Microsoft đã cáo buộc Trung Quốc dàn dựng cuộc tấn công mạng vào tháng 3.2021. Cụ thể hơn, công ty công nghệ Mỹ cáo buộc rằng nhóm hacker Hafnium do Chính phủ Trung Quốc bảo trợ lợi dụng nhiều lỗ hổng bảo mật trong phần mềm Microsoft Exchange để lấy cắp dữ liệu.
Hôm 13.4, Bộ Tư pháp Mỹ (DOJ) đã thông báo rằng Cục Điều tra Liên bang (FBI) đã xâm nhập vào hàng trăm máy tính dễ bị tấn công của các công ty Mỹ để xóa phần mềm độc hại.
Tờ The Washington Post đưa tin, hoạt động này đã được tòa án liên bang phê duyệt, được cho là xóa sạch cửa sau (backdoor) vào các máy chủ đặt tại Mỹ, vốn đã bị nhiễm phần mềm độc hại trước đó bởi lỗ hổng trong Exchange được xác định bởi Microsoft.
“Việc xóa các web shell độc hại được tòa án cho phép hôm nay thể hiện cam kết của Bộ Tư pháp Mỹ trong việc ngăn chặn hoạt động tấn công bằng cách sử dụng tất cả công cụ pháp lý của chúng tôi, không chỉ truy tố”, Trợ lý Bộ trưởng Tư pháp John C. Demers thuộc Bộ phận An ninh Quốc gia cho biết.
Web shell là giao diện giống như shell dựa trên web độc hại cho phép truy cập và điều khiển từ xa vào máy chủ web bằng cách cho phép thực hiện các lệnh tùy ý.
Với hoạt động hack vẫn đang diễn ra, Bộ Tư pháp Mỹ cho biết “cam kết đóng vai trò quan trọng và cần thiết của mình trong những nỗ lực như vậy”.
Động thái này diễn ra sau khi Microsoft cáo buộc hacker Trung Quốc thực hiện một cuộc tấn công mạng quy mô và tinh vi nhằm vào dịch vụ email Exchange của hãng vào tháng 3.2021.
Gã khổng lồ phần mềm Mỹ tuyên bố rằng một “tác nhân đe dọa do nhà nước Trung Quốc bảo trợ” được gọi là Hafnium đã khai thác nhiều lỗi bảo mật trong Exchange - hiện đã được khắc phục - để đánh cắp dữ liệu và tạo phần mềm độc hại từ tháng 1.2021.
Trung Quốc bác bỏ cáo buộc của Microsoft. Người phát ngôn Bộ Ngoại giao Trung Quốc - Uông Văn Bân nói rằng nước này “kiên quyết phản đối, chống lại các cuộc tấn công mạng và trộm cắp mạng dưới mọi hình thức”, đồng thời cảnh báo rằng đổ lỗi cho bất kỳ quốc gia nào mà không cung cấp bằng chứng là “vấn đề chính trị rất nhạy cảm”.
Cùng với việc gỡ bỏ phần mềm độc hại gần đây, FBI đã chạy các phiên bản phần mềm Microsoft không an toàn để vá các lỗ hổng. Nói cách khác là khai thác các điểm yếu tương tự trong các máy chủ vẫn chưa được sửa lỗi để ngăn chặn các cuộc tấn công mạng tiếp theo.
“Mỗi web shell bị FBI loại bỏ có một đường dẫn và tên tệp duy nhất, có thể gây khó khăn hơn với các chủ sở hữu máy chủ cá nhân trong việc phát hiện và loại bỏ so với các web shell khác”, theo Bộ Tư pháp Mỹ.
Các quan chức Mỹ và Microsoft tuyên bố thiệt hại do lỗ hổng bảo mật lớn đã cho phép hacker xâm nhập vào máy chủ của ít nhất 30.000 tổ chức Mỹ.
Trong khi loại bỏ phần mềm độc hại do nhóm hacker chèn vào, hoạt động do FBI thực hiện chưa tích cực sửa lỗ hổng cơ bản. Điều này khiến các máy tính ảnh hưởng dễ bị nhiễm phần mềm độc hại trong tương lai, trừ khi chủ sở hữu chúng có hành động bảo vệ.
FBI đang cố gắng thông báo cho tất cả chủ sở hữu máy tính bị nhiễm phần mềm độc hại.