Vụ hack SolarWinds: tin tặc nắm quyền hơn 18 ngàn máy chủ nhưng chỉ theo dõi 40 máy

Trong 18.000 tổ chức đã lỡ tải về một phiên bản phần mềm bị cài backdoor từ SolarWinds, chỉ một số rất nhỏ khoảng 0,2% bị ảnh hưởng bởi một vụ tấn công lợi dụng backdoor này để thực hiện giai đoạn hai là cài đặt một gói dữ liệu độc hại. Những tổ chức không may này là các công ty công nghệ, các cơ quan chính phủ, và các tổ chức phi chính phủ. Đại đa số - 80% - của nhóm này, tức khoảng 40 tổ chức, có trụ sở đặt tại Mỹ.

Những con số đó được cung cấp bởi Chủ tịch Microsoft, Brad Smith. Ông còn chia sẻ một vài bình luận sâu sắc về mức độ nguy hiểm của vụ tấn công chưa từng có tiền lệ này. Những số liệu ông đưa ra hiển nhiên chưa hoàn thiện, bởi Microsoft chỉ thấy được những gì ứng dụng Windows Defender của họ phát hiện được. Dẫu vậy, đó đã là rất nhiều, và bất kỳ sự khác biệt nào so với những số liệu thực tế nhiều khả năng cũng có thể cho qua nếu làm tròn lên.

Nhắm vào các tổ chức hàng đầu

SolarWinds là nhà sản xuất của một công cụ quản lý mạng cực kỳ phổ biến mang tên Orion. Một lượng lớn đến ngạc nhiên các mạng doanh nghiệp trên toàn thế giới đang chạy phần mềm này. Các hacker được chống lưng bởi chính phủ - mà theo hai nghị sỹ Mỹ nhận được các bản báo cáo riêng tiết lộ chính là Nga - đã tìm được cách kiểm soát hệ thống dựng phần mềm của SolarWinds và tung ra một bản cập nhật bảo mật tích hợp backdoor. SolarWinds cho biết khoảng 18.000 người dùng đã tải về bản cập nhật độc hại này.

Chiến dịch hack kéo dài nhiều tháng liền chỉ bị phát giác sau khi công ty bảo mật FireEye thừa nhận đã bị xâm nhập bởi một chính phủ lạ. Trong quá trình điều tra, các nhà nghiên cứu của công ty phát hiện ra rằng các hacker đã sử dụng backdoor Orion, không chỉ đối với FireEye, mà là một chiến dịch rộng lớn hơn nhiều nhắm vào nhiều cơ quan liên bang tại Mỹ. Trong 10 ngày kể từ sau vụ việc, phạm vi và phương pháp hack đã trở nên ngày càng rõ ràng hơn.

Vụ hack vào SolarWinds và backdoor cài đặt trong 18.000 máy chủ nói trên chỉ là giai đoạn một của cuộc tấn công, vốn được thực hiện chỉ với một mục đích là nhắm thẳng vào các mục tiêu định trước. Những tổ chức hàng đầu nằm trong tầm ngắm nhiều khả năng là mục tiêu đơn nhất của toàn bộ chiến dịch, được cho là đã diễn ra ít nhất 9 tháng, có thể còn lâu hơn nhiều nữa.

Những số liệu của Microsoft đã cho thấy rõ cuộc tấn công này có mục tiêu rõ ràng ra sao. Các hacker đứng sau vụ xâm nhập vào chuỗi cung ứng đã nắm quyền kiểm soát đến 18.000 mạng doanh nghiệp và chỉ theo dõi 40 trong số đó.

Bản đồ bên dưới thể hiện lĩnh vực hoạt động của các nạn nhân:

Phá vỡ mọi chuẩn mực

Smith nhận thức được rằng mọi quốc gia công nghiệp đều thực hiện các hành động tình báo gián điệp, bao gồm hack. Điểm khác biệt trong vụ việc lần này là một chính phủ đã phá vỡ mọi chuẩn mực từng được thiết lập nên khi đặt hàng loạt tổ chức quan trọng của thế giới trước những mối nguy hiểm thực sự để theo đuổi ý đồ đã vạch ra. Ông nói rằng:

"Chúng ta cần lùi lại và đánh giá mức độ của những cuộc tấn công này trong bối cảnh hoàn chỉnh. Đây không phải ‘hoạt động tình báo gián điệp như thông thường’, kể cả trong thời đại số. Thay vào đó, nó là một hành động liều lĩnh, tạo ra một lỗ hổng nghiêm trọng về công nghệ cho nước Mỹ và thế giới. Nó không chỉ là một cuộc tấn công vào các mục tiêu cụ thể, mà đánh vào lòng tin và độ tin cậy của cơ sở hạ tầng trọng yếu của thế giới nhằm mang lại lợi thế cho cơ quan tình báo của một quốc gia. Dù hầu hết các vụ tấn công gần đây dường như cho thấy sự tập trung đặc biệt vào Mỹ và nhiều nền dân chủ khác, nó còn là một lời nhắc nhở mạnh mẽ rằng mọi người ở gần như mọi quốc gia đều đang đứng trước nguy cơ và cần sự bảo vệ từ những chính phủ nơi họ đang sống".

Smith còn trích lời của CEO FireEye, Kevin Mandia, rằng: "Chúng ta đang chứng kiến một cuộc tấn công bởi một quốc gia với sức mạnh tấn công hàng đầu".

Smith viết tiếp:

"Trong quá trình các chuyên gia an ninh mạng Microsoft hỗ trợ (FireEye), chúng tôi đã đi đến cùng kết luận. Vụ tấn công này, không may là, cho thấy một chiến dịch tình báo gián điệp quy mô rộng lớn và đã thành công, vào cả những thông tin tuyệt mật của chính phủ Mỹ và các công cụ công nghệ được dùng bởi các công ty để bảo vệ chúng. Cuộc tấn công vẫn đang tiếp diễn và sẽ được tích cực điều tra và giải quyết bởi các nhóm an ninh mạng thuộc khu vực công và tư, bao gồm Microsoft. Quá trình điều tra đang tiếp diễn của các nhóm thuộc Microsoft tiết lộ một cuộc tấn công quy mô cả về phạm vi, sự tinh vi, và tác động của nó".

Vụ hack SolarWinds có thể xem là một trong những vụ hack tình báo gián điệp tồi tệ nhất trong thập kỷ qua, nếu không muốn nói là từ trước đến nay. Kỹ thuật và độ chính xác của nó thật sự rất kinh khủng. Trong bối cảnh các nạn nhân của vụ việc tìm hiểu xem những gì giai đoạn hai của cuộc tấn công đã gây ra cho các mạng lưới của họ, câu chuyện này nhiều khả năng sẽ trở nên hấp dẫn hơn bao giờ hết.

Tham khảo: ArsTechnica