Ác mộng SolarWinds: Chuyện bây giờ mới kể (phần 2)

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat Team, 10/11/21, 07:11 PM.

  1. WhiteHat Team

    WhiteHat Team Administrators Thành viên BQT

    Tham gia: 09/04/20, 02:04 PM
    Bài viết: 183
    Đã được thích: 41
    Điểm thành tích:
    28
    Nhiều dấu hiệu để phát hiện cuộc tấn công đã bị bỏ lỡ một cách đáng tiếc. Hacker rất tinh vi trong việc chọn lọc mục tiêu cho cuộc tấn công cũng như che giấu tung tích của mình, nhưng “một tay không che nổi trời”. Ai là người hùng đã phát hiện ra cuộc tấn công mạng thế kỷ vào chuỗi cung ứng SolarWinds? Mời các bạn cùng theo dõi phần 2 của “Ác mộng SolarWinds: Chuyện bây giờ mới kể”.

    micorsoft-chinh-thuc-xac-nhan-bi-anh-huong-boi-vu-hack-solarwinds-3.jpg

    Chọn lọc mục tiêu

    Phó Chủ tịch phụ trách tình báo về mối đe dọa tại Công ty An ninh mạng CrowdStrike - Meyers - cho biết, đúng là phải “ngả mũ” trước cách tin tặc đặt tâm huyết vào chiến dịch này. Hãy xem cái cách mà chúng xác định các mục tiêu. Cái khó của việc phá vỡ mạng lưới của quá nhiều khách hàng cùng một lúc đó là không biết nên khai thác mục tiêu nào đầu tiên. Vì vậy tin tặc đã tạo ra một hệ thống máy chủ phân giải tên miền theo cơ chế passive (Passive DNS - lưu trữ các bản ghi DNS) để gửi những thông điệp ngắn không chỉ có địa chỉ IP gồm một dãy số, mà còn kèm theo một ảnh profile của một mục tiêu tiềm năng.

    “Và sau đó chúng có thể nói: ‘được rồi, chúng ta sẽ thử tiếp cận mục tiêu .gov hoặc bất cứ mục tiêu nào khác”, Meyers cho biết. “Tôi nghĩ sau đó mọi thứ trở nên rõ ràng là có rất nhiều các công ty công nghệ của chính phủ trở thành mục tiêu của chúng”.

    Hacker cũng dịch ngược cách Orion giao tiếp với các máy chủ và build các chỉ dẫn code của riêng chúng bắt chước cú pháp và định dạng của Orion. Làm được điều này sẽ cho phép hacker giống như đang “nói” bằng ngôn ngữ của Orion, vì vậy lưu lượng thông điệp của chúng trông giống như trình mở rộng thông thường của phần mềm.

    Một khi đã xác định được một mục tiêu đáng chú ý tin tặc sẽ bắt tay vào việc, thao túng các tệp tin và tạo ra một vài thay đổi. Sau đó, chúng xâm nhập vào hệ thống thông qua các backdoor tự tạo mà không hề bị phát hiện. Và còn một điều cần phải lưu tâm: đó là backdoor này nằm chờ đến tận 2 tuần rồi mới thực sự được khởi chạy trên máy chủ, chứng tỏ tin tặc là kẻ khá kiên nhẫn.

    Không một Hệ thống phát hiện xâm nhập (tripwire) nào của các công ty tư nhân hoặc chính phủ dự báo được cuộc tấn công. Christopher Krebs - Giám đốc của Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa Mỹ (DHS) dưới thời chính quyền Trump - nói rằng hệ thống hiện tại của DHS, với tên gọi rất thú vị là Einstein, chỉ “bắt” được các mối đe dọa đã biết. Còn vụ xâm nhập vào SolarWinds "mới quá”.

    3.png

    Einstein đóng hai vai trò quan trọng trong an ninh mạng của Chi nhánh Điều hành Dân sự Liên bang Mỹ (FCEB). Đầu tiên, Einstein phát hiện và ngăn chặn các cuộc tấn công mạng làm ảnh hưởng đến các cơ quan liên bang. Tiếp theo, Einstein cung cấp cho CISA những nhận định ban đầu về tình huống cũng như cách tận dụng chính thông tin về mối đe dọa được phát hiện để bảo vệ những gì chưa bị tấn công.

    Krebs giải thích: “Có tới 90% đến 95% các mối đe dọa dựa trên các kỹ thuật đã biết và các hoạt động mạng từng xảy ra. Đó không chỉ đơn giản là tội phạm mạng thông thường, mà còn là tội phạm mạng cấp Quốc gia, bao gồm cả các Cơ quan Tình báo Nga và quân đội Nga. Đây là một kỹ thuật chưa từng có trước đây”.

    Còn một việc mà Einstein không làm được: Hệ thống này không rà quét được các bản cập nhật phần mềm. Vì vậy, ngay cả khi các tin tặc đã sử dụng mã mà Einstein nhận diện là độc hại, thì nó vẫn không phát hiện ra những mã này vì nó nằm trong những bản cập nhật phần mềm định kỳ.

    Cơ quan An ninh Quốc gia (NSA) và Bộ Chỉ huy Không gian mạng của quân đội Mỹ đã không hề có phòng bị nào trong cuộc tấn công này. Những nhà điều hành mạng của hai cơ quan này thường “nằm vùng” trong các mạng nước ngoài để tìm kiếm những dấu hiệu của các cuộc tấn công mạng trước khi chúng xảy ra. Họ có thể nhận thấy hoạt động đáng ngờ nhạy bén như cách mà một vệ tinh có thể nhìn thấy quân đội đang tập trung ở biên giới. Những người không đồng thuận chỉ trích rằng đáng lẽ họ phải sớm phát hiện tin tặc từ cơ quan tình báo Nga (SVR) đang chuẩn bị cho cuộc tấn công này.

    "SVR hiểu rõ rằng NSA đang theo dõi mình" - Krebs nói - "Những gì SVR có thể làm là tạo ra sự chuyển tiếp từ việc bị theo dõi ở bất kỳ nơi nào sang chỉ trong mạng của nước Mỹ mà thôi. Họ di chuyển như những bóng ma và rất khó để theo dõi”.

    Bên cạnh đó, tin tặc đã không làm bất cứ điều gì bất thường mà để lại các dấu vết trong mạng lưới nội bộ của nước Mỹ, các quan chức xác nhận. Trên thực tế, họ chỉ thuê máy chủ từ Amazon và GoDaddy.

    Những cảnh báo sớm

    Đã xuất hiện những dấu hiệu, ở đâu đó, tuy nhiên điều tồi tệ vẫn xảy ra.

    Đầu tháng 7, Steven Adair, người sáng lập ra Công ty An ninh mạng Volexit có trụ sở tại Washington D.C – đã nhận thấy những hoạt động đáng ngờ trên các máy tính của một khách hàng. “Chúng tôi đã thực hiện truy vết và cho rằng nó có thể liên quan đến một bản cập nhật độc hại của SolarWinds” - Adair nói. “Chúng tôi đã xử lý vấn đề này, đảm bảo không có kẻ nào đang nằm vùng trong các hệ thống của khách hàng và cho rằng thế là đủ”.

    Adair nghĩ rằng không có đủ chứng cứ để báo cáo vấn đề này tới SolarWinds hoặc chính phủ.

    Và đó là dấu hiệu đầu tiên bị bỏ qua.

    Dấu hiệu thứ hai xuất hiện 3 tháng sau, khi Công ty An ninh mạng tại bang California - Palo Alto Networks phát hiện một backdoor độc hại dường như bắt nguồn từ phần mềm Orion.

    Theo Ramakrishna - CEO của SolarWinds, đội ngũ an ninh tại SolarWinds và Palo Alto đã làm việc với nhau trong 3 tháng để thử tìm ra mối đe dọa và đánh giá lại vấn đề. “Không ai trong chúng tôi có thể xác định được một cuộc tấn công chuỗi cung ứng nào vào thời điểm đó” - Ramakrishna nói. Vì vậy, họ buộc phải dừng quá trình truy vết. “Giá như quay ngược được về quá khứ, chúng tôi đã có thể truy ra cuộc tấn công”.

    Palo Alto Networks đã đồng ý trả lời một cuộc phỏng vấn về vụ việc nhưng sau đó đã hủy chỉ một giờ trước khi nó được diễn ra. Một phát ngôn viên từ chối cho biết lý do và gửi một vài bài đăng trên blog: "Tôi e rằng đây là tất cả những gì chúng tôi có thể làm vào lúc này".

    “Chỉ 3.500 dòng”

    Công ty An ninh mạng FireEye cuối cùng đã trở thành người hùng khi phát hiện ra vụ xâm nhập. Mandia - Giám đốc điều hành FireEye, từng làm việc tại Văn phòng Điều tra Đặc biệt của Không quân Mỹ, vì vậy chuyên môn của ông là các vụ án hình sự và phản gián. Trong những năm tháng công tác, ông thường xuyên gặp những khuôn mẫu mà mình đã được học để nhận diện hệ thống bị tấn công trong các cuộc điều tra đặc biệt.

    Dấu hiệu đầu tiên cho thấy tin tặc đã tìm được đường vào mạng lưới của FireEye lại đến theo cách vô thưởng vô phạt. Một nữ nhân viên trong đội An ninh của FireEye đã nhận thấy rằng một nhân viên khác dường như có tới hai điện thoại được đăng ký trên mạng của công ty, vì vậy cô ấy đã gọi cho nhân viên đó. "Và cú điện thoại đó đã thức tỉnh chúng tôi. Không phải là nhân viên của chúng tôi đã đăng ký chiếc điện thoại thứ hai, đó là một người khác" - Mandia nói.

    Mandia đã tổ chức một cuộc họp giao ban về vấn đề an ninh ngay sau đó và những gì nghe được khiến ông nhớ lại công việc trước đây của mình trong quân đội. Ông cho biết: “Có rất nhiều nhận dạng mẫu (pattern recognition) mà tôi từng sử dụng trong khoảng thời gian từ năm 1996 đến 1998 nhằm đối phó lại những vụ việc tôi cho là có liên quan đến Cơ quan Tình báo đối ngoại Nga. Một vài số liệu trong cuộc họp này phù hợp với kinh nghiệm của tôi khi còn trong Lực lượng không quân.

    Mandia đã triệu tập một cuộc họp hội đồng quản trị cùng ngày. "Đây chính là vụ xâm nhập mà tôi luôn lo lắng”.

    Cuộc điều tra đã diễn ra trong nhiều tuần và phát hiện ra những bí mật động trời. Tin tặc không chỉ xâm nhập vào mạng của họ và còn đánh cắp kho công cụ hack mà FireEye sử dụng để kiểm tra tính bảo mật trong hệ thống mạng của khách hàng. FireEye đã gọi cho FBI, gửi kèm một báo cáo chi tiết và khi xác định được phần mềm Orion là nguồn gốc của vấn đề, FireEye lập tức liên lạc với SolarWinds.

    Brown - Phó Chủ tịch phụ trách an ninh mạng của SolarWinds - đã nhận cuộc điện thoại khẩn cấp vào sáng thứ Bảy. "Họ nói: ‘Về cơ bản, chúng tôi đã dịch ngược mã của bạn. Và chúng tôi đã tìm thấy mã độc hại’” - Brown kể lại. FireEye chắc chắn SolarWinds "đã gửi đi bản code bị nhiễm độc”.

    Đoạn mã độc hại ấy đã cho phép tin tặc xâm nhập vào mạng lưới của FireEye và chắc chắn cả mạng của các công ty khác. Mandia chia sẻ: “Chúng tôi biết rằng các tay phóng viên đã săn được những tin tức nóng sốt. Tôi đã nhận một cuộc gọi từ phóng viên và anh ta đã biết về vụ việc, còn tôi thì nghĩ rằng, phải rồi, chúng tôi vẫn còn cơ hội”.

    Mandia đã nghĩ rằng họ có tầm 1 ngày để xử lý tình huống trước khi mọi chuyện vỡ lở.

    Sau đó, các sự kiện dường như bị đẩy lên cao trào. Giám đốc an ninh của SolarWinds - Brown - đã gọi cho Ron Plesco - một luật sư của hãng DLA Piper - và thuật lại những gì đã xảy ra. Một trong những điều đầu tiên các công ty có xu hướng làm ngay sau các cuộc tấn công mạng là thuê luật sư và giao cho họ phụ trách cuộc điều tra. Các công ty làm điều này vì một lý do rất rõ ràng: mọi thứ họ tìm thấy đều được bảo vệ bởi đặc quyền giữa khách hàng và luật sư, tức là các trao đổi giữa họ sẽ được giữ bí mật và không hề bị “lộ tẩy” tại tòa.

    Plesco - luật sư chuyên xử lý các vụ việc liên quan đến tấn công mạng - biết rằng một khi câu chuyện vỡ lở, cả thế giới sẽ sẵn sàng để moi móc tất cả những thông tin về cuộc tấn công. "Vì vậy, chúng tôi phải đẩy nhanh tiến độ trên 2 phương diện: Tìm hiểu xem điều gì đã xảy ra nếu có thể và khắc phục sự cố càng sớm càng tốt”.

    4.png

    Công ty đã làm việc với DHS để soạn thảo một thông báo phát đi ngày 13 tháng 12 năm 2020.

    Để điều tra một vụ hack, bạn phải bảo vệ được “hiện trường”. Cũng giống như các thám tử trong thế giới thực phải thu thập bằng chứng và truy tìm dấu vết phục vụ quá trình điều tra sau này, SolarWinds phải tập hợp các bản ghi log của máy tính, tạo bản sao của các tệp tin, đảm bảo một chuỗi sự kiện được ghi lại theo trình tự, trong khi thực hiện tất cả các quá trình đó vẫn cố gắng đảm bảo các tin tặc không ở bên trong hệ thống và đang quan sát mọi thứ họ làm.

    Plesco nói: “Tôi đã ở trong những tình huống mà khi đang thực hiện cuộc điều tra, hacker đồng thời xem được email của bạn, xâm nhập vào các cuộc điện thoại hoặc các cuộc họp online của bạn. Có thể nói chúng đang “hóng” xem bạn đang cố loại bỏ chúng như thế nào”.

    Vào giữa tháng 1/2021, Meyers và đội ngũ CrowdStrike đã cô lập được thứ mà họ nghĩ là “vật chứng mong manh” của cuộc tấn công. Đó là một đoạn mã nhỏ đầy tinh vi, được mã hóa "chỉ dài 3.500 dòng", ông nói. Đoạn mã tốt nhất là nên ngắn gọn và làm đúng nhiệm vụ của mình. Meyers nghĩ rằng dải mã hóa nhỏ này có thể giúp họ tìm ra kẻ đứng sau vụ tấn công.

    Phát hiện được manh mối là một chuyện, nhưng xác định được chính xác hung thủ của cuộc tấn công lại là một câu chuyện hoàn toàn khác. Liệu các nhà điều tra có thể tìm được kẻ chủ mưu đưng sau vụ tấn công thế kỷ? Mời các bạn cùng đón chờ phần 3 của series Ác mộng SolarWinds: Chuyện bây giờ mới kể.

    (Còn tiếp)
    Lược dịch: NPR
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tgnd thích bài này.
  1. WhiteHat Team
  2. WhiteHat News #ID:3333
  3. WhiteHat News #ID:2017
  4. WhiteHat News #ID:2112
  5. WhiteHat News #ID:2112