Tin tặc Nga tấn công vào Bộ Ngân khố và Bộ Thương mại Mỹ

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat News #ID:2017, 16/12/20, 10:12 AM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 328
    Đã được thích: 106
    Điểm thành tích:
    43
    Hệ thống email của Bộ Ngân khố và Bộ Thương mại Mỹ đã bị xâm nhập. Đây được xem là một trong những vụ tấn công tinh vi nhất và có thể là lớn nhất trong hơn 5 năm qua. Các vụ xâm nhập khác nhắm vào chính phủ Mỹ cũng đang được điều tra.
    merlin_181209474_37c80834-47aa-4352-8f35-9532200f375b-superJumbo.jpg
    Bộ Ngân khố là một trong những cơ quan bị tin tặc nhắm tới. Patrick Semansky/Associated Press

    Cuối tuần trước, chính quyền Trump thừa nhận các tin tặc được chính phủ nước ngoài hậu thuẫn đã đột nhập vào một loạt các hệ thống mạng quan trọng của chính phủ, bao gồm Bộ Thương mại và Bộ Ngân khố. Theo các chuyên gia, thủ phạm gần như chắc chắn là tình báo Nga và đã chiếm được quyền truy cập vào hệ thống email của các Bộ này.

    Các quan chức cho biết đang tiến hành cuộc điều tra nhằm xác định các cơ quan khác của chính phủ có bị ảnh hưởng bởi cuộc tấn công tinh vi này không. Đây được xem là một trong những cuộc tấn công lớn nhất vào hệ thống chính phủ Mỹ trong vòng 5 năm qua. Một số cơ quan liên quan đến an ninh quốc gia cũng có thể là mục tiêu tấn công, mặc dù chưa rõ hệ thống của các cơ quan này có chứa tài liệu tuyệt mật hay không.

    Chính quyền Trump hiếm khi công bố về các vụ tấn công mạng, điều này cho thấy trong khi chính phủ đang lo lắng về sự can thiệp của Nga vào cuộc bầu cử năm 2020 thì các cơ quan chủ chốt của chính phủ và không liên quan đến cuộc bầu cử mới là mục tiêu tấn công.

    Theo John Ullyot, phát ngôn viên của Hội đồng An ninh Quốc gia Mỹ, “Chúng tôi đang thực hiện tất cả các bước cần thiết để xác định và khắc phục mọi vấn đề có thể xảy ra liên quan đến tình huống này”. Cơ quan an ninh mạng của Bộ An ninh Nội địa thông báo cũng đang tham gia vào cuộc điều tra.

    Bộ Thương mại Mỹ thừa nhận một cơ quan trực thuộc Bộ này đã bị ảnh hưởng nhưng không công bố thông tin chi tiết. Tuy nhiên, Cơ quan Quản lý Thông tin và Viễn thông Quốc gia phụ trách đưa ra chính sách cho các vấn đề liên quan đến internet, bao gồm việc thiết lập các tiêu chuẩn và ngăn chặn xuất nhập khẩu công nghệ, có thể là mục tiêu.

    Đêm ngày 13/12, Bộ An ninh Nội địa đã ra lệnh khẩn cấp cho tất cả các cơ quan ngừng mọi hoạt động sử dụng phần mềm quản lý mạng do công ty SolarWinds sản xuất và cài đặt trên các mạng thuộc các cơ quan chính phủ và các tập đoàn của Mỹ. Đồng thời Bộ này yêu cầu đến trưa ngày 14/12 phần mềm này không còn được sử dụng.

    Nhưng rõ ràng biện pháp này đã quá muộn vì các cuộc xâm nhập đã được tiến hành trong nhiều tháng. Tin tặc đã cài cắm mã độc vào bản cập nhật tự động định kỳ của phần mềm. SolarWinds đã truy vết được cuộc xâm nhập bắt đầu từ mùa xuân năm 2020. Điều đó có nghĩa là các tin tặc đã kiểm soát được hệ thống trong một khoảng thời gian dài, mặc dù chưa xác định được số lượng email đã bị xâm phạm cũng như các hệ thống bị xâm nhập.

