Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
SolarWinds đổ lỗi cho thực tập sinh đặt mật khẩu yếu dẫn đến cuộc tấn công vừa qua
Trong khi các nhà nghiên cứu tiếp tục tìm hiểu về cuộc tấn công khổng lồ nhắm vào SolarWinds trong năm vừa qua, những người đứng đầu hãng này đổ lỗi cho một thực tập sinh đã đặt mật khẩu yếu suốt vài năm liền.
Mật khẩu "solarwinds123" ban đầu được cho là có thể truy cập công khai thông qua kho lưu trữ GitHub kể từ ngày 17/06/2018, trước khi vấn đề được khắc phục vào ngày 22/11/2019.
Tuy nhiên, trong một phiên điều trần trước Ủy ban Hạ viện về Giám sát và Cải cách và An ninh Nội địa Mỹ về vụ việc tấn công vào SolarWinds hôm thứ Sáu tuần trước, Giám đốc điều hành Sudhakar Ramakrishna của SolarWinds cho biết mật khẩu đã được sử dụng từ đầu năm 2017.
Điều tra sơ bộ về vụ tấn công cho thấy, những kẻ điều hành chiến dịch gián điệp đã cố gắng xâm nhập SolarWinds Orion vào đầu tháng 10/2019, phát tán backdoor Sunburst. Cho đến nay, ít nhất 9 cơ quan chính phủ và 100 công ty tư nhân đã bị xâm nhập vào hệ thống và ảnh hưởng tới các khách hàng.
“Tôi cho rằng đó là mật khẩu mà một sinh viên thực tập đã sử dụng trên một trong những máy chủ từ năm 2017. Mật khẩu này đã được báo lại cho nhóm bảo mật của chúng tôi và đã bị xóa ngay lập tức”, Ramakrishna cho biết.
Cựu Giám đốc điều hành Kevin Thompson lặp lại tuyên bố của Ramakrishna trong buổi làm chứng. “Vụ việc liên quan đến sai lầm mà một thực tập sinh đã mắc phải. Trường hợp đó đã vi phạm chính sách mật khẩu của chúng tôi và đăng mật khẩu đó trên tài khoản GitHub riêng tư của mình”, Thompson cho biết.
Nhà nghiên cứu an ninh mạng Vinoth Kumar hồi tháng 12 năm ngoái cho biết, ông đã thông báo cho SolarWinds về một kho lưu trữ GitHub có thể truy cập công khai đang rò rỉ thông tin đăng nhập FTP của hãng ở dạng bản rõ. Tin tặc có thể sử dụng thông tin đăng nhập để tải lên tệp thực thi độc hại và thêm vào bản cập nhật của SolarWinds.
Thông tin vào những tuần sau đó, SolarWinds dính vào một vụ kiện tập thể vào tháng 1/2021 với cáo buộc không thông báo về việc “kể từ giữa năm 2020, các sản phẩm giám sát của SolarWinds Orion có một lỗ hổng cho phép tin tặc xâm nhập máy chủ”, và “máy chủ cập nhật của SolarWinds có mật khẩu đơn giản là solarwinds123”.
NASA và FAA cũng bị nhắm mục tiêu
Có tới 18.000 khách hàng của SolarWinds được cho là đã cập nhật bản Orion có mã độc. Kẻ xấu đã lựa chọn tấn công một số trường hợp thông qua phát tán mã độc Teardrop, nhắm tới các tài khoản và tài sản có giá trị cao.
Bên cạnh việc xâm nhập vào mạng của Microsoft, FireEye, Malwarebytes, CrowdStrike và Mimecast, những kẻ tấn công cũng được cho là đã sử dụng SolarWinds như một điểm xuất phát để thâm nhập vào Cơ quan Hàng không và Vũ trụ Quốc gia (NSA) và Cục Hàng không Liên bang (FAA) , theo Washington Post.
Bảy cơ quan bị xâm nhập khác là Bộ Ngoại giao, Tư pháp, Thương mại, An ninh Nội địa, Năng lượng, Kho bạc và Viện Y tế Quốc gia.
“Ngoài các mục tiêu này, chúng tôi cũng phát hiện nạn nhân ở các quốc gia khác. Chúng tôi cho rằng, có thể còn những nạn nhân khác chưa được xác định”, Chủ tịch Microsoft Brad Smith cho biết trong phiên điều trần.
Nhóm hacker phía sau được cho là từ Nga, với dưới các biệt danh khác nhau như UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) và Dark Halo (Volexity).
Các chuyên gia kêu gọi tăng cường chuỗi cung ứng phần mềm và phần cứng của lĩnh vực công nghệ, đồng thời thúc đẩy chia sẻ rộng rãi hơn thông tin về các nguy cơ để có phản ứng kịp thời với các sự cố.
Về phần mình, SolarWinds cho biết đang tổng hợp thông tin, kinh nghiệm thu được từ sự cố. Hãng cũng đang triển khai thêm phần mềm bảo vệ và tìm nguy cơ trên các sản phẩm của mình.
Mật khẩu "solarwinds123" ban đầu được cho là có thể truy cập công khai thông qua kho lưu trữ GitHub kể từ ngày 17/06/2018, trước khi vấn đề được khắc phục vào ngày 22/11/2019.
Tuy nhiên, trong một phiên điều trần trước Ủy ban Hạ viện về Giám sát và Cải cách và An ninh Nội địa Mỹ về vụ việc tấn công vào SolarWinds hôm thứ Sáu tuần trước, Giám đốc điều hành Sudhakar Ramakrishna của SolarWinds cho biết mật khẩu đã được sử dụng từ đầu năm 2017.
Điều tra sơ bộ về vụ tấn công cho thấy, những kẻ điều hành chiến dịch gián điệp đã cố gắng xâm nhập SolarWinds Orion vào đầu tháng 10/2019, phát tán backdoor Sunburst. Cho đến nay, ít nhất 9 cơ quan chính phủ và 100 công ty tư nhân đã bị xâm nhập vào hệ thống và ảnh hưởng tới các khách hàng.
“Tôi cho rằng đó là mật khẩu mà một sinh viên thực tập đã sử dụng trên một trong những máy chủ từ năm 2017. Mật khẩu này đã được báo lại cho nhóm bảo mật của chúng tôi và đã bị xóa ngay lập tức”, Ramakrishna cho biết.
Cựu Giám đốc điều hành Kevin Thompson lặp lại tuyên bố của Ramakrishna trong buổi làm chứng. “Vụ việc liên quan đến sai lầm mà một thực tập sinh đã mắc phải. Trường hợp đó đã vi phạm chính sách mật khẩu của chúng tôi và đăng mật khẩu đó trên tài khoản GitHub riêng tư của mình”, Thompson cho biết.
Nhà nghiên cứu an ninh mạng Vinoth Kumar hồi tháng 12 năm ngoái cho biết, ông đã thông báo cho SolarWinds về một kho lưu trữ GitHub có thể truy cập công khai đang rò rỉ thông tin đăng nhập FTP của hãng ở dạng bản rõ. Tin tặc có thể sử dụng thông tin đăng nhập để tải lên tệp thực thi độc hại và thêm vào bản cập nhật của SolarWinds.
Thông tin vào những tuần sau đó, SolarWinds dính vào một vụ kiện tập thể vào tháng 1/2021 với cáo buộc không thông báo về việc “kể từ giữa năm 2020, các sản phẩm giám sát của SolarWinds Orion có một lỗ hổng cho phép tin tặc xâm nhập máy chủ”, và “máy chủ cập nhật của SolarWinds có mật khẩu đơn giản là solarwinds123”.
NASA và FAA cũng bị nhắm mục tiêu
Có tới 18.000 khách hàng của SolarWinds được cho là đã cập nhật bản Orion có mã độc. Kẻ xấu đã lựa chọn tấn công một số trường hợp thông qua phát tán mã độc Teardrop, nhắm tới các tài khoản và tài sản có giá trị cao.
Bên cạnh việc xâm nhập vào mạng của Microsoft, FireEye, Malwarebytes, CrowdStrike và Mimecast, những kẻ tấn công cũng được cho là đã sử dụng SolarWinds như một điểm xuất phát để thâm nhập vào Cơ quan Hàng không và Vũ trụ Quốc gia (NSA) và Cục Hàng không Liên bang (FAA) , theo Washington Post.
Bảy cơ quan bị xâm nhập khác là Bộ Ngoại giao, Tư pháp, Thương mại, An ninh Nội địa, Năng lượng, Kho bạc và Viện Y tế Quốc gia.
“Ngoài các mục tiêu này, chúng tôi cũng phát hiện nạn nhân ở các quốc gia khác. Chúng tôi cho rằng, có thể còn những nạn nhân khác chưa được xác định”, Chủ tịch Microsoft Brad Smith cho biết trong phiên điều trần.
Nhóm hacker phía sau được cho là từ Nga, với dưới các biệt danh khác nhau như UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) và Dark Halo (Volexity).
Các chuyên gia kêu gọi tăng cường chuỗi cung ứng phần mềm và phần cứng của lĩnh vực công nghệ, đồng thời thúc đẩy chia sẻ rộng rãi hơn thông tin về các nguy cơ để có phản ứng kịp thời với các sự cố.
Về phần mình, SolarWinds cho biết đang tổng hợp thông tin, kinh nghiệm thu được từ sự cố. Hãng cũng đang triển khai thêm phần mềm bảo vệ và tìm nguy cơ trên các sản phẩm của mình.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: