myle.vnreview
Writer
Một chiến dịch gián điệp mạng quy mô lớn nhắm vào phần mềm máy chủ của Microsoft đã xâm nhập khoảng 100 tổ chức tính đến cuối tuần qua, hai trong số các tổ chức đã giúp phát hiện ra chiến dịch này cho biết hôm 21/7.
Hôm 20/7, Microsoft đã đưa ra cảnh báo về "các cuộc tấn công chủ động" vào các máy chủ SharePoint tự lưu trữ (self-hosted) được các tổ chức sử dụng rộng rãi để chia sẻ tài liệu và cộng tác nội bộ. Các phiên bản SharePoint chạy trên máy chủ Microsoft không bị ảnh hưởng.
Được mệnh danh là "zero-day" vì nó khai thác một điểm yếu kỹ thuật số chưa được tiết lộ trước đó, các vụ tấn công này cho phép gián điệp xâm nhập vào các máy chủ dễ bị tấn công và có khả năng cài đặt một cửa hậu để bảo mật quyền truy cập liên tục vào các tổ chức nạn nhân.
Vaisha Bernard, hacker trưởng tại Eye Security, công ty an ninh mạng có trụ sở tại Hà Lan, nơi đã phát hiện ra chiến dịch tấn công nhắm vào một trong những khách hàng của mình vào ngày 19/7, cho biết một đợt quét internet được thực hiện với Shadowserver Foundation đã phát hiện ra gần 100 nạn nhân - và đó là trước khi kỹ thuật đằng sau vụ tấn công được biết đến rộng rãi.
"Rõ ràng là không thể nhầm lẫn", Bernard nói. "Ai mà biết được những kẻ thù khác đã làm gì để cài đặt các cửa hậu khác kể từ đó."
Ông từ chối nêu tên các tổ chức bị ảnh hưởng, nói rằng các cơ quan chức năng quốc gia có liên quan đã được thông báo.
Tổ chức Shadowserver Foundation đã xác nhận con số 100. Tổ chức này cho biết hầu hết những người bị ảnh hưởng đều ở Mỹ và Đức, và các nạn nhân bao gồm các tổ chức chính phủ.
Một nhà nghiên cứu khác cho biết, cho đến nay, hoạt động do thám dường như là do một hoặc một nhóm tin tặc thực hiện.
"Có thể điều này sẽ nhanh chóng thay đổi", Rafe Pilling, giám đốc Threat Intelligence tại Sophos, một công ty an ninh mạng của Anh, cho biết.
Microsoft cho biết họ đã "cung cấp các bản cập nhật bảo mật và khuyến khích khách hàng cài đặt chúng", một phát ngôn viên của công ty cho biết trong một tuyên bố qua email.
Hiện vẫn chưa rõ ai đứng sau vụ tấn công đang diễn ra, nhưng Google, công ty có khả năng theo dõi nhiều luồng lưu lượng truy cập internet, cho biết họ đã liên hệ ít nhất một số vụ tấn công với "một tác nhân đe dọa có liên hệ với Trung Quốc".
Hôm 20/7, FBI cho biết họ đã biết về các cuộc tấn công và đang hợp tác chặt chẽ với các đối tác liên bang và khu vực tư nhân, nhưng không cung cấp thêm thông tin chi tiết nào khác. Trung tâm An ninh Mạng Quốc gia Anh cho biết trong một tuyên bố rằng họ biết về "một số lượng hạn chế" các mục tiêu tại Vương quốc Anh. Một nhà nghiên cứu theo dõi chiến dịch cho biết ban đầu chiến dịch dường như nhắm vào một nhóm nhỏ các tổ chức liên quan đến chính phủ.
Số lượng mục tiêu tiềm năng vẫn còn rất lớn. Theo dữ liệu từ Shodan, một công cụ tìm kiếm giúp xác định thiết bị được kết nối internet, về mặt lý thuyết, hơn 8.000 máy chủ trực tuyến có thể đã bị tin tặc xâm nhập. Shadowserver đưa ra con số hơn 9.000 một chút, đồng thời cảnh báo rằng con số này chỉ là tối thiểu.
Các máy chủ đó bao gồm các công ty công nghiệp lớn, ngân hàng, kiểm toán viên, công ty chăm sóc sức khỏe và một số tổ chức chính phủ cấp tiểu bang và quốc tế của Mỹ.
"Sự cố SharePoint dường như đã tạo ra một mức độ xâm phạm rộng khắp trên nhiều máy chủ trên toàn cầu", Daniel Card của công ty tư vấn an ninh mạng PwnDefend của Anh cho biết.
"Việc áp dụng phương pháp tiếp cận giả định vi phạm là khôn ngoan, và điều quan trọng là phải hiểu rằng chỉ áp dụng bản vá không phải là tất cả những gì cần thiết ở đây."
Hôm 20/7, Microsoft đã đưa ra cảnh báo về "các cuộc tấn công chủ động" vào các máy chủ SharePoint tự lưu trữ (self-hosted) được các tổ chức sử dụng rộng rãi để chia sẻ tài liệu và cộng tác nội bộ. Các phiên bản SharePoint chạy trên máy chủ Microsoft không bị ảnh hưởng.
Được mệnh danh là "zero-day" vì nó khai thác một điểm yếu kỹ thuật số chưa được tiết lộ trước đó, các vụ tấn công này cho phép gián điệp xâm nhập vào các máy chủ dễ bị tấn công và có khả năng cài đặt một cửa hậu để bảo mật quyền truy cập liên tục vào các tổ chức nạn nhân.
Vaisha Bernard, hacker trưởng tại Eye Security, công ty an ninh mạng có trụ sở tại Hà Lan, nơi đã phát hiện ra chiến dịch tấn công nhắm vào một trong những khách hàng của mình vào ngày 19/7, cho biết một đợt quét internet được thực hiện với Shadowserver Foundation đã phát hiện ra gần 100 nạn nhân - và đó là trước khi kỹ thuật đằng sau vụ tấn công được biết đến rộng rãi.
"Rõ ràng là không thể nhầm lẫn", Bernard nói. "Ai mà biết được những kẻ thù khác đã làm gì để cài đặt các cửa hậu khác kể từ đó."
Ông từ chối nêu tên các tổ chức bị ảnh hưởng, nói rằng các cơ quan chức năng quốc gia có liên quan đã được thông báo.
Tổ chức Shadowserver Foundation đã xác nhận con số 100. Tổ chức này cho biết hầu hết những người bị ảnh hưởng đều ở Mỹ và Đức, và các nạn nhân bao gồm các tổ chức chính phủ.
Một nhà nghiên cứu khác cho biết, cho đến nay, hoạt động do thám dường như là do một hoặc một nhóm tin tặc thực hiện.
"Có thể điều này sẽ nhanh chóng thay đổi", Rafe Pilling, giám đốc Threat Intelligence tại Sophos, một công ty an ninh mạng của Anh, cho biết.
Microsoft cho biết họ đã "cung cấp các bản cập nhật bảo mật và khuyến khích khách hàng cài đặt chúng", một phát ngôn viên của công ty cho biết trong một tuyên bố qua email.
Hiện vẫn chưa rõ ai đứng sau vụ tấn công đang diễn ra, nhưng Google, công ty có khả năng theo dõi nhiều luồng lưu lượng truy cập internet, cho biết họ đã liên hệ ít nhất một số vụ tấn công với "một tác nhân đe dọa có liên hệ với Trung Quốc".
Hôm 20/7, FBI cho biết họ đã biết về các cuộc tấn công và đang hợp tác chặt chẽ với các đối tác liên bang và khu vực tư nhân, nhưng không cung cấp thêm thông tin chi tiết nào khác. Trung tâm An ninh Mạng Quốc gia Anh cho biết trong một tuyên bố rằng họ biết về "một số lượng hạn chế" các mục tiêu tại Vương quốc Anh. Một nhà nghiên cứu theo dõi chiến dịch cho biết ban đầu chiến dịch dường như nhắm vào một nhóm nhỏ các tổ chức liên quan đến chính phủ.
Số lượng mục tiêu tiềm năng vẫn còn rất lớn. Theo dữ liệu từ Shodan, một công cụ tìm kiếm giúp xác định thiết bị được kết nối internet, về mặt lý thuyết, hơn 8.000 máy chủ trực tuyến có thể đã bị tin tặc xâm nhập. Shadowserver đưa ra con số hơn 9.000 một chút, đồng thời cảnh báo rằng con số này chỉ là tối thiểu.
Các máy chủ đó bao gồm các công ty công nghiệp lớn, ngân hàng, kiểm toán viên, công ty chăm sóc sức khỏe và một số tổ chức chính phủ cấp tiểu bang và quốc tế của Mỹ.
"Sự cố SharePoint dường như đã tạo ra một mức độ xâm phạm rộng khắp trên nhiều máy chủ trên toàn cầu", Daniel Card của công ty tư vấn an ninh mạng PwnDefend của Anh cho biết.
"Việc áp dụng phương pháp tiếp cận giả định vi phạm là khôn ngoan, và điều quan trọng là phải hiểu rằng chỉ áp dụng bản vá không phải là tất cả những gì cần thiết ở đây."