Ác mộng SolarWinds: Chuyện bây giờ mới kể (Phần 1)

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
613 bài viết
Ác mộng SolarWinds: Chuyện bây giờ mới kể (Phần 1)
... Một cuộc tấn công không tiếng súng khiến cho cả nước Mỹ phải rúng động. Một cuộc tấn công làm Mỹ và cả các quốc gia khác phải xem xét lại chiến lược an ninh mạng quốc gia và nguồn lực tác chiến mạng của mình. Một cuộc tấn công được ví như “Cơn ác mộng kinh hoàng nhất” từ trước đến nay cả về mức độ tinh vi và phạm vi ảnh hưởng...

Có lẽ, bản cập nhật phần mềm định kỳ là một trong những phần việc phổ biến và ít phải hiểu nhất trong cuộc sống số ngày nay. Một cửa sổ thông báo ngắn gọn xuất hiện trên màn hình và tất cả những gì ta phải làm là ấn “OK” rồi lên giường đi ngủ. Sáng hôm sau, cứ như điều kỳ diệu chỉ xảy ra trong các câu chuyện cổ tích, phần mềm của chúng ta đã khoác lên mình một “chiếc áo mới” tuyệt đẹp.

SolarWind.JPG

Mùa xuân năm 2020, SolarWinds - một công ty chuyên phát triển phần mềm cho các doanh nghiệp có trụ sở tại bang Texas, Mỹ - đã phát hành một bản cập nhật phần mềm định kỳ cho khách hàng của mình. Bản cập nhật này được cho là để sửa các lỗi và nâng cao hiệu suất cho hệ thống quản lý mạng phổ biến của hãng - Orion. Đây là một phần mềm giúp theo dõi tất cả các thành phần khác nhau trong mạng của công ty. Việc cài đặt bản cập nhật có thể nói là không thể tối giản hơn. Khách hàng chỉ việc đăng nhập vào trang web phát triển phần mềm của công ty mình, nhập mật khẩu và chờ cho bản cập nhật được cài đặt liền mạch trên các máy chủ của họ.

Bản cập nhật bình thường hóa bất thường

Cơ quan tình báo Nga SVR được cho là đã chỉ đạo một nhóm tin tặc lợi dụng chính bản cập nhật phần mềm này để chèn mã độc hại vào Orion và sau đó dùng nó như một công cụ để phát động một cuộc tấn công mạng lớn nhắm vào Hoa Kỳ.

"Chúng tôi ước tính, khoảng 18.000 khách hàng có thể đã tải xuống mã độc hại này từ tháng 3 đến tháng 6 năm 2020 - Sudhakar Ramakrishna - Chủ tịch kiêm Giám đốc điều hành SolarWinds chia sẻ. Tuy nhiên, ông cũng cho biết số lượng khách hàng bị ảnh hưởng thực tế có thể ít hơn rất nhiều: “Chúng tôi không biết con số chính xác. Chúng tôi vẫn đang tiến hành điều tra”.

SolarWinds.jpg

Ngay sau vụ việc, Chính quyền của Tổng thống Biden đã công bố danh sách dài dằng dặc một loạt các biện pháp trừng phạt cứng rắn nhằm vào Nga như là một phần của chính sách sử dụng hỗn hợp các công cụ “nhìn thấy và không nhìn thấy” (seen and unseen) đối với vụ xâm nhập vào SolarWinds.

Các cuộc phỏng vấn với hàng chục người liên quan từ lãnh đạo công ty cho đến nạn nhân, các chuyên gia tham gia vào công tác điều tra truy vết và cả các quan chức tình báo đang trong quá trình chỉnh sửa phản ứng của chính quyền Biden cho thấy, đây là một vụ tấn công chưa hề có tiền lệ và được khởi xướng bởi những tin tặc cực kỳ tinh vi, nhắm vào điểm yếu của cuộc sống số: bản cập nhật phần mềm định kỳ.

