FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

16:00 | 17/12/2020 | HACKER / MALWARE

Công cụ giám sát hạ tầng công nghệ thông tin của nhà cung cấp SolarWinds đã bị xâm nhập và được sử dụng để tấn công vào các cơ quan chính phủ lớn của Hoa Kỳ như công ty bảo mật FireEye.

FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

Các tổ chức hacker mũ đen với sự hậu thuẫn của các quốc gia bị cáo buộc làm việc cho Nga đã nhắm mục tiêu vào Bộ Tài chính Hoa Kỳ, Cục Quản lý Thông tin và Viễn thông Quốc gia (Bộ Thương mại) và các cơ quan chính phủ khác để giám sát thông tin email nội bộ như một phần của chiến dịch gián điệp mạng.

Theo thông tin từ Washington Post trích dẫn các nguồn tin giấu tên cho biết, các cuộc tấn công mới nhất là hoạt động của APT29 hoặc Cozy Bear, cùng một nhóm hack được cho là đã dàn dựng một vụ xâm nhập vào công ty an ninh mạng FireEye có trụ sở tại Hoa Kỳ dẫn đến việc đánh cắp các công cụ phục vụ cho hoạt động Redteam.

Động cơ và thông tin tình báo bị đánh cắp trong vụ xâm nhập vẫn chưa rõ ràng, nhưng các dấu hiệu cho thấy các hacker đã giả mạo bản cập nhật phần mềm do hãng SolarWinds (Texas, Hoa Kỳ) phát hành vào đầu năm 2020 để xâm nhập vào hệ thống của các cơ quan chính phủ cũng như FireEye trong một tấn công chuỗi cung ứng rất phức tạp.

Các sản phẩm mạng và bảo mật của SolarWinds được sử dụng bởi hơn 300.000 khách hàng trên toàn thế giới, bao gồm các công ty nằm trong danh sách Fortune 500, cơ quan chính phủ và tổ chức giáo dục. Các sản phẩm cũng phục vụ các công ty viễn thông lớn, cơ quan của Quân đội Hoa Kỳ và các tổ chức chính phủ nổi tiếng khác như Lầu Năm Góc, Bộ Ngoại giao, NASA, Cơ quan An ninh Quốc gia (NSA), Bưu điện, NOAA, Bộ Tư pháp và Văn phòng Tổng thống Hoa Kỳ.

Một chiến dịch tinh vi để phân phối backdoor SUNBURST

Công ty FireEye đang theo dõi chiến dịch xâm nhập có biệt danh "UNC2452". Đây là cuộc tấn công chuỗi cung ứng lợi dụng các bản cập nhật phần mềm SolarWinds Orion cho doanh nghiệp, bị nhúng kèm mã độc để phân phối một backdoor có tên SUNBURST.

"Chiến dịch này có thể đã bắt đầu từ đầu năm 2020 và chưa có dấu hiệu dừng lại", FireEye cho biết, "Hoạt động sau khi đã thoả hiệp thành công bao gồm chuyển động ngang và đánh cắp dữ liệu. Chiến dịch được thực hiện bởi một nhân viên có kỹ năng cao và hoạt động được tiến hành với độ bảo mật vô cùng cao."

Tập tin chứa mã độc được ký bởi chữ ký hợp lệ của Solarwinds

Phiên bản plugin SolarWinds Orion giả mạo sau khi được khởi tạo bởi chương trình Solarwinds sẽ giao tiếp qua giao thức HTTP với các máy chủ từ xa để truy xuất và thực thi các lệnh độc hại bao gồm: lệnh chuyển tệp, thực thi tệp, lập hồ sơ và khởi động lại hệ thống đích cũng như vô hiệu hóa các dịch vụ hệ thống. Tinh vi hơn, các địa chỉ IP sử dụng cho chiến dịch đã được che dấu bằng VPN có vị trí đặt cùng quốc gia với nạn nhân tránh bị phát hiện.

Microsoft cũng xác thực những phát hiện này trong một phân tích riêng, cho biết cuộc tấn công (mà hãng gọi là "Solorigate") đã tận dụng sự tin tưởng liên quan đến phần mềm SolarWinds để chèn mã độc vào một chiến dịch lớn hơn.

Theo Microsoft, “Một tập tin độc hại đã được xen lẫn trong số nhiều tập tin hợp pháp khác và sau đó được ký với một chứng chỉ hợp pháp. Tập tin độc hại chứa một backdoor và được phân phối một cách kín đáo nhắm vào các tổ chức mục tiêu. "

Thông báo bảo mật từ phía hãng Solarwinds

Trong một thông báo bảo mật do SolarWinds cho biết, cuộc tấn công nhắm mục tiêu vào các phiên bản 2019.4 đến 2020.2.1 của phần mềm SolarWinds Orion Platform được phát hành từ tháng 3 - 6/2020. Đồng thời, khuyến nghị người dùng sớm nâng cấp lên bản phát hành Platform Orion 2020.2.1 HF 1.

SolarWinds hiện đang điều tra vụ tấn công với sự phối hợp của FireEye và Cục Điều tra Liên bang Hoa Kỳ (Federal Bureau of Investigation - FBI). Dự kiến, hãng này sẽ phát hành một bản sửa lỗi bổ sung 2020.2.1 HF 2 vào ngày 15/12 thay thế thành phần bị xâm nhập và cung cấp thêm một số bảo mật cải tiến.

FireEye cũng tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công cực kỳ tinh vi của chính phủ nước ngoài đã xâm nhập các công cụ phần mềm được sử dụng để kiểm tra khả năng phòng thủ của khách hàng.

Tổng cộng có tới 60 công cụ của Redteam tại FireEye bị đánh cắp. Trong đó, các công cụ có sẵn công khai chiếm 43%, phiên bản sửa đổi của các công cụ có sẵn công khai chiếm 17% và những công cụ được phát triển nội bộ là 40%.

Chiến dịch dường như là một cuộc tấn công chuỗi cung ứng trên quy mô toàn cầu, FireEye cho biết họ đã phát hiện hoạt động này trên một số khách hàng trên toàn thế giới, bao gồm các công ty nhà nước, tư vấn, công nghệ, viễn thông và khai thác ở Bắc Mỹ, Châu Âu, Châu Á và Trung Đông.

Đăng Thứ (Theo isc)

‹ › ×

Tin liên quan

Hãng bảo mật Malwarebytes là nạn nhân của hacker SolarWinds

11:00 | 22/01/2021

Trong thông báo hôm 19/1/2021, hãng bảo mật Malwarebytes cho biết, dù không dùng phần mềm của SolarWinds nhưng vẫn bị hacker tấn công một số email của công ty. Trước đó, chúng đã xâm nhập thành công Microsoft Office 365 và Microsoft Azure.

Vụ SolarWinds - 30% nạn nhân không cài đặt phần mềm Orion

13:00 | 26/02/2021

Gần đây, các nhà điều tra đã tiết lộ cuộc tấn công mạng SolarWinds bị nghi ngờ có liên quan đến Nga nhắm mục tiêu vào các cơ quan chính phủ và các doanh nghiệp blue-chip có thể lớn hơn nhiều so với phát hiện ban đầu. Đáng lưu ý, 1/3 nạn nhân chưa cài đặt phần mềm Orion được cho là có liên quan đến SolarWinds.

SolarMarker đánh cắp dữ liệu và mật khẩu người dùng từ các trình duyệt

07:00 | 29/06/2021

Những kẻ tấn công đằng sau phần mềm độc hại SolarMarker đang sử dụng các tài liệu PDF chứa các từ khóa tối ưu hóa công cụ tìm kiếm (SEO) để tăng khả năng hiển thị của chúng trên các công cụ tìm kiếm, nhằm đưa các nạn nhân tiềm năng đến phần mềm độc hại trên một trang web độc hại giả mạo Google Drive.

5 công cụ tìm kiếm subdomain để trợ giúp trong quá trình kiểm thử xâm nhập.

18:00 | 19/03/2021

Trong những năm gần đây việc tìm kiếm các subdomain (tên miền phụ) đã trở thành công việc quan trọng trong quá trình kiểm thử an toàn. Thông thường công việc này sẽ tốn khá nhiều thời gian và công sức. Tuy nhiên, cùng với sự phát triển của nền tảng công nghệ số đã cung cấp cho người dùng các công cụ hữu hiệu. Bài viết này sẽ khái quát 5 công cụ tìm kiếm subdomain để trợ giúp trong quá trình kiểm thử xâm nhập.

Microsoft chia sẻ cách thức mà tin tặc SolarWinds đã thực hiện để tránh bị phát hiện

07:00 | 04/02/2021

Microsoft đã chia sẻ chi tiết về các phương pháp tinh vi mà các tin tặc đã sử dụng để che giấu hoạt động của mình bên trong mạng của các công ty sử dụng nền tảng SolarWinds Orion hay gọi tắt là tin tặc SolarWinds để tránh phát hiện.

Các cuộc tấn công mạng đáng chú ý trong năm 2020

22:00 | 13/02/2021

Một trong những nguyên nhân khiến các cuộc tấn công mạng gia tăng trong năm 2020 là người dùng chuyển sang làm việc, mua sắm, học tập qua hình thức trực tuyến trong đại dịch COVID-19. Kính mời quý độc giả cùng điểm lại những cuộc tấn công mạng đáng chú ý trong năm 2020.

Hai hacker Trung Quốc đánh cắp bí mật thương mại của Mỹ qua “thùng rác” máy tính

09:00 | 20/08/2020

Những bí mật về vaccine, nhiều thiết kế vũ khí cũng như các game chưa ra mắt đã bị những hacker Trung Quốc đánh cắp trong suốt 10 năm qua.

Hacker Trung Quốc: Câu chuyện về những con rồng trực tuyến

14:00 | 13/08/2020

Từ việc Alan Turing và các cộng sự của ông đã giúp quân đồng minh chiến thắng trong chiến tranh thế giới thứ Hai cho đến các cuộc chiến tranh mạng nhằm giành quyền tối cao trong thế giới hiện đại cho thấy, việc theo đuổi sự thống trị thế giới đã bị thúc đẩy theo nhiều hướng khác nhau. Trong đó, có cách thức sử dụng tấn công mạng.

Phần mềm độc hại đa nền tảng nhắm vào ví tiền điện tử

08:00 | 12/01/2021

Các nhà nghiên cứu an ninh mạng vừa tiết lộ một chiến dịch lừa đảo trên diện rộng nhắm vào người dùng tiền ảo được bắt đầu từ tháng 01/2020. Chiến dịch này phát tán các ứng dụng độc hại để từ đó cài đặt công cụ truy cập từ xa trên các hệ thống mục tiêu.

FireEye bị tin tặc tấn công nghiêm trọng

10:00 | 11/12/2020

Một trong các hãng bảo mật lớn nhất của Mỹ - FireEye vừa bị tin tặc tấn công vào kho công cụ dùng để thử khả năng phòng thủ của khách hàng.

Tin cùng chuyên mục

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.