    Gần đây, công ty an ninh mạng FireEye đã lần đầu tiên đưa ra cảnh báo khẩn cấp về cuộc tấn công của Nga sau khi hệ thống của chính công ty này bị xuyên thủng. Công ty này cho biết đây là cuộc tấn công dạng chuỗi cung ứng, xảy ra sau khi các sản phẩm bên ngoài được đưa vào mạng máy tính.

    Các chuyên gia vẫn chưa xác định được động cơ tấn công nhằm vào Bộ Thương mại và Bộ Ngân khố. Một quan chức chính phủ cho biết còn quá sớm để cho biết mức độ thiệt hại của các cuộc tấn công và số tài liệu bị mất, nhưng có thể các cuộc tấn công đã được tiến hành sớm nhất là vào mùa xuân này và kéo dài trong nhiều tháng của đại dịch và mùa bầu cử mà không hề bị phát hiện.

    Tin tức về vụ tấn công được đưa ra chưa đầy một tuần sau khi Cơ quan An ninh Quốc gia Mỹ (N.S.A.), cơ quan chịu trách nhiệm đột nhập vào các mạng máy tính nước ngoài và bảo vệ các hệ thống an ninh quốc gia nhạy cảm nhất của Mỹ, đưa ra cảnh báo “những kẻ tấn công do chính phủ Nga bảo trợ” đang khai thác các lỗ hổng trong một hệ thống được chính phủ sử dụng rộng rãi.

    Vào thời điểm đó, N.S.A. từ chối cung cấp thêm chi tiết về cảnh báo khẩn cấp trên. Ngay sau đó, FireEye thông báo các tin tặc làm việc cho nhà nước đã đánh cắp một số công cụ dùng để tìm kiếm lỗ hổng trong hệ thống của khách hàng, bao gồm chính phủ. Kết quả cuộc điều tra chỉ ra S.V.R., một trong những cơ quan tình báo hàng đầu của Nga. Cơ quan này còn có tên gọi khác là Cozy Bear hoặc A.P.T. 29 chuyên thu thập thông tin tình báo truyền thống.

    FireEye sử dụng các công cụ và kỹ thuật của mình để “tấn công” vào hệ thống của khách hàng (bao gồm Bộ An ninh Nội địa và các cơ quan tình báo), từ đó tìm kiếm và vá lỗ hổng bảo mật. Vì vậy, những tin tặc đã đánh cắp các công cụ của FireEye đã bổ sung vào kho “vũ khí tấn công” của chúng. Nhưng có thể FireEye không phải là nạn nhân duy nhất của tin tặc.

    Các nhà điều tra tin rằng một chiến dịch toàn cầu liên quan đến việc tin tặc cài cắm mã độc vào các bản cập nhật định kỳ của phần mềm được sử dụng để quản lý mạng của công ty có tên SolarWinds. Các sản phẩm của công ty này được sử dụng rộng rãi trong các mạng tập đoàn lớn và chính phủ Mỹ và phần mềm độc hại đã được thiết kế cực kỳ tinh vi và cẩn thận để tránh bị phát hiện.

    FireEye có hơn 300.000 khách hàng, bao gồm hầu hết các công ty nằm trong danh sách Fortune 500 của Hoa Kỳ. Tuy nhiên chưa xác định được số lượng các công ty sử dụng nền tảng Orion mà tin tặc Nga đã xâm nhập, hay tất cả đều là mục tiêu.

    Nếu được xác nhận, đây sẽ là vụ đánh cắp dữ liệu của chính phủ Mỹ tinh vi nhất của Matxcơva kể từ chiến dịch kéo dài hai năm 2014 và 2015, trong đó các cơ quan tình báo Nga đã giành được quyền truy cập vào các hệ thống email tại Nhà Trắng, Bộ Ngoại giao và Bộ Tham mưu liên quân. Phải mất nhiều năm để khắc phục thiệt hại, nhưng Tổng thống Barack Obama vào thời điểm đó quyết định không chỉ đích danh Nga là thủ phạm - một động thái mà nhiều người lúc đó coi là sai lầm.

