Chính phủ Hoa Kỳ bị tấn công trong chiến dịch xâm nhập mạng toàn cầu
Hôm 15/06, cơ quan giám sát không gian mạng quốc gia loan tin cho biết chính phủ Hoa Kỳ là mục tiêu của một chiến dịch tấn công mạng toàn cầu vốn khai thác một lỗ hổng trong nhu liệu được sử dụng rộng rãi. Tuy nhiên, cơ quan này không lường trước được cuộc tấn công sẽ có tác động lớn.
Ông Eric Goldstein, trợ lý giám đốc điều hành về an ninh mạng tại Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng Hoa Kỳ (CISA), nói trong một tuyên bố rằng một vài cơ quan liên bang đã bị xâm phạm sau khi phát hiện ra một lỗ hổng trong nhu liệu truyền tệp MOVEit.
CISA đã không nêu rõ các cơ quan bị ảnh hưởng hoặc nói rõ họ bị ảnh hưởng như thế nào. Cơ quan này cũng không phúc đáp ngay các yêu cầu bình luận thêm.
MOVEit của công ty Progress Software Corp (PRGS.O) thường được các doanh nghiệp sử dụng để truyền tệp giữa đối tác và khách hàng. Cổ phiếu của Progress đã giảm 4%.
Nhóm tống tiền trực tuyến Cl0p đã nhận trách nhiệm về vụ xâm phạm MOVEit này. Trước đây, CI0p tuyên bố rằng họ sẽ không sử dụng bất kỳ dữ liệu nào bị đánh cắp từ các cơ quan chính phủ.
Nhóm này viết rằng các cơ quan chính phủ, thành phố, và cảnh sát không nên lo lắng vì họ đã xóa dữ liệu này.
Các biện pháp phòng ngừa của CISA
Hôm 07/06, FBI và CISA đã đưa ra một thông báo chung về Tư vấn An ninh mạng (CSA) như một phần của chiến dịch Ngăn chặn Mã độc tống tiền (#StopRansomware) của họ.
Khuyến nghị nói trên nhằm giúp các tổ chức bảo vệ trước biến thể mã độc tống tiền CL0P bằng cách cung cấp thông tin cần thiết về các chiến thuật và chỉ số của biến thể đó.
Các nhà chức trách khuyến nghị một vài hành động để giảm thiểu các mối đe dọa không gian mạng do mã độc tống tiền CL0P gây ra. Các tổ chức được khuyên nên tiến hành kiểm kê tài sản, xác định các thiết bị và nhu liệu được cấp quyền và không được cấp quyền.
Các cơ quan này cũng khuyên rằng, mặc dù nên thiết lập một danh sách nhu liệu khả tín (whitelist) chỉ để xác thực các nhu liệu ứng dụng, nhưng cũng chỉ nên cấp đặc quyền và quyền truy cập của quản trị viên khi cần thiết.
Việc giám sát các cổng, giao thức, và dịch vụ mạng cũng như khai triển các cấu hình bảo mật trên các thiết bị cơ sở hạ tầng mạng như tường lửa và bộ định tuyến cũng được khuyên là các bước quan trọng. Việc vá lỗi, cập nhật, và đánh giá lỗ hổng thường xuyên cũng được nhấn mạnh.
Khuyến nghị nói trên cũng bao gồm thông tin về các hoạt động mới đây của Nhóm Mã độc tống tiền CL0P, còn được gọi là TA505.
Họ đã khai thác một lỗ hổng chưa được biết đến trước đây trong giải pháp MOVEit Transfer của Progress Software, lây nhiễm các nhu liệu ứng dụng trên web kết nối với Internet. Nhóm này đã sử dụng một vỏ bọc web có tên LEMURLOOT để đánh cắp dữ liệu từ các cơ sở dữ liệu cơ sở.
Trước đây, TA505 đã nhắm mục tiêu đến các thiết bị Công cụ Truyền Tệp Accellion và các máy chủ Fortra/Linoma GoAnywhere MFT.
FBI và CISA kêu gọi các tổ chức tuân theo các khuyến nghị giảm thiểu đó để giảm khả năng xảy ra [tấn công mạng] và tác động của các cuộc tấn công bằng mã độc tống tiền của CL0P. Cảnh giác và luôn cập nhật các khuyến nghị cũng như các phương sách mới nhất có sẵn trên trang stopransomware.gov là điều quan trọng trong việc tăng cường an ninh mạng.
