SolarWinds là công ty an ninh mạng lớn và rất có uy tín của Mỹ. Các sản phẩm mạng và bảo mật của SolarWinds được sử dụng bởi hơn 300.000 khách hàng lớn trên toàn thế giới, bao gồm các công ty nằm trong danh sách Fortune 500, cơ quan chính phủ, quân đội, tổ chức giáo dục, các công ty viễn thông lớn. Các tổ chức chính phủ như Lầu Năm Góc, Bộ Ngoại giao, Cơ quan Hàng không và Vũ trụ Mỹ (NASA), Cơ quan An ninh Quốc gia (NSA), Bưu điện, Bộ Tư pháp, và Văn phòng Tổng thống Mỹ đều là khách hàng của SolarWinds. Phía SolarWinds cho biết có 18.000/300.000 khách hàng của họ đã nhiễm mã độc. Thông qua sản phẩm của SolarWinds, hacker đã tấn công vào nhiều tổ chức chính phủ, công ty an ninh mạng và công ty công nghệ lớn khác.
MỨC ĐỘ TINH VI TRONG KỸ THUẬT TẤN CÔNG
Đối tượng tấn công vào chuỗi cung ứng của công ty an ninh mạng SolarWinds đã sử dụng kỹ thuật hết sức tinh xảo ngay từ trong lãnh thổ Mỹ và được cho là có sự tham gia của hơn 1.000 hacker chuyên nghiệp.
Ngay sau khi cuộc tấn công được phát hiện, nhiều công ty an ninh mạng lớn như SolarWinds, FireEye, Symantec, Microsoft, CrowdStrike... và các cơ quan chính phủ như Cục Điều tra liên bang (FBI), Cơ quan Tình báo quốc gia Mỹ và Bộ An ninh nội địa (DHS) đã vào cuộc điều tra. Cuộc điều tra chưa kết thúc và các thông tin về vụ việc liên tục được công bố.
Cuộc tấn công lớn nhưng nhằm vào hoạt động được cho là hết sức thông thường, đó là cập nhật phần mềm, với một kế hoạch tấn công rất bài bản: cuối năm 2019, hacker bắt đầu tìm cách chèn mã độc vào bản cập nhật phần mềm SolarWinds Orion Platform qua phần mềm gián điệp Sunspot, theo công bố của CrowdStrike; tháng 02/2020 bắt đầu xâm nhập và phát tán mã độc; tháng 5/2020 bắt đầu khai thác thông tin và thực hiện tấn công qua các mã độc Teardrop, Beacon và Raindrop. Ngày 13/12/2020, cuộc tấn công bị phát hiện từ FireEye và được đặt tên là Sunburst hoặc Solorigate theo cách gọi của Microsoft.
Chủ tịch tập đoàn Microsoft Brad Smith đã phát biểu tại Thượng viện Mỹ rằng: đây là vụ tấn công lớn nhất và tinh vi nhất mà chúng ta từng thấy, có ít nhất 1.000 hacker kỹ thuật cao tham gia. Các phần mềm tấn công sử dụng kỹ năng ngụy trang, xóa dấu vết và lẩn tránh các công cụ bảo vệ như: Ngụy trang thành các file binary của hệ thống; có tên file và cách hành xử riêng trên các máy bị tấn công khác nhau; tắt tạm thời các công cụ log và giám sát an ninh mạng trên máy nạn nhân khi hoạt động. Nhiều hệ thống bị nhiễm mã độc nhưng không thuộc đối tượng tấn công sẽ kích hoạt “kill switch” để vô hiệu hóa phần mềm độc hại làm giảm nguy cơ phát hiện, trong khi đó thì có tới 30% đối tượng bị tấn công không trực tiếp sử dụng phần mềm của SolarWinds mà bị tấn công thông qua tổ chức sử dụng sản phẩm của SolarWinds.
Phần mềm giám sát mạng Orion SolarWinds hoạt động sâu trong hệ thống và có nhiều đặc quyền quan trọng nên rất nguy hiểm khi bị kiểm soát. Các chuyên gia tin rằng còn nhiều kỹ thuật được hacker sử dụng chưa được phát hiện và cuộc điều tra vẫn đang tiếp tục.
MỨC ĐỘ ẢNH HƯỞNG
Cuộc tấn công này được cho là có mức độ ảnh hưởng lớn nhất từ trước đến nay, ngoài mục tiêu tấn công vào các tổ chức chính phủ còn có mục tiêu rõ ràng là tấn công vào các công ty an ninh mạng và công ty công nghệ lớn.
Theo chính quyền Mỹ công bố vào ngày 18/02/2021 thì có ít nhất 09 cơ quan liên bang và hơn 100 công ty khu vực tư nhân đã bị tấn công, các nạn nhân sẽ tiếp tục tăng trong quá trình điều tra. Danh sách chi tiết không được tiết lộ nhưng mục tiêu rõ ràng là vào các cơ quan Ngoại giao, Kho bạc, Bộ nội vụ, Thương mại và Năng lượng, NASA và Cục Hàng không liên bang và cả cơ quan vũ khí hạt nhân.
Hacker đã truy cập và lấy cắp một lượng lớn công cụ tấn công mạng, được cho là dành cho đội Red Team để kiểm tra khả năng phòng thủ của khách hàng, của công ty an ninh mạng FireEye; khách hàng của FireEye bị ảnh hưởng bao gồm cả các cơ quan chính phủ và khu vực tư nhân trên toàn thế giới.
Hacker truy cập vào hệ thống của Microsoft, chiếm được một số tài khoản nội bộ và đánh cắp một lượng mã nguồn; Tiếp tục tấn công ngay cả khi Microsoft đã công bố báo cáo về vụ tấn công; Một số nạn nhân không sử dụng phần mềm SolarWinds Orion nhưng bị tấn công thông qua sản phẩm Microsoft 365 và Azure.
Hacker chiếm được khoảng 3.600 chứng chỉ số của nhà cung cấp quản lý email Mimecast, qua đó hacker có thể xem và sửa đổi dữ liệu đã được mã hóa truyền trên Internet với các dịch vụ Microsoft 365. Nhiều công ty an ninh mạng khác cũng xác nhận là nạn nhân của vụ tấn công như: CrowdStrike, Fidelis, Malwarebytes, Palo Alto Networks và Qualys.
Không chỉ các công ty an ninh mạng, một số công ty công nghệ lớn cũng bị cài mã độc như: Intel, Nvidia, Cisco, Belkin, VMWare và Amazon… Các chuyên gia cũng nhận định có nhiều tổ chức biết mình bị tấn công nhưng không công bố hoặc chỉ công bố một phần. Khi xâm nhập vào hệ thống, phần mềm độc hại thực hiện ghi lại bàn phím nạn nhân; chiếm quyền điều khiển; trích xuất dữ liệu mạng; backdoor...
Theo bà Anne Neuberger, Phó cố vấn an ninh quốc gia về không gian mạng của Nhà trắng, điều đáng lo ngại của cuộc tấn công này là nó không phải là một hoạt động gián điệp thông thường, mà kẻ tấn công có thể làm gián đoạn, suy yếu hay phá huỷ hệ thống công nghệ thông tin...
Dấu mốc leo thang cuộc chiến trên không gian mạng giữa các cường quốc công nghệ
Liên tiếp các vụ việc tấn công mạng ở quy mô lớn xảy ra ở nhiều quốc gia trong thời gian gần đây và với điểm nhấn là cuộc tấn công vào SolarWinds đã báo hiệu chiến tranh trên không gian mạng trở lên hiện hữu hơn, ở mức khốc liệt hơn và được dự báo có thể tăng theo cấp số nhân.
Các chuyên gia quan tâm đến phản ứng của chính quyền tân tổng thống Joe Biden cùng các quốc gia đồng minh đối với các tổ chức, quốc gia hậu thuẫn cho các cuộc tấn công mạng vào Mỹ và dự báo bắt đầu một thời kỳ mới của cuộc chạy đua và leo thang chiến tranh mạng.
Tổng thống Joe Biden đã chỉ đạo nâng cao tình trạng an ninh mạng trong chính phủ và tuyên bố sẽ sớm có những đáp trả xứng đáng với các quốc gia đã thực hiện các cuộc tấn công mạng vào Mỹ, trong đó nhấn mạnh vào hai nước là Trung Quốc và Nga.
Cơ quan tình báo Mỹ cũng được yêu cầu báo cáo khẩn về vụ tấn công tại Thượng viện Mỹ vào ngày 23/02/2021 với sự tham dự của đại diện các nạn nhân lớn như SolarWinds, FireEye, Microsoft và CrowdStrike. Các nhà lập pháp cũng đã có nhiều buổi làm việc trực tiếp với các đại diện trên để sớm có những thay đổi về chính sách trong chiến lược an ninh mạng quốc gia.
Nhiều chuyên gia an ninh mạng nhận định đây thực sự là một cuộc khủng bố mạng và lo ngại rằng, nếu Mỹ không có thay đổi và đáp trả phù hợp thì các cuộc tấn công sẽ còn tiếp tục; Luật pháp và các hành động trừng phạt đối phương tấn công mạng của Mỹ chưa đủ sức răn đe và làm cho đối phương sợ hãi trước khi tấn công Mỹ; Chính phủ và các tập đoàn tư nhân cần liên kết để giải quyết vấn đề an ninh mạng.
Một số chuyên gia, nhà chính trị của Mỹ được cho là đang phát động cuộc trừng phạt Nga không chỉ trên không gian mạng. Họ cho rằng cuộc tấn công là sự hổ thẹn của người Mỹ; sự đáp trả là rủi ro nhưng cần thiết; Một số lo ngại sẽ châm ngòi cho cuộc chiến leo thang và khởi động chu kỳ mạo hiểm.
NHỮNG BÀI HỌC
Trong những năm gần đây, Việt Nam đã chú trọng đến vấn đề an toàn, an ninh trên không gian mạng. Chính phủ đã coi vấn đề làm chủ, đảm bảo an toàn trên không gian mạng là yếu tố then chốt cho mục tiêu xây dựng chính phủ điện tử và chuyển đổi số quốc gia. Hệ thống văn bản pháp luật đang được tích cực bổ sung, hoàn thiện. Nhiều tổ chức, doanh nghiệp an ninh mạng được hình thành và phát triển ở cả khối nhà nước và khu vực tư nhân.
Các cuộc tấn công mạng trở nên “bất khả chiến bại”, ngay cả những sản phẩm, dịch vụ của công ty an ninh mạng tầm cỡ toàn cầu cũng có những điểm yếu để đối phương lợi dụng tấn công vào hệ thống thông tin của khách hàng. Bởi vậy, việc đảm bảo an toàn, an ninh thông tin cho các hệ thống công nghệ thông tin trọng yếu quốc gia đòi hỏi phải có giải pháp chặt chẽ và tổng thể, trong đó có sự kết hợp của các giải pháp như giám sát, chứng thực điện tử và mật mã. Việc đầu tư nâng cao chất lượng của sản phẩm, dịch vụ an toàn thông tin (ATTT) của các cơ quan nhà nước chuyên trách và xây dựng các doanh nghiệp ATTT Việt Nam đủ lớn mạnh cần được nhà nước và các tổ chức, doanh nghiệp ATTT đầu tư thích đáng.
- Việc thường xuyên kiểm tra, rà soát lỗ hổng, điểm yếu trong sản phẩm ATTT, hệ thống CNTT phải là yêu cầu bắt buộc đối với các nhà cung cấp sản phẩm, dịch vụ và đơn vị sử dụng.
- Hệ thống giám sát an toàn, an ninh mạng và ứng cứu sự cố mạng ở cấp đơn vị; bộ, ngành và cấp quốc gia cần được đầu tư triển khai đồng bộ, có sự liên kết, chia sẻ thông tin một cách chặt chẽ, có sự phối hợp giữa tổ chức nhà nước và các doanh nghiệp ATTT.
- Tăng cường khả năng làm chủ và khuyến khích phát triển các sản phẩm dịch vụ ATTT “Make in Vietnam”; giảm thiểu sự phụ thuộc vào hạ tầng, dịch vụ mạng quốc tế và tiến tới có thể hoạt động độc lập khi cần thiết.
- Cần xây dựng Chiến lược an ninh mạng quốc gia để tạo ra những “thành lũy” bảo vệ các hệ thống thông tin trọng yếu trước các cuộc tấn công mạng và kịp huy động lực lượng ứng phó chủ động với các nguy cơ tấn công mạng từ các thế lực thù địch tấn công từ cả bên trong và bên ngoài lãnh thổ Việt Nam.
TÀI LIỆU THAM KHẢO 1. Phần mềm độc hại Sunspot được sử dụng để đưa vào cửa hậu SolarWinds - Tạp chí An toàn thông tin (antoanthongtin.vn). 2. Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor | FireEye Inc. 3. Raindrop: New Malware Discovered in SolarWinds Investigation | Symantec Blogs (security.com). 4. Vụ SolarWinds - 30% nạn nhân không cài đặt phần mềm Orion - Tạp chí An toàn thông tin (antoanthongtin.vn). 5. Hơn 100 công ty bị ảnh hưởng bởi tấn công SolarWinds - Tạp chí An toàn thông tin (antoanthongtin.vn). 6. FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds - Tạp chí An toàn thông tin (antoanthongtin.vn). 7. Hackers steal Mimecast certificate used to encrypt customers’ M365 traffic | Ars Technica. 8. Mimecast Confirms SolarWinds Hack as List of Security Vendor Victims Snowball | Threatpost. 9. Suspected Russian Hackers Used U.S. Networks, Official Says - Bloomberg. 10. SolarWinds hack was work of 'at least 1,000 engineers', tech executives tell Senate | Technology | The Guardian. 11. Cybersecurity experts say U.S. needs to strike back after SolarWinds hack - CBS News. 12. Biden administration planning to sanction Russia for SolarWinds hacks - The Washington Post. 13. Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga - Tạp chí An toàn thông tin (antoanthongtin.vn). 14. Trung Quốc đánh cắp dữ liệu cá nhân của 80% người Mỹ trưởng thành - Tạp chí An toàn thông tin (antoanthongtin.vn). |