    Nhóm tin tặc đã tiếp tục xâm nhập hệ thống của Ủy ban Quốc gia đảng Dân chủ và các quan chức hàng đầu trong chiến dịch tranh cử của Hillary Clinton, gây ra nỗi sợ hãi bao trùm cả hai cuộc tranh cử trong năm 2016 và 2020. Một cơ quan tình báo khác của Nga, G.R.U., được cho là đứng sau việc công khai các email bị tấn công tại Ủy ban Quốc gia đảng Dân chủ.

    Theo Dmitri Alperovitch, người đồng sáng lập CrowdStrike, một công ty an ninh mạng tham gia điều tra trong vụ tấn công vào hệ thống Ủy ban Quốc gia Đảng Dân chủ bốn năm trước, “Không giống các vụ tấn công vào năm 2014 -2015, rất nhiều nạn nhân của cuộc tấn công lần này là các cơ quan chính phủ cũng như các công ty tư nhân”.

    Nga là một trong nhiều quốc gia đã tấn công các cơ sở nghiên cứu và công ty dược phẩm của Mỹ. Mùa hè năm nay, công ty Symantec Corporation cảnh báo một nhóm tin tặc của Nga đang khai thác sự thay đổi đột ngột trong thói quen làm việc của người Mỹ do đại dịch để lây lan mã độc tống tiền vào mạng công ty, tập đoàn với tốc độ và phạm vi chưa từng có.

    Theo các nhà điều tra, cuộc tấn công vào FireEye dẫn đến một cuộc điều tra rộng rãi hơn vào các mục tiêu mà tin tặc Nga có thể đã xâm nhập. FireEye đã cung cấp một số đoạn mã máy tính quan trọng cho N.S.A. và Microsoft, cũng đang điều tra các cuộc tấn công tương tự vào các hệ thống chính phủ. Điều này đã dẫn đến cảnh báo khẩn cấp vào tuần trước.

    Đại sứ quán Nga tại Washington vào tối ngày 13/12 đã phủ nhận mối liên hệ của Nga với bất kỳ vụ tấn công nào vào chính phủ Mỹ. Cơ quan này tuyên bố “không tiến hành các hoạt động tấn công mạng”.

    Hầu hết các vụ tấn công đều nhắm đến việc đánh cắp tên người dùng và mật khẩu, nhưng lần này phức tạp hơn nhiều. Khi tin tặc đã xâm nhập thành công vào phần mềm quản lý mạng SolarWinds và có thể đã chèn "token" giả mạo dùng để xác thực cho Microsoft, Google hoặc các nhà cung cấp khác về danh tính của hệ thống máy tính mà các email trao đổi. Bằng cách sử dụng một lỗ hổng rất khó phát hiện, các tin tặc đã có thể đánh lừa hệ thống này và giành quyền truy cập mà không bị phát hiện.

    Không thể xác định chính xác thông tin đã bị trích xuất; tình huống này gợi nhớ đến vụ tấn công của Trung Quốc vào Văn phòng Quản lý Nhân sự Mỹ, kéo dài từ năm 2014 đến 2015, với hơn 22 triệu tệp thông tin bảo mật và năm triệu dấu vân tay bị đánh cắp.

    Cuộc tấn công này thực tế là một nỗ lực thu thập dữ liệu rộng hơn nhiều của Bắc Kinh, liên quan đến hành vi đánh cắp từ Khách sạn Starwood của Marriott, cơ sở dữ liệu bảo hiểm Anthem và Equifax - một trong ba công ty theo dõi báo cáo tài chính lớn nhất nước Mỹ.

    Lịch sử đánh cắp dữ liệu từ chính phủ Mỹ của Nga trải dài hơn hai thập kỷ và dẫn đến việc thành lập Bộ Tư lệnh Không gian mạng Mỹ, lực lượng tác chiến mạng của Lầu Năm Góc. Ngay từ giữa những năm 1990, F.B.I. đã được lệnh tiến hành một cuộc điều tra về các mạng lưới bao gồm Phòng thí nghiệm Quốc gia Los Alamos và Sandia, cơ quan phụ trách thiết kế vũ khí hạt nhân.

    Theo suy nghĩ của một số chuyên gia, hoạt động của Nga, với tên gọi là Mê cung ánh trăng, sẽ không bao giờ thực sự kết thúc.

    Theo Nytimes
    _______________
    Bài viết liên quan:

     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan