Vụ tấn công mạng thông qua phần mềm quản trị mạng của hãng SolarWinds có thể khiến cho ít nhất 18.000 tổ chức và 8 quốc gia trên thế giới trở thành nạn nhân.
Cuộc tấn công mạng thông qua phần mềm quản trị và giám sát mạng có tên Orion Platform của SolarWinds lần đầu tiên được hãng bảo mật phần mềm FireEye phát hiện ra khi chính FireEye cũng trở thành nạn nhân của vụ tấn công.
Ngày 18/12/2020, trong một thông báo, SolarWinds cho biết có tới 3 phiên bản cập nhật của phần mềm Orion Platform được phát hành từ tháng 3/2020 đến tháng 6/2020 bị nhiễm trojan. Cụ thể, trojan này có thể mở backdoor (cửa hậu) có tên là Sunburst (hoặc Solorigate) khiến cho các máy chủ cài Orion bị xâm nhập để thực hiện các hành vi đánh cắp dữ liệu hoặc thực hiện các tấn công khác.
Theo thông báo của SolarWinds, các giải pháp phần mềm của hãng phục vụ hơn 300.000 khách hàng trên toàn cầu, bao gồm 425 doanh nghiệp trong danh sách Fortune 500 của Mỹ, 10 công ty viễn thông hàng đầu của Mỹ. Ngoài ra còn có hàng trăm trường học và cao đẳng, tất cả 5 nhánh của Quân đội Mỹ, Lầu Năm Góc, Bộ Ngoại giao, NASA (Cơ quan Hàng không và Vũ trụ Mỹ), NSA (Cơ quan An ninh Quốc gia Mỹ), Bưu điện Mỹ, NOAA (Cơ quan Quản lý Khí quyển và Đại dương Quốc gia Mỹ), Bộ Tư pháp và Văn phòng Tổng thống Mỹ.
18.000 tổ chức và 8 quốc gia có thể là nạn nhân của của vụ tấn công
Báo cáo của SolarWinds cho biết có đến 18.000 khách hàng của họ đã tải về các phiên bản phần mềm Orion bị nhiễm trojan và họ có thể đã trở thành nạn nhân bị đánh cắp dữ liệu hoặc bị tấn công có chủ đích.
Báo cáo của Microsoft cho biết có hơn 40 tổ chức bị nhắm mục tiêu và bị xâm phạm thông qua các biện bổ sung và tinh vi, trong đó 80% nạn nhân được xác định ở Mỹ và 20% còn lại ở 7 quốc gia khác bao gồm Canada, Mexico, Tây Ban Nha, Vương quốc Anh, Israel và UAE.
Báo cáo của Microsoft cũng cho biết, trong các nạn nhân được xác nhận của vụ tấn công, có tới 44% trong số đó là các công ty công nghệ thông tin và 18% là các cơ quan chính phủ.
Các cơ quan đầu não của Mỹ bao gồm Bộ tài chính, Cục quản lý Thông tin và Viễn thông, Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Bộ an ninh Nội địa (DHS), Bộ ngoại giao, Cơ quan Quản lý An ninh Hạt nhân Quốc gia (NNSA), Bộ Năng lượng Mỹ (DOE) cũng đã trở thành nạn nhân của vụ tấn công này.
(Ảnh minh họa: Gorodenkoff/Shutterstock)
Microsoft cũng là nạn nhân của vụ tấn công
Theo Reuters, thông qua các phần mềm Orion bị nhiễm trojan, đầu năm nay các mã độc đã xâm vào mạng nội bộ của Microsoft và tiếp tục lây nhiễm vào các sản phẩm phần mềm dữ liệu của hãng này nhằm tiếp tục lây lan và tấn công các nạn nhân khác.
Tuy vậy, Microsoft đã phủ nhận thông tin này. Hãng sở hữu hệ điều hành Windows cho biết họ đã phát hiện ra các mã độc bị gắn vào Orion trong môi trường mạng của mình, đã xóa và cô lập chúng. Hãng không tìm thấy các bằng chứng về việc các phần mềm hoặc dữ liệu của hãng bị thao túng và tấn công đối tượng khác.
