Ở Trung Quốc, những doanh nghiệp muốn hoạt động thì cần sử dụng phần mềm khai thuế điện tử. Tuy nhiên, các nhà nghiên cứu an ninh mạng mới đây cho biết phần mềm khai thuế điện tử của chính phủ Trung Quốc lại cài malware (mã độc) ẩn trên các hệ thống máy tính doanh nghiệp, thậm chí phần mềm độc hại này còn có cơ chế tự động nhằm tránh bị lộ tẩy. Ẩn sâu bên trong một phần mềm thuế hết sức bình thường hóa ra lại là một phần mềm gián điệp cực kỳ tinh vi và phức tạp.

(Ảnh minh họa: BeeBright/Shutterstock)

Cụ thể, công ty an ninh mạng Trustwave (có trụ sở tại Anh) đã phát hiện ra malware này trên hệ thống của một trong các khách hàng của họ. Họ đã tiến hành theo dõi và phân tích nó.

“Khách hàng đã thông báo với chúng tôi trước khi đi vào hoạt động ở Trung Quốc. Ngân hàng địa phương ở Trung Quốc đã yêu cầu họ cài đặt một gói phần mềm với tên gọi ‘Thuế Thông minh’ (Intelligent Tax) được viết bởi Bộ phận ‘Thuế Vàng’ (Golden Tax Department) thuộc Tập đoàn Aisino để thanh toán tiền thuế địa phương.” ông Brian Hussey, phó chủ tịch bộ phận Phát hiện và ứng phó mối đe dọa mạng tại Trustwave, cho hay. “Khi tiếp tục khảo sát phần mềm này, chúng tôi thấy rằng nó hoạt động đúng như những gì viết trên quảng cáo. Nhưng nó đồng thời cũng cài đặt một ‘cửa hậu’ (Backdoor) ẩn vào hệ thống, cho phép điều khiển từ xa và thực thi việc tải lên và thực thi lệnh nhị phân bất k ỳ trên hệ điều hành Windows.”

Các doanh nghiệp hoạt động tại Trung Quốc phải đóng thuế giá trị gia tăng (VAT). Việc thanh toán thuế VAT được theo dõi thông qua Dự án ‘Thuế Vàng’ (Golden Tax) của Trung Quốc, yêu cầu các tổ chức sử dụng phần mềm chuyên biệt để nộp và theo dõi thông tin hóa đơn.

Malware có tên gọi ‘Gián điệp Vàng’ (GoldenSpy) ẩn trong phần mềm Intelligent Tax của Aisino sẽ được tải xuống 2 giờ sau khi phần mềm thuế được cài đặt. 2 phiên bản của malware này được cài đặt và sẽ tự động bật khi hệ thống khởi động để duy trì quyền quản trị cấp hệ thống.

>> Công an cảnh báo mã độc ‘núp bóng’ tài liệu về Covid-19

Trustwave cho biết họ không thể nói trước rằng liệu chính Aisino đã chủ động sử dụng malware này trong phần mềm Intelligent Tax của họ hay không, nhưng khuyến nghị rằng các doanh nghiệp hoạt động ở Trung Quốc – đặc biệt là những công ty sử dụng phần mềm hỗ trợ thuế của Aisino – nên xem malware này là một mối đe dọa.

Malware tự xóa để xóa dấu vết

Ngay sau khi Trustwave công bố những báo cáo gốc của họ về malware GoldenSpy vào tháng 6/2020, các nhà nghiên cứu phát hiện ra rằng bản cập nhật mới của phần mềm đã âm thầm xóa GoldenSpy khỏi máy tính. Trình gỡ cài đặt được thiết kế để gỡ tất cả các mục, tệp tin và thư mục trong registry được tạo bởi GoldenSpy rồi cũng sẽ tự xóa chính GoldenSpy – thông qua câu lệnh trên Windows mà không có bất cứ thông báo nào đến người dùng.

