Hacker xâm nhập nhiều cơ quan liên bang Mỹ, cài mã độc vào hệ thống Microsoft trong vụ hack lớn nhất thập kỷ

Thế giới số - Ngày đăng : 10:02, 18/12/2020

Tập đoàn Microsoft hôm 17.12 cho biết đã tìm thấy phần mềm độc hại trong hệ thống của mình liên quan đến một chiến dịch hack quy mô lớn do các quan chức Mỹ tiết lộ trong tuần này, thêm một công ty công nghệ hàng đầu vào danh sách ngày càng tăng các cơ quan chính phủ bị tấn công.

Microsoft là người dùng của Orion, phần mềm giám sát và quản lý mạng được triển khai rộng rãi từ SolarWinds Corp, được sử dụng trong các cuộc tấn công nghi từ Nga vào các cơ quan quan trọng của Mỹ và những người khác.

Giống như các khách hàng khác của SolarWinds, chúng tôi đã tích cực tìm kiếm các chỉ số của nhân vật này và có thể xác nhận rằng chúng tôi đã phát hiện thấy các mã nhị phân Solar Winds độc hại trong môi trường của chúng tôi. Chúng tôi đã cô lập và xóa bỏ”, phát ngôn viên Microsoft nói và cho biết thêm công ty đã phát hiện “hệ thống của họ bị sử dụng để tấn công người khác".

Theo Reuters, một trong những người quen thuộc với cuộc tấn công cho biết các hacker đã sử dụng các dịch vụ đám mây Microsoft trong khi tránh cơ sở hạ tầng công ty này.

Microsoft không trả lời các câu hỏi về kỹ thuật này. Song, một người khác quen thuộc với vấn đề trên cho biết Bộ An ninh Nội địa Mỹ (DHS) không tin rằng Microsoft là đường lây nhiễm mới.

Trước đó, cả Microsoft cùng Bộ An ninh Nội địa Mỹ cho biết hacker đã sử dụng nhiều phương pháp xâm nhập và đang tiếp tục điều tra.

hacker-xam-nhap-nhieu-co-quan-lien-bang-my-cai-ma-doc-vao-he-thong-microsoft.jpg
Microsoft thừa nhận đã tìm thấy phần mềm độc hại trong hệ thống của mình

FBI và các cơ quan khác đã lên lịch một cuộc họp mặt cho các thành viên của Quốc hội hôm 18.12.

Bộ Năng lượng Mỹ cũng cho biết có bằng chứng hacker đã truy cập vào mạng của họ như một phần chiến dịch.

Politico trước đó đưa tin Cơ quan Quản lý An ninh Hạt nhân Quốc gia (NNSA), quản lý kho vũ khí hạt nhân của nước Mỹ, đã bị nhắm mục tiêu.

Một phát ngôn viên của Bộ Năng lượng Mỹ cho biết phần mềm độc hại “chỉ được cách ly với các mạng doanh nghiệp” và không ảnh hưởng đến an ninh quốc gia Mỹ, bao gồm cả Cơ quan Quản lý An ninh Hạt nhân Quốc gia.

Bộ An ninh Nội địa Mỹ cho biết trong một bản tin hôm 17.12 rằng các hacker đã sử dụng các kỹ thuật khác ngoài việc làm hỏng các bản cập nhật Orion, phần mềm quản lý mạng của SolarWinds được hàng trăm ngàn công ty và cơ quan chính phủ sử dụng.

Cơ quan An ninh Hạ tầng và An ninh Mạng (CISA) thuộc Bộ An ninh Nội vụ Mỹ kêu gọi các nhà điều tra không nên cho rằng tổ chức của họ an toàn nếu không sử dụng các phiên bản gần đây của Orion, đồng thời chỉ ra rằng hacker cũng không khai thác mọi mạng mà họ có quyền truy cập.

Cơ quan An ninh Hạ tầng và An ninh mạng nói đang tiếp tục phân tích các con đường khác được những kẻ tấn công sử dụng. Đến nay, các hacker được biết là ít nhất đã theo dõi email hoặc dữ liệu khác trong 6 cơ quan Chính phủ Mỹ gồm Bộ Quốc phòng, Bộ Ngoại giao, Bộ Ngân khố, Bộ An ninh Nội địa và Bộ Thương mại.

Theo SolarWinds, có tới 18.000 khách hàng của Orion đã tải xuống các bản cập nhật có backdoor (cửa hậu). Kể từ khi chiến dịch hack bị phát hiện, các công ty phần mềm đã cắt đứt liên lạc từ những cửa hậu đó tới các máy tính do hacker kiểm soát.

Thế nhưng, những kẻ tấn công có thể đã thực hiện cài đặt bổ sung để duy trì quyền truy cập trong cái mà một số người gọi là vụ hack lớn nhất một thập kỷ, Cơ quan An ninh Hạ tầng và An ninh mạng cho hay.

Bộ Tư pháp, FBI và Bộ Quốc phòng đã chuyển giao tiếp thông thường sang các mạng được phân loại là không bị xâm phạm, theo hai người nói ngắn gọn về các biện pháp. Họ đang giả định rằng các mạng không phân loại đã bị truy cập, những người này nói.

Cơ quan An ninh Hạ tầng và An ninh mạng cùng các công ty tư nhân gồm cả FireEye, hãng đầu tiên phát hiện và tiết lộ rằng mình bị tấn công, đã đưa ra một loạt manh mối để các tổ chức tìm kiếm xem liệu họ có bị hack hay không.

Tuy nhiên, những kẻ tấn công rất cẩn thận và xóa nhật ký, dấu chân điện tử hoặc tệp nào chúng đã truy cập, các chuyên gia bảo mật cho biết. Điều đó gây khó để biết những gì đã được lấy đi.

Một số công ty lớn nói “không có bằng chứng” cho thấy bị xâm nhập nhưng trong một số trường hợp, đó có thể chỉ là do bằng chứng đã bị xóa.

Trong hầu hết mạng, các hacker cũng có thể tạo dữ liệu giả, nhưng đến nay có vẻ như chúng chỉ quan tâm đến việc lấy dữ liệu thực.

Trong khi đó, các thành viên Quốc hội đang yêu cầu thêm thông tin về những gì hacker có thể đã được thực hiện và cách thức, cùng với những người đứng sau nó. Ủy ban An ninh Nội địa Hạ viện và Ủy ban Giám sát đã công bố một cuộc điều tra hôm 17.12, còn các thượng nghị sĩ buộc phải tìm hiểu liệu thông tin thuế cá nhân có bị lấy.

Tổng thống đắc cử Joe Biden cho biết ông sẽ “nâng cao an ninh mạng như mệnh lệnh của chính phủ” và “ngăn cản đối thủ của Mỹ thực hiện các vụ hack lớn như vậy".

SolarWinds là công ty chuyên cung cấp phần mềm giúp giám sát mạng, hệ thống và cơ sở hạ tầng IT. Khách hàng của SolarWinds là các tổ chức chính phủ và nhiều doanh nghiệp lớn trên toàn cầu.

Mới đây, các chuyên gia an ninh mạng đã phát hiện bản cài đặt của Orion đã bị nhiễm trojan. Hacker đã dùng backdoor có tên là SUNBURST (hoặc Solorigate) để thực hiện quá trình lây nhiễm trojan vào Orion.

Sự việc trở nên đáng báo động khi nhiều tổ chức chính phủ và các công ty lớn trên toàn cầu đã cài đặt phiên bản Orion nhiễm trojan.

Theo Microsoft và hãng an ninh mạng FireEye, nhóm hacker đứng đằng sau vụ tấn công này có thể được tài trợ bởi một chính phủ nghi là Nga.

SolarWinds phục vụ hơn 300.000 khách hàng trên toàn cầu, bao gồm 425 doanh nghiệp trong danh sách Fortune 500 của Mỹ, 10 công ty viễn thông hàng đầu của Mỹ. Ngoài ra còn có hàng trăm trường học và cao đẳng, tất cả 5 nhánh của Quân đội Mỹ, Lầu Năm Góc, Bộ Ngoại giao, NASA, NSA, Postal Service, NOAA, Bộ Tư pháp và Văn phòng Tổng thống Mỹ.

Nhân Hoàng