WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Công ty an ninh mạng FireEye bị hack
FireEye, một trong những công ty an ninh mạng lớn nhất nước Mỹ, vừa cho biết tin tặc của chính phủ nước ngoài với “năng lực đẳng cấp thế giới” đã đột nhập vào mạng của họ và đánh cắp các công cụ mà họ sử dụng để kiểm tra khả năng phòng thủ của hàng nghìn khách hàng, bao gồm cả liên bang, tiểu bang, chính quyền địa phương và các tập đoàn lớn trên toàn cầu.
Các tin tặc “chủ yếu tìm kiếm thông tin liên quan đến một số khách hàng chính phủ nhất định”, Giám đốc điều hành của FireEye, Kevin Mandia, cho biết. Theo ông, không có dấu hiệu nào cho thấy tin tặc đã lấy được thông tin khách hàng từ các doanh nghiệp tư vấn hoặc ứng phó sự cố của công ty hoặc dữ liệu tình báo về mối đe dọa mà họ thu thập.
"Tôi kết luận rằng chúng ta đang chứng kiến cuộc tấn công của một quốc gia có năng lực tấn công hàng đầu. Nó khác với hàng chục nghìn sự cố mà chúng tôi đã đối phó trong nhiều năm qua".
Vụ tấn công của FireEye, một công ty có nhiều hợp đồng kinh doanh trong lĩnh vực an ninh quốc gia ở Mỹ và các đồng minh, là một trong những vụ vi phạm đáng kể nhất gần đây.
“Tôi nghĩ rằng những gì chúng tôi biết về hoạt động này phù hợp với một tổ chức nhà nước Nga”, cựu hacker NSA Jake Williams, chủ tịch của Rendition Infosec, cho biết. “Cho dù dữ liệu khách hàng có bị truy cập hay không thì đó vẫn là một chiến thắng lớn cho Nga”.
Vụ xâm nhập vào FireEye được tiết lộ trong một bài đăng trên blog do Mandia viết. Bài đăng cho biết "các công cụ của Red Team" đã bị đánh cắp. Không rõ chính xác thời điểm ban đầu diễn ra vụ tấn công.
Ngoài việc đánh cắp các công cụ, tin tặc cũng tỏ ra quan tâm đến một nhóm nhỏ khách hàng của FireEye: các cơ quan chính phủ.
Mandia đã viết: “Chúng tôi hy vọng rằng bằng cách chia sẻ chi tiết cuộc điều tra, toàn bộ cộng đồng sẽ được trang bị tốt hơn để chiến đấu và đánh bại các cuộc tấn công mạng”.
Chưa có bằng chứng nào cho thấy các công cụ tấn công của FireEye đã bị sử dụng hoặc dữ liệu khách hàng đã bị trích xuất. Nhưng cuộc điều tra, bao gồm sự trợ giúp từ FBI và Microsoft, mới chỉ đang ở giai đoạn đầu.
Người phát ngôn của Microsoft cho biết: “Sự cố này cho thấy lý do tại sao ngành bảo mật phải làm việc cùng nhau để bảo vệ và ứng phó với các mối đe dọa từ những kẻ thù được tài trợ tốt với các kỹ thuật tấn công mới và tinh vi”.
Bộ công cụ gián điệp máy tính bị đánh cắp nhắm vào vô số lỗ hổng khác nhau trong các sản phẩm phần mềm phổ biến. Vẫn chưa rõ chính xác hệ thống nào có thể bị ảnh hưởng.
Nhưng theo Mandia, không có công cụ nào của Red Team khai thác cái gọi là “lỗ hổng zero day”, có nghĩa là các lỗ hổng liên quan đều đã được công khai.
Các chuyên gia cho biết khó có thể đo lường tác động của vụ rò rỉ công cụ hack tập trung vào các lỗ hổng phần mềm đã biết. Khi một công ty tư nhân biết về lỗ hổng trong sản phẩm phần mềm của mình, họ thường cố gắng đưa ra "bản vá" hoặc nâng cấp để vô hiệu hóa vấn đề. Tuy nhiên, không phải lúc nào người dùng cũng tải về các bản vá lỗi này ngay, khiến họ có nguy cơ bị tấn công hàng tháng hoặc hàng tuần.
“Chúng tôi không chắc liệu kẻ tấn công có ý định sử dụng các công cụ của Red Team hay tiết lộ công khai chúng hay không”, Mandia cho biết.
Các tin tặc “chủ yếu tìm kiếm thông tin liên quan đến một số khách hàng chính phủ nhất định”, Giám đốc điều hành của FireEye, Kevin Mandia, cho biết. Theo ông, không có dấu hiệu nào cho thấy tin tặc đã lấy được thông tin khách hàng từ các doanh nghiệp tư vấn hoặc ứng phó sự cố của công ty hoặc dữ liệu tình báo về mối đe dọa mà họ thu thập.
"Tôi kết luận rằng chúng ta đang chứng kiến cuộc tấn công của một quốc gia có năng lực tấn công hàng đầu. Nó khác với hàng chục nghìn sự cố mà chúng tôi đã đối phó trong nhiều năm qua".
Vụ tấn công của FireEye, một công ty có nhiều hợp đồng kinh doanh trong lĩnh vực an ninh quốc gia ở Mỹ và các đồng minh, là một trong những vụ vi phạm đáng kể nhất gần đây.
“Tôi nghĩ rằng những gì chúng tôi biết về hoạt động này phù hợp với một tổ chức nhà nước Nga”, cựu hacker NSA Jake Williams, chủ tịch của Rendition Infosec, cho biết. “Cho dù dữ liệu khách hàng có bị truy cập hay không thì đó vẫn là một chiến thắng lớn cho Nga”.
Vụ xâm nhập vào FireEye được tiết lộ trong một bài đăng trên blog do Mandia viết. Bài đăng cho biết "các công cụ của Red Team" đã bị đánh cắp. Không rõ chính xác thời điểm ban đầu diễn ra vụ tấn công.
Ngoài việc đánh cắp các công cụ, tin tặc cũng tỏ ra quan tâm đến một nhóm nhỏ khách hàng của FireEye: các cơ quan chính phủ.
Mandia đã viết: “Chúng tôi hy vọng rằng bằng cách chia sẻ chi tiết cuộc điều tra, toàn bộ cộng đồng sẽ được trang bị tốt hơn để chiến đấu và đánh bại các cuộc tấn công mạng”.
Chưa có bằng chứng nào cho thấy các công cụ tấn công của FireEye đã bị sử dụng hoặc dữ liệu khách hàng đã bị trích xuất. Nhưng cuộc điều tra, bao gồm sự trợ giúp từ FBI và Microsoft, mới chỉ đang ở giai đoạn đầu.
Người phát ngôn của Microsoft cho biết: “Sự cố này cho thấy lý do tại sao ngành bảo mật phải làm việc cùng nhau để bảo vệ và ứng phó với các mối đe dọa từ những kẻ thù được tài trợ tốt với các kỹ thuật tấn công mới và tinh vi”.
Bộ công cụ gián điệp máy tính bị đánh cắp nhắm vào vô số lỗ hổng khác nhau trong các sản phẩm phần mềm phổ biến. Vẫn chưa rõ chính xác hệ thống nào có thể bị ảnh hưởng.
Nhưng theo Mandia, không có công cụ nào của Red Team khai thác cái gọi là “lỗ hổng zero day”, có nghĩa là các lỗ hổng liên quan đều đã được công khai.
Các chuyên gia cho biết khó có thể đo lường tác động của vụ rò rỉ công cụ hack tập trung vào các lỗ hổng phần mềm đã biết. Khi một công ty tư nhân biết về lỗ hổng trong sản phẩm phần mềm của mình, họ thường cố gắng đưa ra "bản vá" hoặc nâng cấp để vô hiệu hóa vấn đề. Tuy nhiên, không phải lúc nào người dùng cũng tải về các bản vá lỗi này ngay, khiến họ có nguy cơ bị tấn công hàng tháng hoặc hàng tuần.
“Chúng tôi không chắc liệu kẻ tấn công có ý định sử dụng các công cụ của Red Team hay tiết lộ công khai chúng hay không”, Mandia cho biết.
Theo The Guardian