-
09/04/2020
-
93
-
613 bài viết
Ác mộng SolarWinds: Chuyện bây giờ mới kể (Phần 3)
Trong vô vàn công ty phần mềm tại đất nước Cờ Hoa, tại sao tin tặc lại nhắm tới SolarWinds? Công ty đã để lộ sơ hở gì để trở thành miếng mồi hấp dẫn cho hacker? Sau một cuộc tấn công thế kỷ, Ban lãnh đạo SolarWinds đã có những quyết định nào? Mời các bạn cùng theo dõi “Ác mộng SolarWinds: Chuyện bây giờ mới kể (phần 3)”.
Những manh mối mong manh
Hãy xem đội điều tra số là những thám tử trên không gian mạng đang đi tìm kiếm các bằng chứng. Các đoạn code nhỏ đôi khi có thể giúp xác định danh tính kẻ xâm nhập hoặc thỉnh thoảng các nhóm điều tra truy vết tìm thấy những nét đặc thù riêng dù ít ỏi, ví dụ như đoạn script bằng tiếng Ba-tư hay chữ viết Hàn Quốc. Khi một nhóm hacker tinh nhuệ người Nga kiểm soát được lưới điện tại Ukraine vào năm 2015, chúng đi tìm nguồn cảm hứng khá văn học: mã độc hại được chúng sử dụng bắt nguồn từ cuốn tiểu thuyết Dune (Xứ cát) của Frank Herbert. Đó là lý do tại sao CrowdStrike lại tìm thấy những manh mối mong manh của mã độc hại rất chi là hay ho này.
Sau nhiều tuần làm việc với đoạn code, Meyers đã triệu tập một cuộc họp trực tuyến với các nhà lãnh đạo tại SolarWinds và thành viên trong nhóm của ông từ khắp nơi trên thế giới. Ông đã chia sẻ màn hình của mình để tất cả mọi người có thể xem quá trình mã hóa dần biến mất theo thời gian thực. Ông bắt đầu giải thích cặn kẽ đoạn mã khi nó được tiết lộ, giống như tường thuật một trận đấu. Meyers mong chờ sẽ phát hiện ra điểm mấu chốt của cuộc tấn công. "Chúng tôi hy vọng nó sẽ có, bạn biết đấy, tên biến hoặc có thể vài chú thích bằng chữ cái tượng hình hoặc chữ quan thoại để cho chúng tôi biết một chút manh mối nào đó về kẻ đã viết đoạn mã này" - ông nói.
Nhưng khi chương trình giải mã của CrowdStrike cày nát những ký tự 0 và 1, tâm trạng của Meyers chùng xuống. Hiện trường của vụ tấn công hoàn toàn trống trơn. Nó đã được dọn dẹp sạch sẽ. "Chúng đã làm sạch mã” - Meyers nói -"Chúng đã ‘phi tang’ mọi dấu vết của con người hay công cụ để lại. Đó là một loại ảo giác như thể kẻ tấn công có sức mạnh “vạn năng” để che giấu mọi manh mối mà con người có thể vô tình để lại.
Chết tiệt, kẻ nào đã làm được vậy? - Meyers tự vấn.
Chỉ cần nhập "solarwinds123"
Một vụ hack tinh vi như vậy có thể xảy ra với bất kỳ công ty phần mềm nào. Tuy nhiên có một số dấu hiệu đáng lo ngại tại SolarWinds khiến hãng trở thành nạn nhân của tin tặc.
Hãy xem trang web tiếp thị trực tuyến của công ty này. Nó có một bản danh sách các khách hàng, bao gồm các công ty và các cơ quan chính phủ cụ thể, đang sử dụng phần mềm Orion. Trong khi rất nhiều công ty làm điều tương tự thì trang web của SolarWinds lại chi tiết đến mức có thể coi đó như một “danh sách mua sắm” cho các đối thủ của hãng.
Ramakrishna - CEO của SolarWinds đã phản pháo lại những lời chỉ trích. "Rất nhiều công ty làm điều này (đăng danh sách khách hàng của mình lên website). Đó là “sự vinh hạnh” của họ, cho thấy tất cả những khách hàng này đều tin tưởng vào công nghệ của chúng tôi’. Và tôi không cho rằng đó là lý do tại sao chúng tôi trở thành mục tiêu” - ông nói. Ramakrishna cho biết các tin tặc "tinh vi hơn rất nhiều". Tuy nhiên, ngay sau cuộc tấn công, danh sách khách hàng trên trang web đó đã bị gỡ xuống.