Một cách có chủ đích, vụ tấn công này chỉ hoạt động trong những trường hợp rất cụ thể. Điều kiện ban đầu, nạn nhân phải tải xuống bản cập nhật độc hại và sau đó triển khai nó. Điều kiện thứ hai là các mạng bị xâm nhập cần được kết nối với Internet để tin tặc có thể giao tiếp với máy chủ của kẻ tấn công.

CEO của SolarWinds - Ramakrishna ước tính, tin tặc đã xâm nhập thành công khoảng 100 công ty và hàng chục cơ quan chính phủ. Các công ty bao gồm những ông lớn ngành công nghệ như Microsoft, Intel và Cisco...; danh sách các cơ quan liên bang cũng rất “khủng”, bao gồm Bộ Tài chính, Bộ Tư pháp và Bộ Năng lượng và Lầu Năm Góc.

Các tin tặc cũng tìm được đường vào Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), trực thuộc Bộ An ninh nội địa Mỹ. Đây là cơ quan có nhiệm vụ bảo vệ các mạng máy tính liên bang khỏi các cuộc tấn công mạng.

Điều đáng lo ngại là với cùng một cách thức xâm nhập nhưng lại trao cho tin tặc khả năng đánh cắp dữ liệu và cũng có thể cho phép chúng thay đổi hoặc phá hủy dữ liệu đó. Tốc độ mà một hacker có thể chuyển từ “trạng thái” nằm vùng sang phá hoại hoặc làm gián đoạn mạng còn nhanh hơn tốc độ người yêu cũ trở mặt. "Không một ai có thể chuyển trạng thái với tốc độ nhanh đến như vậy” - một quản trị viên cấp cao cho biết trong một cuộc họp ngắn từ Nhà Trắng.

Các kỹ thuật được sử dụng thật “không thể tin nổi”

Phần mềm giám sát mạng là điểm then chốt trong các hoạt động “hậu trường” mà chúng ta không bao giờ thấy được. Các chương trình như Orion cho phép bộ phận công nghệ thông tin theo dõi toàn bộ mạng lưới của công ty thông qua một màn hình: máy chủ hoặc tường lửa, máy in trên tầng năm đang ở trạng thái ngoại tuyến, hay thậm chí bà chị nào đó đang dùng mạng công ty để lướt Facebook... Đúng với bản chất, phần mềm này kết nối được với mọi thứ. Đó là lý do mà việc lựa chọn một phần mềm giám sát để hack là một nước đi ngoài sức tưởng tượng.

“Đây thực sự là cơn ác mộng tồi tệ nhất từng xảy ra” - Tim Brown, phó chủ tịch phụ trách an ninh của SolarWinds, cho biết – “Cuộc tấn công có khả năng ảnh hưởng đến hàng ngàn khách hàng và thiệt hại lớn đến mức khó có thể đong đếm được”.

Nhắc đến thiệt hại, có thể nhớ ngay đến vụ việc tương tự xảy ra vào năm 2017, khi quân đội Nga tiến hành một cuộc tấn công ransomware mang tên NotPetya. Nó cũng bắt đầu với phần mềm độc hại, nhưng trong trường hợp ấy, các tin tặc có thiên hướng phá hủy. Chúng đã phát tán ransomware nhằm làm tê liệt các công ty đa quốc gia và “cách ly” vĩnh viễn hàng chục nghìn máy tính. Thậm chí sau này, nó còn được coi là cuộc tấn công mạng có tính hủy diệt và tốn kém nhất trong lịch sử.

Các quan chức tình báo lo ngại rằng SolarWinds có thể sẽ trở thành một vụ tấn công với sức “công phá” tương tự. Chắc chắn rằng các tin tặc đã có đủ thời gian để gây ra thiệt hại. Chúng đã “dạo chơi” khắp các mạng máy tính của Mỹ trong 9 tháng. Không ai rõ liệu rằng các hacker đó chỉ đọc email và làm những việc mà gián điệp thường làm, hay có “cài cắm” thứ gì với mục đích phá hoại trong tương lai.

Những kẻ tấn công SolarWinds là “bậc thầy” về các kỹ thuật hack đã độc lại còn lạ. Chúng sửa đổi mã phần mềm đã được “niêm phong”, tạo ra một hệ thống sử dụng các tên miền để lựa chọn mục tiêu và bắt chước các giao thức giao tiếp của phần mềm Orion để “vẫn có thể ẩn mình dù ở trong ánh sáng”. Và sau đó, chúng làm điều mà bất kỳ tay hacker lão làng nào cũng sẽ thực hiện: dọn dẹp hiện trường vụ án kỹ lưỡng đến mức các nhà điều tra không có bằng chứng rõ ràng ai là chủ mưu vụ việc. Nhà Trắng đã tuyên bố chắc nịch rằng tình báo Nga đứng sau vụ hack. Về phần mình, những người anh em nước Nga thì vẫn hằng ngày uống Vodka và tuyên bố mình chẳng hề liên quan đến việc nhà ai bị hack. Thậm chí, Giám đốc Cơ quan Tình báo Đối ngoại Nga - Sergey Naryshkin còn hài hước cho rằng Mỹ đã “tâng bốc” Nga khi cho rằng họ đứng sau vụ tấn công. Ông cũng bông đùa rằng nước Nga không thể “nhận công lao của người khác” như vậy.

Adam Meyers - Trưởng nhóm điều tra truy vết đã thay mặt SolarWinds cho biết: “Tuyệt kỹ được sử dụng thật phi thường. Đây là điều điên rồ nhất mà tôi từng thấy”. Ông cũng cho biết đoạn mã mà tin tặc sử dụng quá đỗi tinh vi và sáng tạo.

Treo đầu dê bán thịt chó

Meyers cũng đồng thời là Phó chủ tịch phụ trách tình báo về mối đe dọa tại Công ty an ninh mạng CrowdStrike và là người đã tận mắt chứng kiến rất nhiều cuộc tấn công mạng “để đời”. Ông đã tham gia điều tra vụ hack vào Sony năm 2014, khi tin tặc được cho là của Triều Tiên đột nhập vào máy chủ của công ty và phát hành email cũng như các bộ phim đầu tay. Một năm sau, hacker bị nghi ngờ do Điện Kremlin hậu thuẫn có tên "Cozy Bear" đã đánh cắp một loạt email từ Ủy ban Quốc gia Đảng Dân chủ và nhiều tài liệu quan trọng khác. WikiLeaks sau đó đã công khai các tài liệu này trong thời gian chuẩn bị cho cuộc bầu cử tổng thống Mỹ năm 2016.

Meyers nói: “Chúng tôi tham gia vào tất cả các sự cố trên toàn cầu mỗi ngày. Thông thường thì tôi chỉ đạo các nhóm chứ không trực tiếp thực hiện. Nhưng SolarWinds thì khác. Khi tôi bắt đầu tìm hiểu sơ lược, tôi nhận ra đây thực sự là một vụ cực khủng”.

SolarWinds.png

Cuộc tấn công bắt đầu với một đoạn mã nhỏ. Meyers đã truy vết nó từ ngày 12 tháng 9 năm 2019. "Đoạn mã nhỏ này không có tác dụng gì"- Meyers nói - "Theo nghĩa đen, nó chỉ để kiểm tra xem bộ xử lý nào đang chạy trên máy tính: 32-bit hay 64-bit và sẽ trả về số 0 hoặc số 1 tương ứng".

Đoạn mã hóa ra lại là một PoC - phương tiện thử nghiệm nhỏ để xem liệu hacker có thể sửa đổi mã phần mềm đã đóng gói và ký của SolarWinds, sau đó xuất bản và chờ những thay đổi đó xuất hiện, rồi xem nó có trong phiên bản đã được tải xuống hay không. Khi thấy điều này là khả thi, tin tặc biết rằng chúng có thể thực hiện một cuộc tấn công chuỗi cung ứng.

