Tác động của vụ tấn công SolarWinds là gì?

Các vụ hack luôn chiếm ưu thế trên các tin tức, và đúng như vậy. Chúng là bằng chứng cho thấy không ai an toàn, đặc biệt khi nạn nhân là một tập đoàn lớn với hệ thống an ninh mạng tinh vi. Một vụ hack có tác động đáng kể đến bối cảnh an ninh mạng là vụ hack SolarWinds.

Nhưng không giống như các vụ hack quy mô lớn khác, thiệt hại của cuộc tấn công SolarWinds không chỉ giới hạn ở tài chính và danh tiếng của công ty. Các tác động lan rộng đến mức ảnh hưởng của vụ hack có sự tham gia của chính phủ Hoa Kỳ và các cơ quan của nó.

Quy mô của vụ tấn công là gì?

SolarWinds là công ty CNTT có trụ sở tại Hoa Kỳ, chuyên phát triển phần mềm quản lý cho các doanh nghiệp và cơ quan chính phủ. Vì vậy, ngay từ đầu, rõ ràng rằng bất kỳ vụ hack nào cũng sẽ gây ra những tác động thảm khốc ngoài tài sản và danh tiếng của SolarWinds.

Thật an toàn khi nói rằng bản thân tập đoàn SolarWinds không phải là mục tiêu của cuộc tấn công mà chỉ là phương thức tấn công. SolarWinds báo cáo rằng chỉ hơn 18.000 khách hàng của họ đã tải xuống phiên bản bị ảnh hưởng, mặc dù không phải tất cả đều bị tấn công.

Trong số các nạn nhân, khoảng 20% ​​là các tổ chức và cơ quan chính phủ Hoa Kỳ như Bộ An ninh Nội địa, Bộ Ngoại giao, Cục An ninh Hạt nhân Quốc gia và Bộ Năng lượng, cùng nhiều cơ quan khác.

80% nạn nhân còn lại là các tập đoàn tư nhân, nhưng họ là những người chơi lớn trong ngành của họ với phần lớn các khách hàng nổi tiếng. Vụ tấn công đã ảnh hưởng đến các công ty như Cisco, Intel, Deloitte và Microsoft, cũng như một số tổ chức y tế, bệnh viện và trường đại học.

Điều quan trọng cần lưu ý là quy mô của vụ việc vẫn chưa được biết đầy đủ. Mặc dù các tin tặc đã quản lý để có được quyền truy cập vào gần 20.000 khách hàng của SolarWinds, điều đó không có nghĩa là chúng có thể vượt qua hệ thống bảo mật nội bộ và xâm phạm các tệp và dữ liệu. Con số chính xác vẫn chưa được công bố, nhưng có ít hơn 100 khách hàng bị tấn công.

Ví dụ, Microsoft có thể phát hiện phần mềm độc hại xâm nhập trong môi trường của họ và cô lập nó kịp thời. Họ báo cáo không có bằng chứng về việc dữ liệu khách hàng bị xâm nhập hoặc bị rò rỉ từ cuộc tấn công, cho phép họ thoát khỏi nó mà hầu như không bị tổn hại.

Nhưng không phải ai cũng may mắn như vậy. Các tin tặc đã tìm cách xâm nhập vào hàng chục email của các quan chức cấp cao trong Bộ Tài chính Mỹ và có thể cả các tài sản đám mây của bộ này.

Điều gì làm cho bản hack SolarWinds trở nên khác biệt?

Thông thường, một sự cố hack là kết quả của hệ thống bảo mật bị lỗi hoặc sự hợp tác bên trong. Nhưng đó không phải là trường hợp của các công ty bị ảnh hưởng bởi cái gọi là vụ hack "Sunburst" — chỉ dưới 100 người trong số tất cả những người đã tải xuống bản cập nhật bị nhiễm virut.

Các tin tặc chỉ cần xâm nhập an ninh mạng của SolarWinds. Sau đó, họ tiến hành thêm mã độc vào một trong những dịch vụ phần mềm được sử dụng nhiều nhất của công ty, Orion. Vụ hack diễn ra lén lút và không thể phá hủy, cho phép nó trượt dưới radar của SolarWinds và ở đó trong nhiều tháng.

Mã tự lan truyền cho các khách hàng khác bằng cách thực hiện một trong các bản cập nhật phần mềm thường xuyên mà SolarWinds gửi cho khách hàng của mình. Tại đó, mã độc này thiết lập một cửa hậu cho tin tặc , cho phép chúng cài đặt các phần mềm độc hại thậm chí còn xâm lấn hơn và do thám các mục tiêu của chúng và làm rò rỉ bất kỳ thông tin nào mà chúng cho là quan trọng.