Có một báo cáo đáng lo ngại khác về mật khẩu. Chuyên gia an ninh mạng tại Ấn Độ tên Vinoth Kumar nói rằng đã tìm thấy mật khẩu để truy cập vào một máy chủ chạy các ứng dụng và công cụ của SolarWinds trên một diễn đàn và đó là: "solarwinds123." Kumar cho biết anh đã gửi tin nhắn cho SolarWinds vào tháng 11 và nhận được phản hồi bằng thư cảm ơn tự động, đồng thời cho biết hãng đã khắc phục được sự cố.
Khi được hỏi về điều này, Brown - Phó chủ tịch phụ trách an ninh mạng của SolarWinds nói rằng mật khẩu "không liên quan gì đến vụ việc này, nó là mật khẩu của một trang FTP”. FTP là một giao thức được sử dụng để truyền tệp tin qua Internet. Ông cho biết mật khẩu được chia sẻ bởi một thực tập sinh và nó "không phải là tài khoản được liên kết với Active Directory (AD)” của công ty.
Ramakrishna cho biết đây là mật khẩu của một trang web thuộc bên thứ ba, nơi một số công cụ và ứng dụng của SolarWinds có sẵn để tải xuống. Tuy nhiên, Ramakrishna thừa nhận rằng mặc dù không liên quan đến vụ tấn công, nhưng việc tồn tại một mật khẩu quá ư đơn giản trên một trang web chứa ứng dụng cho phép tải xuống của SolarWinds là việc khó có thể chấp nhận.
"Sự cố này là một cơ hội để chúng tôi nâng cao nhận thức cho mọi người về các chính sách mật khẩu" - ông nói. "Tôi không muốn nói giảm nói tránh hay bình thường hóa vấn đề này, nhưng tôi muốn nhấn mạnh rằng nó không liên quan gì với cuộc tấn công vào phần mềm Orion.
Ramakrishna tiếp quản vụ tấn công này. Ông đã được thuê làm Giám đốc điều hành SolarWinds ngay trước khi vụ tấn công bị phát hiện và đảm nhiệm chức vụ cao nhất khi toàn bộ phạm vi của vụ hack đã trở nên rõ ràng. Theo một cách nào đó, vụ tấn công đã mang lại cho ông sự thoải mái đáng kinh ngạc. Ông không thể bị đổ lỗi cho một sự cố xảy ra trước cả khi mình xuất hiện, và những thay đổi ông thực hiện có thể được nhìn nhận trong bối cảnh của một người mới lên nắm quyền thay vì là hành động đáp trả lại vụ tấn công.
Ngay sau khi nhậm chức, ông đã đăng tải một bài đăng dài trên blog cung cấp kế hoạch gồm có 11 điểm cơ bản để cải thiện tình hình an ninh mạng của công ty. "Với hành trang là những bài học về cuộc tấn công này, chúng tôi cũng đang đối chiếu lại các phương pháp bảo mật của riêng mình", ông viết trong bài đăng trên blog, đồng thời cho biết thêm rằng mục tiêu của ông là đưa ra một "cải tiến ngay lập tức đối với các hệ thống phát triển sản phẩm và kinh doanh chủ chốt”.
Ramakrishna đã lên kế hoạch để cải tiến SolarWinds thành một tổ chức “bảo mật theo thiết kế” (secure by design) thực sự với các công cụ phát hiện và ngăn chặn mối đe dọa mạnh mẽ hơn trên toàn mạng của mình, đặc biệt tập trung vào khâu phát triển và dựng phần mềm mà các tin tặc đã từng đột nhập.
Ông cho biết sẽ thiết lập các tài khoản đặc quyền, tất cả các tài khoản được sử dụng bởi bất kỳ ai có liên quan đến Orion và công ty sẽ buộc phải áp dụng xác thực đa yếu tố.
Ian Thornton-Trump, Giám đốc an ninh thông tin tại Cyjax - công ty tình báo về mối đe dọa, cho biết: “Nếu tôi đưa ra một kế hoạch để cải thiện tính bảo mật của công ty mình, cách lý giải hợp lý về điều đó có thể là chúng tôi đã học được một bài học quý giá từ vụ tấn công. Hoặc cũng có thể có ít nhất 11 thiếu sót nghiêm trọng trong hệ thống an ninh hiện hữu của chúng tôi. Tôi cho rằng bản kế hoạch gồm 11 điểm thực sự là sự thừa nhận đã chẳng có gì được đảm bảo trong ngôi nhà “an toàn” này nữa rồi.
Thornton-Trump từng làm việc tại đội an ninh mạng của SolarWinds. Năm 2017, ông rời công ty bởi theo ông công tác quản lý của SolarWinds (Kevin Thompson là Giám đốc điều hành vào thời điểm đó) không muốn chi đủ ngân sách cho an ninh mạng.
Thornton-Trump thừa nhận rằng tin tặc đã đột nhập vào công ty một cách rất tinh vi nên khó ai có thể chống lại chúng. "Nhưng hãy thử tưởng tượng, nếu bạn đang lái xe trong tình trạng say xỉn và trời mưa, bạn tông xe và làm hỏng chiếc xe của mình, thì vì lý do gì chúng ta lại tập trung quá nhiều vào thiệt hại của chiếc xe, thay vì nguồn cơn dẫn đến một loạt các sự kiện gây ra thiệt hại nặng nề đến vậy?”
Liệu việc cải tổ toàn diện các hoạt động an ninh của SolarWinds có phải là sự thừa nhận có gì đó không ổn hay chỉ đơn giản là sự nâng cấp mang tính trách nhiệm?
Ramakrishna cho biết câu trả lời là cả hai. "Thông thường những gì xảy ra là mọi người tiến hành điều tra, rút ra các bài học và sau đó thực hiện vài việc như nâng cấp" - ông nói. "Chúng ta có thể làm mọi thứ tốt hơn không? Hoàn toàn có thể. Và thành thật mà nói, ngay cả sau khi thực hiện 11 điều này, tôi sẽ tìm kiếm 11 điều tiếp theo để thực hiện vì kẻ địch thì càng ngày càng thông minh và tinh vi hơn".
Ramakrishna vẫn luôn băn khoăn tại sao trong số tất cả các công ty phần mềm có thể lựa chọn, Dịch vụ tình báo Nga (SRV) lại nhắm vào SolarWinds.
“Tôi đã nghĩ rất nhiều về việc tại sao lại là chúng tôi mà không phải là ai khác. Và điều đó luôn thôi thúc tôi trong bất kỳ cuộc điều tra nào. Chúng tôi đã triển khai Orion cho hơn 300.000 khách hàng hiện nay. Vì vậy, chúng tôi là phần mềm được triển khai khá rộng rãi và có được các đặc quyền quản trị trong hệ thống của khách hàng. Vậy trong một cuộc tấn công chuỗi cung ứng như này, mục tiêu sẽ là thử lấy một bản phần mềm được triển khai phổ biến nhất và sau đó lựa chọn việc bạn muốn làm.
Bất kể lý do gì khiến SolarWinds là mục tiêu của cuộc tấn công, thì sự kiện này đã tiết lộ sự bất lực đáng kinh ngạc của cộng đồng an ninh mạng Hoa Kỳ trong việc kết nối các dấu hiệu với nhau. Không chỉ những cảnh báo ban đầu từ Volexity hay cuộc điều tra với Palo Alto Networks, mà một phát hiện đơn giản từ một nhà nghiên cứu mạng ở Bangalore cho thấy có điều gì đó không ổn trong thế giới số của chúng ta.
Những manh mối mong manh
Hãy xem đội điều tra số là những thám tử trên không gian mạng đang đi tìm kiếm các bằng chứng. Các đoạn code nhỏ đôi khi có thể giúp xác định danh tính kẻ xâm nhập hoặc thỉnh thoảng các nhóm điều tra truy vết tìm thấy những nét đặc thù riêng dù ít ỏi, ví dụ như đoạn script bằng tiếng Ba-tư hay chữ viết Hàn Quốc. Khi một nhóm hacker tinh nhuệ người Nga kiểm soát được lưới điện tại Ukraine vào năm 2015, chúng đi tìm nguồn cảm hứng khá văn học: mã độc hại được chúng sử dụng bắt nguồn từ cuốn tiểu thuyết Dune (Xứ cát) của Frank Herbert. Đó là lý do tại sao CrowdStrike lại tìm thấy những manh mối mong manh của mã độc hại rất chi là hay ho này.
Nhưng khi chương trình giải mã của CrowdStrike cày nát những ký tự 0 và 1, tâm trạng của Meyers chùng xuống. Hiện trường của vụ tấn công hoàn toàn trống trơn. Nó đã được dọn dẹp sạch sẽ. "Chúng đã làm sạch mã” - Meyers nói -"Chúng đã ‘phi tang’ mọi dấu vết của con người hay công cụ để lại. Đó là một loại ảo giác như thể kẻ tấn công có sức mạnh “vạn năng” để che giấu mọi manh mối mà con người có thể vô tình để lại.
Chết tiệt, kẻ nào đã làm được vậy? - Meyers tự vấn.
Chỉ cần nhập "solarwinds123"
Một vụ hack tinh vi như vậy có thể xảy ra với bất kỳ công ty phần mềm nào. Tuy nhiên có một số dấu hiệu đáng lo ngại tại SolarWinds khiến hãng trở thành nạn nhân của tin tặc.
Hãy xem trang web tiếp thị trực tuyến của công ty này. Nó có một bản danh sách các khách hàng, bao gồm các công ty và các cơ quan chính phủ cụ thể, đang sử dụng phần mềm Orion. Trong khi rất nhiều công ty làm điều tương tự thì trang web của SolarWinds lại chi tiết đến mức có thể coi đó như một “danh sách mua sắm” cho các đối thủ của hãng.
Ramakrishna - CEO của SolarWinds đã phản pháo lại những lời chỉ trích. "Rất nhiều công ty làm điều này (đăng danh sách khách hàng của mình lên website). Đó là “sự vinh hạnh” của họ, cho thấy tất cả những khách hàng này đều tin tưởng vào công nghệ của chúng tôi’. Và tôi không cho rằng đó là lý do tại sao chúng tôi trở thành mục tiêu” - ông nói. Ramakrishna cho biết các tin tặc "tinh vi hơn rất nhiều". Tuy nhiên, ngay sau cuộc tấn công, danh sách khách hàng trên trang web đó đã bị gỡ xuống.
Có một báo cáo đáng lo ngại khác về mật khẩu. Chuyên gia an ninh mạng tại Ấn Độ tên Vinoth Kumar nói rằng đã tìm thấy mật khẩu để truy cập vào một máy chủ chạy các ứng dụng và công cụ của SolarWinds trên một diễn đàn và đó là: "solarwinds123." Kumar cho biết anh đã gửi tin nhắn cho SolarWinds vào tháng 11 và nhận được phản hồi bằng thư cảm ơn tự động, đồng thời cho biết hãng đã khắc phục được sự cố.
Khi được hỏi về điều này, Brown - Phó chủ tịch phụ trách an ninh mạng của SolarWinds nói rằng mật khẩu "không liên quan gì đến vụ việc này, nó là mật khẩu của một trang FTP”. FTP là một giao thức được sử dụng để truyền tệp tin qua Internet. Ông cho biết mật khẩu được chia sẻ bởi một thực tập sinh và nó "không phải là tài khoản được liên kết với Active Directory (AD)” của công ty.
Ramakrishna cho biết đây là mật khẩu của một trang web thuộc bên thứ ba, nơi một số công cụ và ứng dụng của SolarWinds có sẵn để tải xuống. Tuy nhiên, Ramakrishna thừa nhận rằng mặc dù không liên quan đến vụ tấn công, nhưng việc tồn tại một mật khẩu quá ư đơn giản trên một trang web chứa ứng dụng cho phép tải xuống của SolarWinds là việc khó có thể chấp nhận.
"Sự cố này là một cơ hội để chúng tôi nâng cao nhận thức cho mọi người về các chính sách mật khẩu" - ông nói. "Tôi không muốn nói giảm nói tránh hay bình thường hóa vấn đề này, nhưng tôi muốn nhấn mạnh rằng nó không liên quan gì với cuộc tấn công vào phần mềm Orion.
Ramakrishna tiếp quản vụ tấn công này. Ông đã được thuê làm Giám đốc điều hành SolarWinds ngay trước khi vụ tấn công bị phát hiện và đảm nhiệm chức vụ cao nhất khi toàn bộ phạm vi của vụ hack đã trở nên rõ ràng. Theo một cách nào đó, vụ tấn công đã mang lại cho ông sự thoải mái đáng kinh ngạc. Ông không thể bị đổ lỗi cho một sự cố xảy ra trước cả khi mình xuất hiện, và những thay đổi ông thực hiện có thể được nhìn nhận trong bối cảnh của một người mới lên nắm quyền thay vì là hành động đáp trả lại vụ tấn công.
Ngay sau khi nhậm chức, ông đã đăng tải một bài đăng dài trên blog cung cấp kế hoạch gồm có 11 điểm cơ bản để cải thiện tình hình an ninh mạng của công ty. "Với hành trang là những bài học về cuộc tấn công này, chúng tôi cũng đang đối chiếu lại các phương pháp bảo mật của riêng mình", ông viết trong bài đăng trên blog, đồng thời cho biết thêm rằng mục tiêu của ông là đưa ra một "cải tiến ngay lập tức đối với các hệ thống phát triển sản phẩm và kinh doanh chủ chốt”.
