Ít nhất 200 tổ chức lớn là nạn nhân trong vụ tấn công mạng nghi ngờ do Nga thực hiện
Cuối tuần trước, Bộ Năng lượng, Bộ An ninh Nội địa, Bộ Ngoại giao và Cục An ninh Hạt nhân Quốc gia Mỹ (cơ quan kiểm soát kho dự trữ hạt nhân của Washington) đã trở thành mục tiêu của một cuộc tấn công mạng. Ngoài ra, ít nhất ba bang và nhiều doanh nghiệp cũng bị tấn công.
Đến nay, quy mô của vụ tấn công mạng không chỉ giới hạn tại Mỹ mà còn liên quan đến nhiều cơ quan chính phủ, doanh nghiệp trên toàn thế giới.
Theo Bloomberg, tin tặc đã sử dụng một cửa hậu trong phần mềm quản lý mạng Orion của SolarWinds Corp. để làm cơ sở cho các cuộc tấn công. Số lượng nạn nhân thực sự của vụ việc hiện chưa được xác định rõ.
Có tới 18.000 khách hàng của SolarWinds đã nhận được bản phần mềm có cài cửa hậu, tuy nhiên số lượng nạn nhân thực sự, tức là các tổ chức bị tin tặc sử dụng cửa hậu để xâm nhập vào mạng máy tính, có thể ít hơn.
Chuyên gia công nghệ thông tin Allan Liska cho biết, công ty an ninh mạng Recorded Future (trụ sở tại Massachusetts) đã xác định được 198 nạn nhân.
Ba nguồn tin khác của Bloomberg cho biết đến nay, cuộc điều tra xác định rằng tin tặc đã xâm nhập thêm ít nhất 200 nạn nhân, di chuyển trong hệ thống máy tính hoặc đánh cắp thông tin người dùng. Con số cuối cùng có thể tăng lên từ đó.
Cả Recorded Future và ba nguồn tin của Bloomberg đều không cung cấp danh tính của các nạn nhân. Số lượng doanh nghiệp, tổ chức bị tấn công dự kiến sẽ tiếp tục tăng khi cuộc điều tra được mở rộng.
Các nhà điều tra chưa xác định được động cơ của tin tặc và liệu tin tặc đã xem xét hoặc đánh cắp thông tin gì từ các mạng máy tính mà họ xâm nhập.
Trong khoảng 18.000 khách hàng nhận được bản phần mềm Orion bị cài mã độc, hơn 1.000 đã gặp phải một mã độc tự đăng nhập vào máy chủ "điều khiển và kiểm soát" giai đoạn hai do tin tặc vận hành, cho phép chúng xâm nhập sâu hơn vào hệ thống mạng.
Máy chủ điều khiển và kiểm soát được tin tặc sử dụng để quản lý mã độc khi chúng đã nằm trong mạng mục tiêu. Trong hơn 1.000 khách hàng trên, các nhà điều tra đã xác định thêm ít nhất 200 nạn nhân khác.
Ở bước tiếp theo, tin tặc sẽ tự mình xâm nhập vào hệ thống máy tính của nạn nhân.
Phát ngôn viên của SolarWinds cho biết "công ty đang tập trung hợp tác cùng khách hàng và các chuyên gia để chia sẻ thông tin và làm rõ vụ tấn công". Vị này nhấn mạnh: "Chúng tôi chỉ mới đang ở giai đoạn đầu của cuộc điều tra".
Từ đầu, các chuyên gia an ninh mạng đã tin rằng Nga có liên quan đến vụ tấn công mạng. Hôm 18/12, Ngoại trưởng Mike Pompeo tiếp tục xác nhận điều này trong một cuộc phỏng vấn.
"Một tổ chức nào đó đã nỗ lực sử dụng phần mềm của bên thứ ba để nhúng mã độc vào hệ thống của các cơ quan chính phủ Mỹ và hiện giờ mã độc dường như còn tấn công thêm nhiều công ty tư nhân và chính phủ trên khắp thế giới", ông Pompeo cho biết.
"Đây là một mưu đồ lớn và tôi nghĩ chúng ta có thể xác định khá rõ người Nga có nhúng tay vào vụ tấn công vừa qua", ông Pompeo quả quyết.
Tuy nhiên, vào ngày 19/12, Tổng thống Trump đã hạ thấp ảnh hưởng của vụ tấn công mạng và gợi ý có thể Trung Quốc là thế lực đứng sau vụ việc chứ không phải Nga.
Trong khi đó, Thượng nghị sĩ Marco Rubio - quyền Chủ tịch Ủy ban Tình báo Thượng viện, cho biết "ngày càng rõ ràng rằng tình báo Nga đã tiến hành vụ xâm nhập mạng nghiêm trọng nhất lịch sử Mỹ".
Hôm 17/12, Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ (CISA) cảnh báo rằng các tin tặc đã gây ra "rủi ro nghiêm trọng" cho chính quyền liên bang, bang và địa phương cũng như cho các cơ sở hạ tầng quan trọng và khu vực tư nhân.
Theo CISA, tin tặc tham gia vụ tấn công cuối tuần trước rất kiên nhẫn, có nguồn lực tốt và hành động "tinh vi với thủ thuật phức tạp". Ngoài hệ thống Orion, CISA còn tìm thấy bằng chứng cho thấy các phần mềm khác của SolarWinds có thể đã bị cài cửa hậu. Điều đó cho thấy còn khá nhiều nạn nhân khác chưa lộ diện.
Hôm 17/12, ông lớn công nghệ Microsoft cho biết 40 khách hàng của họ đã bị tấn công. Microsoft tin các vụ tấn công sẽ tiếp tục diễn ra và số lượng nạn nhân dự kiến sẽ tăng thêm. Trong số các nạn nhân có nhiều công ty an ninh mạng, cơ quan chính phủ và nhà thầu chính phủ không được tiết lộ danh tính, khoảng 80% hoạt động tại Mỹ.
Công ty an ninh mạng FireEye là nạn nhân đầu tiên tiết lộ họ bị tấn công, vào ngày 8/12. FireEye cho biết, khi điều tra chi nhánh riêng của công ty, các nhà nghiên cứu đã phát hiện ra cửa hậu trên phần mềm của SolarWinds.
Microsoft cũng cho hay họ đã tìm thấy bản cập nhật có chứa mã độc của SolarWinds trong hệ thống, song không tìm thấy bằng chứng nào cho thấy tin tặc đã truy cập vào "dữ liệu khách hàng hoặc dịch vụ sản xuất".