Sau thành công ban đầu đó, tin tặc đã biến mất trong 5 tháng. Khi chúng trở lại vào tháng 2 năm 2020, Meyers cho biết chúng đã trang bị một công cụ “implant” tối tân để phát tán backdoor (cửa hậu) có khả năng cấy backdoor vào phần mềm trước khi nó được “xuất xưởng”.

Để hiểu tại sao cách làm này lại đáng chú ý thì bạn cần biết rằng mã phần mềm “đã được đóng gói” và được niêm phong bằng một loại con dấu kỹ thuật số. Nếu dấu niêm phong này bị phá hoại thì mã có thể đã bị giả mạo. Meyers cho biết các tin tặc về cơ bản đã tìm ra cách để lấy được con dấu này.

Tin tặc bắt đầu bằng cách tiêm một đoạn code để giúp chúng nắm được thông tin mỗi khi nhóm phát triển của SolarWinds chuẩn bị dựng bản cập nhật phần mềm mới. Chúng hiểu rằng quá trình tạo phần mềm hoặc bản cập nhật thường bắt đầu bằng một quy trình nào đó, chẳng hạn như kiểm tra mã từ kho lưu trữ số.

Thông thường, các lập trình viên lấy mã ra khỏi kho lưu trữ, thực hiện các thay đổi và kiểm tra lại. Sau đó, họ bắt đầu quá trình “build” phần mềm. Về cơ bản, tiến trình này sẽ dịch mã mà con người có thể đọc sang mã mà máy tính có thể hiểu. Sau khi hoàn thành, tất cả các mã đều đã “sạch” và đã được kiểm thử. Chính lúc này, hacker sẽ tung ra các mánh khóe của mình.

Chúng sẽ tạo một tệp cập nhật tạm thời chứa mã độc hại bên trong, khi mã do SolarWinds dựng đang trong quá trình biên dịch. Mã của tin tặc sẽ “đánh tráo” tệp tạm của chúng vào phiên bản SolarWinds. “Tôi nghĩ nhiều người có thể cho rằng đó là mã nguồn đã bị sửa đổi” - Meyers nói. Nhưng thay vào đó, các tin tặc lại sử dụng một chiêu trò “treo đầu dê bán thịt chó”.

Nhưng, điều này cũng đáng được để mắt tới. Bởi tin tặc hiểu được rằng các công ty như SolarWinds thường kiểm tra code trước khi bắt đầu “build” một bản cập nhật nhằm đảm bảo mọi thứ diễn ra suôn sẻ. Vì vậy, nhiệm vụ của chúng là đảm bảo rằng việc đánh tráo file tạm này chỉ có thể xảy ra vào giây cuối cùng, khi các bản cập nhật chuyển từ mã nguồn (con người có thể đọc được) sang mã thực thi (máy tính đọc được) và cuối cùng thành phần mềm gửi đến khách hàng.

Bản cập nhật đến tay khách hàng của SolarWinds là phiên bản độc hại của phần mềm bao gồm mã độc giúp tin tặc truy cập một cách không bị kiểm soát, không bị phát hiện đối với bất kỳ người dùng Orion nào đã tải xuống và triển khai bản cập nhật và được kết nối với Internet.

Nhưng còn điều khác khiến Meyers bận tâm: Mã độc này không chỉ dành cho SolarWinds. “Khi chúng tôi phân tích mã độc này, nó có thể được cấu hình lại cho bất kỳ sản phẩm phần mềm nào” - Meyers cho biết. Nói cách khác, bất kỳ nhà phát triển phần mềm nào khác sử dụng cùng một trình biên dịch tương tự cũng có thể bị tấn công mạng và họ hoàn toàn không biết điều đó.
(Còn tiếp…)

Lược dịch: NPR
 
Chỉnh sửa lần cuối:
Hóa ra nó còn nhiều chuyện thầm kín thế :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
mã độc orion solarwinds
Bên trên