Tuy nhiên, nếu các mã độc từ phần mềm của SolarWinds được tải xuống từ tháng 3 đến tháng 6/2020 và mãi đến tháng 12/2020 mới được phát hiện và công bố thì khó có thể hình dung được mức độ xâm nhập của nó đã đi đến đâu và liệu các sản phẩm của Microsoft có phải là những “Orion Platform” tiếp theo hay không?
File chữ ký số của SolarWinds trong phần mềm bị cài mã độc (Ảnh: FireyEye.com)
Ai đứng đằng sau vụ tấn công?
Cho đến nay, các tổ chức an ninh mạng đều xác nhận rằng cuộc tấn công vào phần mềm của SolarWinds phải có sự hậu thuẫn của một quốc gia. Nhưng quốc gia nào đứng đằng sau vụ tấn công đến nay vẫn là một bí ẩn.
Theo Washington Post, vụ tấn công được ví như trận Trân Châu cảng kỹ thuật số hay còn gọi là Chiến dịch Bình minh đỏ trên mạng (Cyber Red Dawn) vào nước Mỹ có liên quan đến APT29, một mật danh được ngành an ninh mạng sử dụng để mô tả các tin tặc có liên hệ với Cơ quan Tình báo Nước ngoài của Nga.
Tuy nhiên, FireEye, công ty đầu tiên phát hiện ra vụ tấn công không xác nhận rằng nhóm hacker đến từ Nga có liên quan đến vụ tấn công quy mô lớn này. FireEye đặt cho nhóm hacker của vụ tấn công này mật danh mới là UNC2452.
Hôm 19/12 vừa qua, Tổng thống Trump đã lần đầu bình luận về vụ tấn công mạng qua SolarWinds. Ông nói rằng các kênh truyền thông tin giả (fake news) luôn ưu tiên đặt nghi vấn các cuộc tấn công đến từ Nga, và ‘đứng hình’ khi thảo luận về khả năng nó có thể từ Trung Quốc. Ông cũng nói rằng các máy bỏ phiếu bầu cử cũng có thể bị tấn công trong vụ này.
Vụ tấn công có thể kích hoạt một cuộc chiến tranh?
Ngày 16/12/2020 vừa qua, Văn phòng Giám đốc Tình báo Quốc gia Mỹ (DNI) ra thông báo cho biết Giám đốc John Ratcliffe đã được thông báo rằng cộng đồng tình báo sẽ không đáp ứng được thời hạn ngày 18/12 theo lệnh hành pháp để báo cáo về các mối đe dọa từ nước ngoài trong cuộc bầu cử tháng 11 vì “các cơ quan chưa hoàn tất việc phối hợp để cho ra báo cáo.”
Liệu việc xuất hiện vụ tấn công mạng từ phần mềm của SolarWinds có làm chậm đi các báo cáo của DNI hay nó khiến cho ông Ratcliffe và đồng nghiệp cần có nhiều thời gian hơn để phân tích và đưa các nhận định ở cấp độ cao hơn về sự can thiệp của nước ngoài đối với cuộc bầu cử tổng thống Mỹ?
Theo luật sư Robert Gruler, một nhà bình luận chính trị từ R&R Law Group, hiện Bộ Quốc phòng Mỹ chưa thể xác định cụ thể liệu mạng của Lầu Năm Góc có bị xâm nhập hay không trong khi chờ đánh giá thiệt hại thêm. Trong khi đó các Thượng nghị sĩ Mỹ đang tranh luận với nhau liệu vụ tấn công mạng có được coi là Hành động Chiến tranh (Act of War) hay không?
Nếu nước Mỹ chịu thiệt hại nặng nề từ vụ tấn công và Quốc hội Mỹ cho rằng cuộc tấn công là một hành động chiến tranh từ một quốc gia cụ thể, thì rất có thể Quốc hội Mỹ sẽ ban hành một nghị quyết cho phép Tổng thống Mỹ tiến hành các biện pháp chiến tranh để chống lại kẻ thù.
Trithucvn.org (21.12.2020)