt trong quá trình sử dụng”.

Quang Minh

Theo Information Age



BÀI CHỌN LỌC

Phần mềm thuế bắt buộc của Trung Quốc được bí mật cài mã độc