Một phát hiện mới cho thấy tin tặc Trung Quốc (TQ) tiếp tục tìm cách truy cập các email của chính phủ Hoa Kỳ thông qua đám mây của Microsoft.
Microsoft, “sân chơi” của hacker TQ và Nga
Các quan chức chính phủ Mỹ đã phát hiện ra một tai họa bảo mật ảnh hưởng đến các hệ thống email chưa được phân loại (unclassified systems) vào tháng trước. Cụ thể là gián điệp mạng TQ đã khai thác một lỗ hổng cơ bản trong đám mây (cloud) của Microsoft để thực hiện cuộc tấn công vào các tài khoản email chưa được phân loại của chính phủ Mỹ. Lỗ hổng này rất đáng lo ngại – The Washington Post cho biết.
Theo Toà Bạch Ốc, vụ việc được phát hiện vào tháng trước sau khi chính phủ tìm thấy trong đám mây của Microsoft có một lỗ hổng bảo mật ảnh hưởng đến các hệ thống email chưa được phân loại. “Ngay lập tức Microsoft được thông báo để tìm cả kẻ tấn công lẫn lỗ hổng an ninh trong dịch vụ đám mây – phát ngôn viên của Hội đồng An ninh Quốc gia Adam Hodges nói với The Washington Post – Trong khi chờ phản ứng thoả đáng của Microsoft, chúng tôi tiếp tục bảo đảm các quy tắc an ninh của chính phủ Mỹ phải được các nhà cung cấp dịch vu tuân thủ cao”.
Theo một người quen thuộc với vấn đề nói với điều kiện giấu tên, số tài khoản email bị ảnh hưởng là không nhiều, và cuộc tấn công dường như nhắm mục tiêu cụ thể chứ không ngẫu nhiên, dù cuộc điều tra của FBI chưa kết thúc. Người này cho biết Ngũ Giác Đài, cộng đồng tình báo và các tài khoản email quân sự dường như không bị ảnh hưởng. Hoa Kỳ từng cáo buộc TQ tìm cách hack Microsoft và đứng đằng sau các cuộc tấn công mạng khác.
Ngày 11 Tháng Bảy, Microsoft cho biết “đã giảm thiểu được tác hại cuộc tấn công của một tác nhân nguy hiểm có trụ sở tại TQ chủ yếu nhắm vào các cơ quan chính phủ ở Tây Âu và tập trung vào hoạt động gián điệp, đánh cắp dữ liệu”. Gã khổng lồ công nghệ có trụ sở tại Redmond thuộc tiểu bang Washington cho biết đã mở cuộc điều tra sau khi được thông báo vào giữa Tháng Sáu.
Cuộc điều tra cho biết, tin tặc (Microsoft gọi là Storm-0558) đã giành được quyền truy cập vào các tài khoản email ảnh hưởng đến khoảng 25 tổ chức, trong đó có cả các cơ quan chính phủ Hoa Kỳ. Theo blog của Charlie Bell, phó Chủ tịch điều hành bảo mật của Microsoft, chúng đã sử dụng mã thông báo xác thực (authentication token) giả mạo để truy cập email người dùng bằng cách sử dụng khóa ký (signing key) vào tài khoản Microsoft của họ. “Nhưng chúng tôi đã đưa tất cả email bị ảnh hưởng trở lại bình thường” – Bell viết trên blog. Các quan chức Hoa Kỳ cũng tin rằng vụ việc đã được giải quyết tạm ổn, nhưng vẫn còn một số việc Microsoft phải làm tiếp về bảo mật.
Không phải lần đầu
Đây không phải lần đầu tiên Microsoft, nhà cung cấp phần mềm lớn nhất thế giới, bị phát hiện có những lỗ hổng nghiêm trọng trong các sản phẩm và dịch vụ mình cung cấp. Năm 2020, tin tặc Nga đã xâm phạm tài khoản email của chính phủ Hoa Kỳ bằng cách khai thác phần mềm do công ty SolarWinds ở tiểu bang Texas sản xuất. Sau đó, những tin tặc này chuyển sang khai thác điểm yếu trong hệ thống của Microsoft trong hoạt động xác thực người dùng bằng cách sử dụng mã thông báo giả cấp quyền truy cập cho người quản trị tài khoản.
Ngay sau khi các lỗ hổng của SolarWinds được phát hiện, chính phủ Mỹ cũng nhận thấy các máy chủ email Microsoft Exchange có thể bị khai thác qua một lỗ hổng khác mà tin tặc TQ phát hiện được. Jason Kikta, Giám đốc an ninh thông tin của công ty an ninh mạng Automox và cựu Giám đốc đối tác khu vực tư nhân tại Bộ chỉ huy mạng Hoa Kỳ (US Cyber Command) nhận định: “Cuộc tấn công mới nhất này đã sử dụng một khóa (key) bị đánh cắp mà thiết kế của Microsoft không thể xác thực đúng cách”.
Nhấn mạnh thêm về những tai hoạ bảo mật liên tục xảy ra với công ty, Microsoft xác nhận quy trình xác thực của họ đã bị thao túng để ký điện tử. Trong một sự cố khác, công ty cảnh báo các hacker Nga (mà nó đổ lỗi cho hoạt động gián điệp và tội phạm tài chính) đang khai thác một lỗ hổng chưa được biết đến trước đó trong phần mềm Office của hãng. Microsoft đã đề xuất các giải pháp thay thế có thể áp dụng ngay và khẳng định phần mềm bảo mật Defender của họ có thể ngăn chặn các cuộc tấn công.
Tuy nhiên, công ty thừa nhận là chưa có bản vá lỗ hổng thực sự. Sau vụ hack SolarWinds, Chủ tịch Microsoft Brad Smith đã ra tường trình trước Thượng viện rằng mã (code) của họ không dễ bị tấn công, thay vào đó đổ lỗi cho khách hàng về các lỗi cấu hình phổ biến và khả năng kiểm soát kém, gây ra những sự cố từ việc tương tự như chuyện “bỏ quên chìa khóa két sắt và xe hơi”.
Các quan chức Bộ An ninh Nội địa phàn nàn các công cụ bảo mật cơ bản như công cụ dùng để xem lại nhật ký (log) chỉ khả dụng ở các cấp dịch vụ đắt tiền hơn. Chính phủ Hoa Kỳ đã củng cố các quy tắc an ninh mạng, trong đó đòi hỏi các nhà cung cấp phần mềm và phần cứng cho các cơ quan chính phủ phải đáp ứng đầy đủ. Nay họ muốn biết là các quy tắc có được tuân theo đúng không và chúng có cần phải điều chỉnh không.