Ông Hussey cho biết: “Nó biến mất không một dấu tích, hoặc thậm chí không để người ta có thể biết được nó đã từng tồn tại ở đó. Trong khảo sát của chúng tôi, trình gỡ cài đặt này sẽ tự động được tải xuống và chạy ngầm, sau đó sẽ ‘phủ nhận’ sự tồn tại và mối đe dọa của GoldenSpy trong máy tính của bạn một cách hiệu quả. Tuy nhiên, việc này đến trực tiếp từ một phần mềm thuế mà được cho là hợp pháp, nên điều này có thể làm cho người dùng Intelligent Tax lo ngại rằng có thể có những thứ khác được tải xuống và chạy ngầm theo cách tương tự.”

Mới đây, Trustwave đã phát hiện một phiên bản mới của chính trình gỡ cài đặt đấy. Phiên bản này cũng ‘âm thầm’ được tải xuống hệ thống với phần mềm thuế đã được cài đặt trước đó, với mục đích tương tự – để loại bỏ tất cả các vết tích của GoldenSpy – đặc biệt là nó đã được thiết kế đặc biệt để né tránh các phương pháp phát hiện trước đó đã được đưa ra bởi Trustwave.

Các bài đăng của Trustwave về GoldenSpy đã dẫn đến việc phát hiện một malware khác có trong phần mềm được phân phối với một công ty con của Aisino, trước khi có sự xuất hiện của GoldenSpy.

Từ đầu năm 2018 đến tháng 7/2019, một phần mềm đáng ngờ đã được cài lên máy tính, thông qua phần mềm hỗ trợ thuế.

Ông Hussey cho biết: “Dự án Golden Tax là một dự án mang tính quốc gia ở Trung Quốc, tác động đến tất cả các doanh nghiệp hoạt động ở Trung Quốc. Hiện tại chúng tôi mới chỉ biết được hai tổ chức được phép phân phối phần mềm trong Golden Tax, là Aisino và Baiwang. Đây là gói phần mềm thứ hải của Golden Tax mà Trustwave đã phát hiện được malware ẩn có khả năng thực thi các câu lệnh từ xa với quyền quản trị cấp hệ thống.”

Với tên gọi GoldenHelper, chương trình này chứa 3 tập tin khác nhau có định dạng .dll, được sử dụng để vượt qua chức năng ‘Kiểm soát Tài khoản Người dùng Windows’ (Windows User Account Control) trước khi khởi chạy tập tin taxver.exe trên máy tính. Trong toàn bộ thời gian, nó đã bị ẩn trong phần mềm hóa đơn China’s Golden Tax, vốn được các doanh nghiệp sử dụng để hạch toán và nộp thuế VAT.

Trong khi các nhà nghiên cứu hiện vẫn chưa thể trực tiếp phân tích một mẫu tập tin taxver.exe, các khía cạnh xung quanh nó cũng dẫn đến những câu hỏi về tính hợp pháp của tập tin này. Ngoài việc cố tình vượt qua lớp bảo mật của Windows, tập tin taxver.exe tự cung cấp cho nó một định dạng bất kỳ (ví dụ như .jpg, .gif, .dat, .rar hoặc .zip) khiến cho người dùng không chú ý sau khi tải về. Sau đó một trình sắp xếp ngẫu nhiên đưa tập tin này vào 1 trong 6 thư mục trên Windows khác nhau – một lần nữa cố gắng ẩn tập tin này tránh khỏi bị phát hiện.

>> Tik Tok là phần mềm gián điệp của Trung Quốc?

Trustwave kiến nghị rằng “bất kỳ ứng dụng lưu trữ hệ thống của bên thứ 3 nào có khả năng đưa thêm một cổng truy cập vào máy tính của bạn, cần được cô lập ra và giám sát chặt chẽ với quy trình nghiêm ngặt trong quá trình sử dụng.” Trustwave cũng thừa nhận không thể xác định được ai đứng sau phần mềm độc hại này. Công ty bảo mật của Anh nghi vấn Intelligent Tax có thể nhiễm mã độc từ hacker, nhưng cũng không loại trừ việc bị cài cắm bởi Aisino hoặc đứng sau là chính phủ Trung Quốc.

Phan Anh (tổng hợp)