Các cuộc tấn công mạng trên thế thới
Một cơ quan chính phủ ở Úc chịu trách nhiệm theo dõi các vi phạm quyền riêng tư đã trở thành mục tiêu của một cuộc tấn công mạng sau vụ xâm nhập một trong những công ty luật của cơ quan này.
Theo một bản tin hôm 15/06, sau khi xâm nhập vào cơ sở dữ liệu HWL Ebsworth, tổ chức tin tặc Nga BlackCat, còn được gọi là AlphV, đã lấy được thông tin từ Văn phòng Ủy viên Thông tin Úc (OAIC).
Một trong những công ty luật doanh nghiệp lớn nhất ở Úc, HWL Ebsworth, cung cấp dịch vụ trợ giúp chuyên gia cho OAIC.
Vụ tấn công này xảy ra sau khi AlphV đánh cắp bốn terabyte dữ liệu công ty, trong đó có cả thông tin nhân sự, hồi tháng Tư.
Hôm 08/06, nhóm tin tặc này được cho là đã công bố hơn 1.45 terabyte dữ liệu nhạy cảm trên dark web. Tuy nhiên, vì HWL Ebsworth có nhiều khách hàng là chính phủ và doanh nghiệp nên không rõ thông tin nào đã được tiết lộ.
“Những tội phạm mạng truy cập vào các hệ thống của chúng tôi hiện tuyên bố đã công bố khoảng một phần ba tổng số dữ liệu mà họ cho là đã bị đánh cắp từ công ty của chúng tôi,” một phát ngôn viên của HWL Ebsworth nói với hãng thông tấn AAP. “Chúng tôi đang điều tra tuyên bố này và đang tìm cách xác định dữ liệu nào có thể đã được công bố.”
Chỉ một ngày trước vụ tấn công mạng ở Úc, một quan chức an ninh mạng cao cấp của Hoa Kỳ cảnh báo rằng các tin tặc của chính quyền Trung Quốc “gần như chắc chắn” sẽ tiến hành các cuộc tấn công mạng ồ ạt nhằm phá vỡ cơ sở hạ tầng quan trọng của Hoa Kỳ, chẳng hạn như các đường ống dẫn dầu và hệ thống đường sắt nếu xảy ra một cuộc xung đột với Hoa Kỳ.
Tại một sự kiện do Viện Aspen tổ chức ở Hoa Thịnh Đốn, bà Jen Easterly, Giám đốc Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng, tuyên bố rằng Bắc Kinh đang đầu tư nhiều vào việc phát triển các công nghệ mạng nhằm phá hoại cơ sở hạ tầng của Hoa Kỳ.
“Trong trường hợp xảy ra một cuộc xung đột, Trung Quốc gần như chắc chắn sẽ sử dụng các hoạt động tấn công mạng để nhắm đến cơ sở hạ tầng quan trọng của chúng ta, bao gồm các đường ống dẫn dầu và hệ thống đường sắt, nhằm trì hoãn việc khai triển quân sự, và để gây ra sự hoảng loạn trong xã hội,” bà nói với khán giả.
“Tôi nghĩ đây là mối đe dọa thực sự mà chúng ta cần phải chuẩn bị sẵn sàng và tập trung vào cũng như xây dựng khả năng phục hồi.”
Trọng tâm của vấn đề này là hoạt động gián điệp, cho dù có là “hàng thập niên đánh cắp tài sản trí tuệ” hay là “sự chuyển giao tài sản trí tuệ lớn nhất,” như bà Easterly đã lưu ý. Bà tuyên bố rằng những nỗ lực của Bắc Kinh đã dần chuyển sang hướng gây rối và phá hủy.
“Do tính chất nghiêm trọng của mối đe dọa từ các tác nhân thuộc chính quyền Trung Quốc, với quy mô về năng lực của họ, với bao nhiêu nguồn lực và nỗ lực mà họ đang bỏ ra, thì chúng ta sẽ rất khó ngăn chặn sự gây rối xảy ra.”
Bản tin có sự đóng góp của Reuters và Eva Fu
Cẩm An biên dịch
Quý vị tham khảo bản gốc từ The Epoch Times