Vụ hack Sunburst đã đặt ra một tiền lệ cho những ai mà các công ty có thể và không thể tin tưởng khi nói đến an ninh mạng. Rốt cuộc, các bản cập nhật phần mềm phải đi kèm với các bản sửa lỗi và nâng cấp bảo mật để giữ cho hệ thống của bạn an toàn trước các lỗ hổng và lỗ hổng bị khai thác.

Loại tấn công này được gọi là tấn công chuỗi cung ứng . Trong đó, tin tặc nhắm mục tiêu vào bộ phận dễ bị tấn công nhất trong chuỗi cung ứng của công ty thay vì đánh trực tiếp vào mục tiêu của chúng. Sau đó, chúng đóng gói phần mềm độc hại của mình vào các tàu đáng tin cậy và chuyển chúng đến các mục tiêu thực tế của chúng. Trong sự cố này, nó ở dạng cập nhật phần mềm định kỳ.

Ai đứng đằng sau vụ hack SolarWinds?

Vẫn chưa rõ tổ chức hoặc nhóm người nào đứng sau vụ hack vì cho đến nay vẫn chưa có nhóm hacker nào xác nhận vụ việc. Tuy nhiên, các nhà điều tra liên bang cùng với các chuyên gia hàng đầu về an ninh mạng chủ yếu nghi ngờ Cơ quan Tình báo Nước ngoài của Nga, còn được gọi là SVR.

Kết luận này được xây dựng dựa trên các sự cố hack trước đó vào năm 2014 và 2015. Hồi đó, các cuộc điều tra cũng đã xác định được vụ đột nhập vào các máy chủ email ở Nhà Trắng và Bộ Ngoại giao về SVR. Nhưng cho đến nay, Nga phủ nhận bất cứ điều gì liên quan đến vụ hack của SolarWinds, không đưa ra thủ phạm rõ ràng.

Điều gì đến sau vụ tấn công Sunburst?

Về tác động trực tiếp của vụ tấn công, các công ty và cơ quan chính phủ tiếp tục quét hệ thống của họ để tìm bất kỳ cửa hậu nào khác mà những kẻ tấn công có thể đã để lại, cũng như bất kỳ lỗ hổng bảo mật nào mà họ có thể đã phát hiện và ngăn họ khai thác nó trong tương lai tấn công.

Nhưng khi nói đến bối cảnh an ninh mạng dựa trên doanh nghiệp và chính phủ, mọi thứ sẽ mãi mãi thay đổi. Sau khi Orion của SolarWinds được sử dụng như một con ngựa thành Troy để xâm nhập vào hệ thống của họ, khái niệm về an ninh mạng giữa bạn và thù và không tin tưởng phải thay đổi để theo kịp.

Liên quan: Mạng Zero Trust là gì và nó bảo vệ dữ liệu của bạn như thế nào?

Các chính phủ, tập đoàn và người dùng sẽ phải thay đổi cách nhìn nhận về các mối quan hệ hợp tác và tài chính để đổi lấy một lá chắn an ninh mạng vững chắc và một tương lai an toàn hơn.

Bạn có nên lo lắng?

Tin tặc hiếm khi lấy đi những gì họ đến và để nguyên phần còn lại. Mọi thứ trong cơ sở dữ liệu của công ty hoặc chính phủ đều có giá trị to lớn.

Trong khi các công ty tiến hành kinh doanh với SolarWinds và các công ty liên kết với các công ty bị ảnh hưởng đó đều đã kiểm tra kỹ hệ thống của họ sau vụ hack, bạn không thể làm gì với tư cách là một người dùng cá nhân.

Không cần phải lo lắng về việc có phần mềm độc hại hoặc cửa sau trên một trong các thiết bị của bạn vì cuộc tấn công chủ yếu nhắm vào các công ty và tổ chức. Nhưng bạn có thể là khách hàng của những gã khổng lồ công nghệ như Intel hoặc Microsoft và họ có hồ sơ cá nhân và tài chính về bạn từ những lần mua trước đây.

Theo dõi bất kỳ thông báo khẩn cấp nào mà nhà cung cấp của bạn gửi đi và liệu họ có đưa ra bất kỳ thông báo công khai nào liên quan đến các sự cố bảo mật hay không. Bạn càng biết sớm về khả năng vi phạm dữ liệu của mình, bạn càng có nhiều cơ hội thoát khỏi tình trạng không bị tổn thương.

Sẽ Có Một Cuộc Tấn Công Giống Sunburst Khác?

Vẫn chưa rõ các cơ quan chính phủ và công ty có thể nâng cấp hệ thống bảo mật của họ trước một cuộc tấn công khác hay không.

Nhưng miễn là các tập đoàn và tổ chức mang dữ liệu nhạy cảm và có giá trị, chúng sẽ luôn là mục tiêu của các nhóm hacker, cả trong nước và quốc tế.