Mới nhất
Tiêu điểm
Bình luận
Share
Email
Tin tặc SolarWinds đã xâm nhập Chính quyền hạt Arizona
Các tin tặc qua việc lợi dụng bản cập nhật cho phần mềm quản lý mạng SolarWinds Orion phổ biến đã truy cập vào hệ thống của hạt Pima, Arizona và Cox Communications, theo một nhà cung cấp Internet cáp lớn.
Hiện đây chỉ là hai trong số 18.000 khách hàng của SolarWinds trên toàn cầu đã cài đặt bản cập nhật gây hại. Vụ hack do công ty an ninh mạng FireEye, vốn là khách hàng của SolarWinds, báo cáo đầu tiên, đã ảnh hưởng đến một số cơ quan chính phủ Hoa Kỳ, bao gồm Bộ Quốc phòng, Bộ Ngoại giao, An ninh Nội địa, Năng lượng, Kho bạc và Thương mại.
Vụ hack được cho là lớn nhất từng được phát hiện, khiến Chính phủ Hoa Kỳ phải tập hợp một lực lượng đặc nhiệm gồm nhiều bộ phận để ứng phó với mối đe dọa.
Một phát ngôn viên của Cox Communications cho biết Công ty đã làm việc “suốt ngày đêm” với sự trợ giúp của các chuyên gia bảo mật bên ngoài để điều tra bất kỳ hậu quả nào của vụ tấn công.
Giám đốc Thông tin hạt Pima Dan Hunt cho biết nhóm của ông đã làm theo hướng dẫn của Chính phủ để tắt phần mềm SolarWinds sau khi vụ hack bị phát hiện. Ông cho biết các nhà điều tra đã không tìm thấy bất kỳ bằng chứng nào về việc vi phạm thêm.
Hai nạn nhân lần đầu tiên bị cảnh cáo trong một bài đăng của Kaspersky Labs, sử dụng tập lệnh để giải mã các bản ghi web do tin tặc để lại. Một cách thận trọng, Kaspersky không xác định danh tính các Công ty, nhưng Reuters đã sử dụng tập lệnh để giải mã ra các tên.
Nhà nghiên cứu của Kaspersky, Igor Kuznetsov, cho biết loại bản ghi Web được sử dụng, được gọi là CNAME, bao gồm một mã định danh duy nhất được mã hóa cho mỗi nạn nhân và hiển thị cái nào trong số hàng nghìn “cửa sau” mà tin tặc đã chọn để mở.
Ông nói: “Hầu hết thời gian các cửa hậu này không dùng tới. “Nhưng đây là khi vụ hack thực sự bắt đầu.”
John Bambenek, một nhà nghiên cứu bảo mật và là chủ tịch của Bambenek Consulting, cho biết ông cũng đã sử dụng công cụ Kaspersky để giải mã các bản ghi CNAME do FireEye công bố và nhận thấy chúng có kết nối với Cox Communications và Pima County.
Hồ sơ cho thấy các cửa hậu tại Cox Communications và Pima County đã được kích hoạt vào tháng 6 và tháng 7 năm nay, cao điểm của hoạt động hack cho đến nay đã được các nhà điều tra xác định.
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cho biết hôm thứ Năm rằng chiến dịch tấn công nhằm vào Chính phủ liên bang là lớn nhất từ trước tới nay.
Các tin tặc đã truy cập vào cửa sau theo nhiều cách hơn là thông qua phần mềm SolarWinds.
“CISA có bằng chứng về các vectơ truy cập ban đầu bổ sung, ngoài nền tảng SolarWinds Orion; tuy nhiên, những việc này vẫn đang được điều tra, ”CISA cho biết trong một tuyên bố.
Microsoft cho biết hôm thứ Năm rằng họ đã tìm thấy phần mềm có hại trong hệ thống của mình. Công ty cho biết khoảng 30 khách hàng tại Hoa Kỳ bị ảnh hưởng.
“Chắc chắn rằng số lượng và vị trí của các nạn nhân sẽ tiếp tục tăng lên,” Chủ tịch Microsoft Brad Smith cho biết trong một bài đăng trên blog.
Jack Phillips, Zachary Stieber, và Reuters đã đóng góp vào báo cáo này.
Ivan Pentchoukov
Huệ Giao biên dịch
Xem thêm:
