Chi tiết sự vụ rò rỉ bảo mật thông tin với OpenClaw tại Trung Quốc

Dưới đây là thông tin chi tiết về một vụ tấn công mạng tại Trung Quốc liên quan đến OpenClaw, được dịch sang tiếng Việt dựa trên các báo cáo an ninh mạng gần đây. Bài viết được lấy từ nhiều nguồn thông tin, tổng hợp từ DeepSeek và các trang web công nghệ của TQ. Raccoon.vn xin trích dẫn lại bản tiếng Việt để bạn đọc cụ thể hơn.

Chi tiết vụ tấn công: Tổ chức "Cáo Bạc" giả mạo OpenClaw để phát tán Trojan

Đây là một chiến dịch tấn công quy mô lớn, lợi dụng sức nóng của OpenClaw (thường được gọi là "tôm hùm") để đánh lừa người dùng, chủ yếu nhắm vào các cơ quan chính phủ và doanh nghiệp.

1. Thủ đoạn và quá trình tấn công

• Trang web giả mạo và dụ dỗ tải xuống: Nhóm tấn công "Cáo Bạc" (Silver Fox) đã đăng ký các tên miền có giao diện giống hệt trang chủ chính thức của OpenClaw (ví dụ: ai-openclaw.com.cn, web-openclaw.com.cn). Chúng sử dụng các kỹ thuật tối ưu hóa công cụ tìm kiếm (SEO) hoặc quảng cáo trả phí để đưa các liên kết độc hại này lên đầu kết quả tìm kiếm. Khi người dùng truy cập và nhấn tải xuống, họ sẽ nhận được một gói cài đặt giả mạo (ví dụ: openclaw.zip, opealeAi_7beAole-x64.exe).

• Kỹ thuật "Ngụy trang tinh vi": Khi nạn nhân chạy tệp tin cài đặt, một giao diện cài đặt OpenClaw hợp pháp sẽ hiện ra để đánh lừa người dùng. Đồng thời, một chương trình độc hại sẽ âm thầm chạy ngầm, giải phóng và tải Trojan điều khiển từ xa (thuộc biến thể của dòng mã độc Gh0st RAT) vào bộ nhớ máy tính.

• Cơ chế ẩn náu và tồn tại dai dẳng: Mã độc sẽ tiêm các mô-đun cửa hậu vào các tiến trình hệ thống quan trọng của Windows như sihost.exe, đồng thời tạo ra nhiều tiến trình bảo vệ lẫn nhau với quyền cao. Các tệp tin độc hại cũng bị ẩn và khóa quyền truy cập, khiến việc gỡ bỏ bằng các công cụ thông thường trở nên cực kỳ khó khăn.

2. Hậu quả và mức độ nguy hiểm

• Kiểm soát thiết bị từ xa: Sau khi máy tính bị nhiễm, kẻ tấn công có thể toàn quyền điều khiển thiết bị từ xa, thực hiện các hành vi như di chuyển chuột, mã hóa dữ liệu, phát tán liên kết độc qua các nhóm chat công việc, và đánh cắp thông tin nhạy cảm.

• Nguy cơ thẩm thấu mạng nội bộ (Lateral Movement): Điều đặc biệt nguy hiểm là vụ tấn công này có hiệu ứng "1+1>2". Nếu nạn nhân là máy chủ OpenClaw có mở cổng ra Internet, kẻ tấn công có thể lợi dụng chính tính năng "thẩm thấu mạng nội bộ" (intranet penetration) của OpenClaw để tấn công lan rộng vào toàn bộ hệ thống mạng nội bộ của cơ quan hoặc doanh nghiệp.

• Đánh cắp dữ liệu đặc thù: Mã độc nhắm vào các tệp cấu hình của OpenClaw để lấy cắp thông tin đăng nhập cơ sở dữ liệu, khóa API, và các thông tin thanh toán, gây ra nguy cơ rò rỉ dữ liệu khách hàng và tổn thất tài chính trên diện rộng.

Lưu ý quan trọng: Đây chỉ là một trong nhiều hình thức tấn công nhắm vào OpenClaw. Các cơ quan chức năng cũng đã cảnh báo về một chiến dịch khác, trong đó các gói kỹ năng (Skill) giả mạo được cấy mã độc trên kho lưu trữ của OpenClaw. Khi người dùng cài đặt các gói kỹ năng này, mã độc sẽ tự động tải về và đánh cắp thông tin cá nhân của nạn nhân.

Khuyến cáo phòng ngừa

1. Chỉ tải xuống từ nguồn chính thống: Tuyệt đối chỉ tải phần mềm OpenClaw và các gói kỹ năng (skill) từ trang web chính thức hoặc các kho lưu trữ đáng tin cậy. Cảnh giác với các liên kết quảng cáo trên công cụ tìm kiếm.

2. Kiểm tra kỹ tệp cài đặt: Trước khi cài đặt, nên kiểm tra chữ ký số của tệp và quét virus bằng các công cụ bảo mật uy tín.

3. Giới hạn quyền và mạng lưới: Nên triển khai OpenClaw trong môi trường cách ly hoặc mạng nội bộ, tránh để lộ ra Internet công cộng với cấu hình mặc định nếu không thật sự cần thiết.