Các tổ chức hacker mũ đen với sự hậu thuẫn của các quốc gia bị cáo buộc làm việc cho Nga đã nhắm mục tiêu vào Bộ Tài chính Hoa Kỳ, Cục Quản lý Thông tin và Viễn thông Quốc gia (Bộ Thương mại) và các cơ quan chính phủ khác để giám sát thông tin email nội bộ như một phần của chiến dịch gián điệp mạng.
Theo thông tin từ Washington Post trích dẫn các nguồn tin giấu tên cho biết, các cuộc tấn công mới nhất là hoạt động của APT29 hoặc Cozy Bear, cùng một nhóm hack được cho là đã dàn dựng một vụ xâm nhập vào công ty an ninh mạng FireEye có trụ sở tại Hoa Kỳ dẫn đến việc đánh cắp các công cụ phục vụ cho hoạt động Redteam.
Động cơ và thông tin tình báo bị đánh cắp trong vụ xâm nhập vẫn chưa rõ ràng, nhưng các dấu hiệu cho thấy các hacker đã giả mạo bản cập nhật phần mềm do hãng SolarWinds (Texas, Hoa Kỳ) phát hành vào đầu năm 2020 để xâm nhập vào hệ thống của các cơ quan chính phủ cũng như FireEye trong một tấn công chuỗi cung ứng rất phức tạp.
Các sản phẩm mạng và bảo mật của SolarWinds được sử dụng bởi hơn 300.000 khách hàng trên toàn thế giới, bao gồm các công ty nằm trong danh sách Fortune 500, cơ quan chính phủ và tổ chức giáo dục. Các sản phẩm cũng phục vụ các công ty viễn thông lớn, cơ quan của Quân đội Hoa Kỳ và các tổ chức chính phủ nổi tiếng khác như Lầu Năm Góc, Bộ Ngoại giao, NASA, Cơ quan An ninh Quốc gia (NSA), Bưu điện, NOAA, Bộ Tư pháp và Văn phòng Tổng thống Hoa Kỳ.
Một chiến dịch tinh vi để phân phối backdoor SUNBURST
Công ty FireEye đang theo dõi chiến dịch xâm nhập có biệt danh "UNC2452". Đây là cuộc tấn công chuỗi cung ứng lợi dụng các bản cập nhật phần mềm SolarWinds Orion cho doanh nghiệp, bị nhúng kèm mã độc để phân phối một backdoor có tên SUNBURST.
"Chiến dịch này có thể đã bắt đầu từ đầu năm 2020 và chưa có dấu hiệu dừng lại", FireEye cho biết, "Hoạt động sau khi đã thoả hiệp thành công bao gồm chuyển động ngang và đánh cắp dữ liệu. Chiến dịch được thực hiện bởi một nhân viên có kỹ năng cao và hoạt động được tiến hành với độ bảo mật vô cùng cao."
Tập tin chứa mã độc được ký bởi chữ ký hợp lệ của Solarwinds
Phiên bản plugin SolarWinds Orion giả mạo sau khi được khởi tạo bởi chương trình Solarwinds sẽ giao tiếp qua giao thức HTTP với các máy chủ từ xa để truy xuất và thực thi các lệnh độc hại bao gồm: lệnh chuyển tệp, thực thi tệp, lập hồ sơ và khởi động lại hệ thống đích cũng như vô hiệu hóa các dịch vụ hệ thống. Tinh vi hơn, các địa chỉ IP sử dụng cho chiến dịch đã được che dấu bằng VPN có vị trí đặt cùng quốc gia với nạn nhân tránh bị phát hiện.
Microsoft cũng xác thực những phát hiện này trong một phân tích riêng, cho biết cuộc tấn công (mà hãng gọi là "Solorigate") đã tận dụng sự tin tưởng liên quan đến phần mềm SolarWinds để chèn mã độc vào một chiến dịch lớn hơn.
Theo Microsoft, “Một tập tin độc hại đã được xen lẫn trong số nhiều tập tin hợp pháp khác và sau đó được ký với một chứng chỉ hợp pháp. Tập tin độc hại chứa một backdoor và được phân phối một cách kín đáo nhắm vào các tổ chức mục tiêu. "
Thông báo bảo mật từ phía hãng Solarwinds
Trong một thông báo bảo mật do SolarWinds cho biết, cuộc tấn công nhắm mục tiêu vào các phiên bản 2019.4 đến 2020.2.1 của phần mềm SolarWinds Orion Platform được phát hành từ tháng 3 - 6/2020. Đồng thời, khuyến nghị người dùng sớm nâng cấp lên bản phát hành Platform Orion 2020.2.1 HF 1.
SolarWinds hiện đang điều tra vụ tấn công với sự phối hợp của FireEye và Cục Điều tra Liên bang Hoa Kỳ (Federal Bureau of Investigation - FBI). Dự kiến, hãng này sẽ phát hành một bản sửa lỗi bổ sung 2020.2.1 HF 2 vào ngày 15/12 thay thế thành phần bị xâm nhập và cung cấp thêm một số bảo mật cải tiến.
|
FireEye cũng tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công cực kỳ tinh vi của chính phủ nước ngoài đã xâm nhập các công cụ phần mềm được sử dụng để kiểm tra khả năng phòng thủ của khách hàng. Tổng cộng có tới 60 công cụ của Redteam tại FireEye bị đánh cắp. Trong đó, các công cụ có sẵn công khai chiếm 43%, phiên bản sửa đổi của các công cụ có sẵn công khai chiếm 17% và những công cụ được phát triển nội bộ là 40%. Chiến dịch dường như là một cuộc tấn công chuỗi cung ứng trên quy mô toàn cầu, FireEye cho biết họ đã phát hiện hoạt động này trên một số khách hàng trên toàn thế giới, bao gồm các công ty nhà nước, tư vấn, công nghệ, viễn thông và khai thác ở Bắc Mỹ, Châu Âu, Châu Á và Trung Đông. |
Đăng Thứ (Theo isc)
11:00 | 22/01/2021
13:00 | 26/02/2021
07:00 | 29/06/2021
18:00 | 19/03/2021
07:00 | 04/02/2021
22:00 | 13/02/2021
09:00 | 20/08/2020
14:00 | 13/08/2020
08:00 | 12/01/2021
10:00 | 11/12/2020
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