Ramakrishna đã lên kế hoạch để cải tiến SolarWinds thành một tổ chức “bảo mật theo thiết kế” (secure by design) thực sự với các công cụ phát hiện và ngăn chặn mối đe dọa mạnh mẽ hơn trên toàn mạng của mình, đặc biệt tập trung vào khâu phát triển và dựng phần mềm mà các tin tặc đã từng đột nhập.
Ông cho biết sẽ thiết lập các tài khoản đặc quyền, tất cả các tài khoản được sử dụng bởi bất kỳ ai có liên quan đến Orion và công ty sẽ buộc phải áp dụng xác thực đa yếu tố.
Ian Thornton-Trump, Giám đốc an ninh thông tin tại Cyjax - công ty tình báo về mối đe dọa, cho biết: “Nếu tôi đưa ra một kế hoạch để cải thiện tính bảo mật của công ty mình, cách lý giải hợp lý về điều đó có thể là chúng tôi đã học được một bài học quý giá từ vụ tấn công. Hoặc cũng có thể có ít nhất 11 thiếu sót nghiêm trọng trong hệ thống an ninh hiện hữu của chúng tôi. Tôi cho rằng bản kế hoạch gồm 11 điểm thực sự là sự thừa nhận đã chẳng có gì được đảm bảo trong ngôi nhà “an toàn” này nữa rồi.
Thornton-Trump từng làm việc tại đội an ninh mạng của SolarWinds. Năm 2017, ông rời công ty bởi theo ông công tác quản lý của SolarWinds (Kevin Thompson là Giám đốc điều hành vào thời điểm đó) không muốn chi đủ ngân sách cho an ninh mạng.
Thornton-Trump thừa nhận rằng tin tặc đã đột nhập vào công ty một cách rất tinh vi nên khó ai có thể chống lại chúng. "Nhưng hãy thử tưởng tượng, nếu bạn đang lái xe trong tình trạng say xỉn và trời mưa, bạn tông xe và làm hỏng chiếc xe của mình, thì vì lý do gì chúng ta lại tập trung quá nhiều vào thiệt hại của chiếc xe, thay vì nguồn cơn dẫn đến một loạt các sự kiện gây ra thiệt hại nặng nề đến vậy?”
Liệu việc cải tổ toàn diện các hoạt động an ninh của SolarWinds có phải là sự thừa nhận có gì đó không ổn hay chỉ đơn giản là sự nâng cấp mang tính trách nhiệm?
Ramakrishna cho biết câu trả lời là cả hai. "Thông thường những gì xảy ra là mọi người tiến hành điều tra, rút ra các bài học và sau đó thực hiện vài việc như nâng cấp" - ông nói. "Chúng ta có thể làm mọi thứ tốt hơn không? Hoàn toàn có thể. Và thành thật mà nói, ngay cả sau khi thực hiện 11 điều này, tôi sẽ tìm kiếm 11 điều tiếp theo để thực hiện vì kẻ địch thì càng ngày càng thông minh và tinh vi hơn".
Ramakrishna vẫn luôn băn khoăn tại sao trong số tất cả các công ty phần mềm có thể lựa chọn, Dịch vụ tình báo Nga (SRV) lại nhắm vào SolarWinds.
“Tôi đã nghĩ rất nhiều về việc tại sao lại là chúng tôi mà không phải là ai khác. Và điều đó luôn thôi thúc tôi trong bất kỳ cuộc điều tra nào. Chúng tôi đã triển khai Orion cho hơn 300.000 khách hàng hiện nay. Vì vậy, chúng tôi là phần mềm được triển khai khá rộng rãi và có được các đặc quyền quản trị trong hệ thống của khách hàng. Vậy trong một cuộc tấn công chuỗi cung ứng như này, mục tiêu sẽ là thử lấy một bản phần mềm được triển khai phổ biến nhất và sau đó lựa chọn việc bạn muốn làm.
Bất kể lý do gì khiến SolarWinds là mục tiêu của cuộc tấn công, thì sự kiện này đã tiết lộ sự bất lực đáng kinh ngạc của cộng đồng an ninh mạng Hoa Kỳ trong việc kết nối các dấu hiệu với nhau. Không chỉ những cảnh báo ban đầu từ Volexity hay cuộc điều tra với Palo Alto Networks, mà một phát hiện đơn giản từ một nhà nghiên cứu mạng ở Bangalore cho thấy có điều gì đó không ổn trong thế giới số của chúng ta.
(Còn tiếp)
Lược dịch: NPR
Lược dịch: NPR
Chỉnh sửa lần cuối: