Microsoft, FireEye xác nhận chuỗi cung ứng SolarWinds bị tin tặc tấn công

Microsoft, FireEye xác nhận chuỗi cung ứng SolarWinds bị tin tặc tấn công

14-12-2020 Lượt xem: 1,081

Ngày 14/12, công ty bảo mật Mỹ FireEye thông báo về vụ việc chuỗi cung ứng Solarwinds bị tin tặc tấn công.

Nhóm tin tặc này được cho là hoạt động nửa nhân danh chính phủ, xâm nhập nhà cung cấp phần mềm SolarWinds và sau đó triển khai một bản cập nhật có chứa phần mềm độc hại cho phần mềm Orion của công ty này. Mục đích của chúng là lan truyền chương trình độc hại đó tới hàng loạt công ty Mỹ và mạng lưới internet của chính phủ.

Báo cáo của FireEye được công bố sau khi hãng tin Reuters, tờ Washington Post và Wall Street Journal đưa tin về các vụ xâm nhập tại Bộ Tài chính Mỹ và Cục Quản lý Thông tin và Viễn thông Quốc gia của Bộ Thương mại Mỹ (NTIA) hôm chủ nhật tuần trước.

Tin tặc lấy được quyền truy cập hệ thống mạng của FireEye thông qua vụ tấn công chuỗi cung ứng SolarWinds. 

Bằng việc tấn công chuỗi cung ứng SolarWinds, tin tức đã cướp được quyền truy cập vào hệ thống mạng của chính FireEye. Công ty bảo mật này đã thông báo về vụ việc vào hồi đầu tuần này.

Tờ Washington Post trích dẫn một nguồn tin khẳng định rằng hàng loạt cơ quan chính phủ khác cũng bị ảnh hưởng bởi vụ việc.

Hãng tin Reuters tiết lộ rằng vụ tấn công đang được xếp vào hàng nghiêm trọng, khiến Hội đồng An ninh Quốc gia Mỹ phải tổ chức một cuộc họp kín Nhà Trắng vào hôm thứ 7 tuần trước.

Các nguồn tin nói với Washington Post đã liên kết vụ xâm nhập với APT29 – bí danh được ngành an ninh mạng sử dụng để mô tả các tin tặc có liên quan đến Cơ quan Tình báo Nước ngoài của Nga (SVR).

FireEye sẽ không xác nhận sự quy kết APT29 và đặt cho nhóm này tên mã trung lập UNC2452, mặc dù một số nguồn tin trong cộng đồng an ninh mạng nói với tờ ZDNet rằng quy kết APT29 - do chính phủ Mỹ thực hiện – có thể rất chính xác, dựa trên bằng chứng hiện tại.

Trong cảnh báo an ninh gửi riêng cho người dùng vào hôm chủ nhật, Microsoft cũng xác nhận rằng hãng đã bắt tay với SolarWinds để đưa ra biện pháp xử lý đối với những khách hàng bị ảnh hưởng.

Microsoft gửi thông báo riêng cho người dùng để xác nhận về vụ việc và tìm hướng giải quyết.

Microsoft gửi thông báo riêng cho người dùng để xác nhận về vụ việc và tìm hướng giải quyết.

SolarWinds đã phát đi thông cáo báo chí vào cuối ngày chủ nhật tuần trước. Trong đó, công ty thừa nhận sự cố xảy ra với Orion – một nền tảng phần mềm để giám sát và quản lý tập trung, thường được sử dụng trong hệ thống mạng lớn nhằm theo dõi toàn bộ tài nguyên IT, chẳng hạn như máy chủ, máy trạm, điện thoại di động và các thiết bị IoT.

SolarWinds cho biết các bản cập nhật Orion 2019.4 đến 2020.2.1 được phát hành giữa tháng 3/2020 và tháng 6/2020 đã nhiễm phần mềm độc hại.

FireEye đặt tên cho phần mềm độc hại nói trên là SUNBURST và phát đi một báo cáo kỹ thuật vào ngày 14/12, cùng với các nguyên tắc dò tìm trên GitHub.

Microsoft lại gọi phần mềm độc hại đó bằng cái tên Solorigate và bổ sung các nguyên tắc dò tìm vào chương trình diệt virus Defender.

Số lượng “nạn nhân” bị ảnh hưởng bởi vụ việc vẫn chưa dừng lại. Dù trong báo cáo ban đầu, chiến lược của các hacker được cho là không nhắm mục tiêu vào Mỹ.

“Chiến lược của chúng là lây lan và nhân rộng tác động xấu tới các tổ chức công và tư trên toàn thế giới. Bạn nhân bao gồm các tổ chức chính phủ, tư vấn, công nghệ, viễn thông và các nhà khai thác ở Bắc Mỹ, châu Âu, châu Á, Trung Đông. Chúng tôi dự đoán rằng sẽ có thêm nạn nhân ở các quốc gia và ngành dọc khác”, FireEye nhận định.  

Kế hoạch của SolarWinds là phát hành một bản cập nhật mới (2020.2.1 HF 2) vào ngày 15/12 nhằm “thay thế những thành phần bị xâm nhập và cung cấp một số bản cải tiến bảo mật bổ sung”.

 

 

Bài viết liên quan


0913.111111

Chỉ đường

Chat FB

Chat Zalo

0913.111111