Một tuần sau khi công ty an ninh mạng FireEye cho biết một số cơ quan chính phủ Mỹ và tập đoàn lớn bị tin tặc (tình nghi là Nga) tấn công – thông qua “đường dẫn” SolarWinds – danh sách nạn nhân ngày càng dài ra. Người ta cũng biết thêm rằng cuộc tấn công lần này được thực hiện bằng kỹ thuật chưa từng có trước nay…
SolarWinds ước tính khoảng 18.000 khách hàng đã cài phần mềm của họ và điều này có nghĩa ngần ấy nạn nhân có thể đã bị xâm nhập. Đầu tuần này, công ty đã gỡ một trang web quảng cáo liệt kê những khách hàng nổi tiếng, trong đó có Nhà Trắng, Lầu Năm Góc, Cơ quan Mật vụ, chuỗi nhà hàng McDonald’s và các viện bảo tàng Smithsonian. Vụ tấn công xảy ra khoảng đầu tháng 3-2020, khi nguồn mã độc lọt vào các phiên bản cập nhật gọi là Orion của SolarWinds. Bất cứ khách hàng nào của SolarWinds tải bản cập nhật Orion coi như đã gián tiếp mở cửa để tin tặc lọt vào.
Không phải là tên tuổi được công chúng biết nhiều như những thương hiệu IT quen thuộc như Microsoft nhưng với giới kỹ thuật an ninh mạng thì gần như không ai không biết SolarWinds. Trụ sở tại Austin (Texas), SolarWinds – thành lập năm 1999 ở thời điểm thế giới nhốn nháo sự kiện Y2K (lỗi hệ thống điện toán năm 2000) – chuyên cung cấp dịch vụ kỹ thuật bảo mật và giám sát hệ thống mạng cho hàng trăm ngàn khách hàng khắp thế giới, trong đó có hầu hết công ty khổng lồ có tên trong danh sách Fortune 500 (500 công ty lớn nhất thế giới do chuyên san kinh tế Fortune xếp hạng). Sản phẩm Orion của SolarWinds chiếm gần ½ doanh thu hàng năm của SolarWinds.
Theo các nhà điều tra, vụ tấn công SolarWinds được thực hiện với phạm vi và mức độ tinh vi khiến ngay cả các chuyên gia bảo mật kỳ cựu cũng phải ngạc nhiên. Nó làm lộ ra lỗ hổng nghiêm trọng tiềm ẩn trong cơ sở hạ tầng công nghệ Mỹ. Cuộc tấn công pha trộn giữa kỹ thuật “thủ công” đặc biệt – dùng các công cụ chưa từng thấy trước nay – phối hợp với chiến lược tập trung vào một mắt xích yếu trong chuỗi cung ứng phần mềm mà tất cả doanh nghiệp và tổ chức chính phủ Hoa Kỳ dựa vào. Tin tặc sử dụng cái gọi là tấn công chuỗi cung ứng (supply chain attack), bằng cách khai thác các bản cập nhật phần mềm quản lý của SolarWinds để đưa mã độc vào máy chủ mục tiêu; rồi – như những “con ngựa thành Troy” –nằm phục chờ lệnh tấn công.
Cơ quan An ninh Quốc gia (NSA) đã “nhấn chuông” báo động đến các cơ quan quốc phòng và nhà thầu quân sự. Theo NSA, tin tặc đã thành công trong việc giả mạo thông tin đăng nhập để có thể mở rộng khả năng truy cập và đánh cắp dữ liệu lưu trữ trên hệ thống máy chủ nội bộ và trung tâm dữ liệu đám mây. NSA cho biết cách này có thể đã được sử dụng trong một cuộc tấn công vào phần mềm VMware Inc dùng trong giới an ninh quốc gia mà NSA đã cảnh báo đầu tháng 12-2020. Ngày 17-12-2020, Microsoft cho biết thêm, trong số hơn 40 khách hàng được xác định là nạn nhân vụ hack SolarWinds, có 44% là công ty dịch vụ IT. Trong khi 80% nạn nhân có trụ sở tại Mỹ, Microsoft cho biết còn có những nạn nhân ở Anh, Canada, Mexico, Bỉ, Tây Ban Nha, Israel và Tiểu vương quốc Ả Rập Thống nhất. Tại Mỹ, một số mục tiêu lớn là Bộ Nội An, Bộ Ngoại giao, Bộ Tài chính và Thương mại…
Những “con ngựa thành Troy” lọt vào những đâu và từ hồi nào đến giờ vẫn chưa xác định, cho nên, người ta chưa biết chính xác có bao nhiêu mục tiêu đã bị đột nhập. Điều này, một lần nữa, cho thấy lỗ hổng của hệ thống tình báo Mỹ nói riêng và hệ thống an ninh mạng Mỹ nói chung. FireEye – cũng như các công ty bảo mật khác và những cơ quan trong cộng đồng tình báo và cơ quan thực thi pháp luật – đã không thể tìm thấy bằng chứng nào liên kết một cơ sở hạ tầng bị đột nhập trong một vụ tấn công với các nạn nhân khác. Đó mới là điều đáng lo ngại. Trước khi phát hiện tin tặc dùng bản cập nhật Orion của SolarWinds để cài mã độc, FireEye đã lùng sục khoảng 50.000 dòng mã để tìm kiếm “một cái kim trong một đống kim”; và cuối cùng mới phát hiện vài chục dòng mã đáng ngờ. Các phân tích sâu hơn sau đó xác nhận chúng là nguồn gốc của vụ hack.
Mức độ phức tạp của vụ hack SolarWinds đã mở ra một phạm vi mới để nghiên cứu và phòng chống đối với giới an ninh mạng. Tuy nhiên, kỹ thuật sử dụng một nhà cung cấp phần mềm đáng tin cậy làm “con ngựa thành Troy” để đột nhập mục tiêu thì không mới. Năm 2017, tin tặc Nga đã đưa mã độc vào một phần mềm tính thuế của Ukraine để gây ra một cuộc phá hoại toàn cầu. FedEx cho biết vụ hack này khiến họ thiệt hại 400 triệu USD. Một nạn nhân khác, Merck & Co, bị thiệt hại 670 triệu USD. Với cuộc tấn công SolarWinds, ưu tiên hàng đầu của bọn tin tặc dường như là đột nhập và ẩn mình, hơn là phá hoại để gây tổn thất tài chính. Đó là lý do mà nó không bị phát hiện trong một thời gian dài.
Làm thế nào tin tặc có thể thâm nhập vào hệ thống SolarWinds để cài mã độc vào các bản update thì đến giờ vẫn chưa được rõ. SolarWinds nói rằng, đầu tiên tài khoản email Microsoft của họ bị hack; sau đó tin tặc tiếp cận sâu vào các công cụ của phần mềm Office. Theo Joe Slowik, nhà nghiên cứu của DomainTools LLC, “dàn móng” xây dựng cho chiến dịch tấn công đã được hình thành từ năm 2019, khi tin tặc mua lại các tên miền giúp đóng vai trò làm điểm xuất kích. Sau khi được cài đặt, phần mềm độc kết nối với máy chủ chứa các miền này sẽ cho phép tung ra cuộc tấn công. Steven Adair, chủ tịch an ninh mạng Volexity Inc, cho biết, công ty của ông đã theo dõi dấu vết tin tặc nhắm vào SolarWinds ít nhất bốn năm qua. Tháng 7-2020, Volexity đã điều tra một vụ đột nhập vào một tổ chức nghiên cứu (think tank) sử dụng phần mềm SolarWinds. Think tank này bị tấn công trong suốt bốn năm khi tin tặc đọc email của một số nhân viên cụ thể. Trong lần đột nhập thứ nhất, chúng sử dụng một phương pháp không xác định; lần thứ hai, chúng lợi dụng một lỗi trong phần mềm Microsoft Exchange.
