Việt Nam trở thành nạn nhân của kiểu tấn công chuỗi cung ứng

Tương tự chiến dịch SolarWinds tại Mỹ, kẻ tấn công cũng tìm kiếm nạn nhân ở Việt Nam thông qua việc cài cắm mã độc vào một website chính phủ.

Theo ZDNet, các nhà nghiên cứu của hãng bảo mật ESET (Slovakia) phát hiện một cuộc tấn công nhắm vào Cục Chứng thực số và Bảo mật thông tin (VGCA) bằng cách khai thác bộ công cụ chữ ký số của cơ quan này.

Việt Nam đã triển khai việc sử dụng chữ ký số và VGCA là nhà cung cấp chứng chỉ được ủy quyền. Cơ quan này cũng phát triển và phân phối bộ công cụ chữ ký số và các chứng chỉ mật mã được sử dụng để ký tài liệu. Tuy nhiên, trong khoảng thời gian từ 23/7 đến 16/8, tội phạm mạng đã khai thác, sửa đổi hai trình cài đặt phần mềm được lưu trữ trên trang web của VGCA để cài chương trình gián điệp gọi là PhantomNet/Smanager.

Hai trình cài đặt này hoạt động với hệ thống Windows 32 bit và 64 bit, và người dùng có thể truy cập website VGCA để tải xuống. ESET đã phát hiện các trình cài đặt chứa mã độc được tải từ website qua giao thức HTTPS, nhưng chưa xác định số lượt tải là bao nhiêu. Sau khi thâm nhập vào máy tính nạn nhân, mã độc sẽ chạy cửa hậu PhantomNet và giả dạng như một tệp thông thường có tên eToken.exe để theo dõi các hoạt động trên thiết bị.

ESET gửi thông báo tới Cục Chứng thực số từ đầu tháng 12, nhưng cơ quan này đã biết trước về cuộc tấn công. ESET cũng xác nhận, mã độc đã được gỡ bỏ khỏi trình cài đặt phần mềm từ cuối tháng 8. Hãng bảo mật Slovakia không quy vụ tấn công cho bất kỳ nhóm hacker cụ thể nào, nhưng các báo cáo trước đây liên kết phần mềm độc hại PhatomNet/Smanager với các hoạt động gián điệp mạng do nhà nước Trung Quốc tài trợ.

Các nhóm hacker đang đẩy mạnh kiểu tấn công chuỗi cung ứng, tức không trực tiếp tấn công mục tiêu mà đi đường vòng qua các nhà cung ứng dịch vụ cho tổ chức mục tiêu đó. Ảnh: Welivesecurity.

Các nhóm hacker đang đẩy mạnh kiểu tấn công chuỗi cung ứng, tức không trực tiếp tấn công mục tiêu mà đi đường vòng qua các nhà cung ứng dịch vụ cho tổ chức mục tiêu đó. Ảnh: Welivesecurity.

Chiến dịch trên được đặt tên là SignSight, diễn ra tương tự chiến dịch tấn công mạng lớn nhất thập kỷ đang gây chấn động tại Mỹ. Hàng loạt cơ quan chính phủ và doanh nghiệp Mỹ đã bị tấn công qua hình thức tin tặc cài cắm mã độc vào bản cập nhật phần mềm SolarWinds Orion. SolarWinds là công ty chuyên cung cấp phần mềm quản trị mạng cho nhiều cơ quan chính phủ và doanh nghiệp lớn của Mỹ.

SolarWinds thừa nhận có khoảng 18.000 khách hàng đã tải về bản cập nhật chứa mã độc nói trên và cho rằng đây là chiến dịch của một “quốc gia bên ngoài”. Các nạn nhân có thể kể đến như Bộ Quốc phòng, Bộ An ninh nội địa, Bộ Ngoại giao, Bộ Tài chính, Bộ Năng lượng và Bộ Thương mại của Mỹ.

Theo hãng bảo mật Fortinet, đây là kiểu tấn công thông qua chuỗi cung ứng. Đại diện hãng nêu ví dụ, để hạ uy tín một nhà hàng, thay vì trực tiếp đầu độc món ăn tại nhà hàng, kẻ xấu có thể đi đường vòng bằng cách nhắm vào các đơn vị cung cấp thực phẩm cho nhà hàng đó. Trong vụ SolarWinds, các hacker không trực tiếp tấn công các tổ chức chính phủ Mỹ, mà cài cắm mã độc vào bản cập nhật SolarWinds Orion – phần mềm quản trị mạng phổ biến.

“Sau khi tải xuống, mã độc sẽ nằm im trong 12 – 14 ngày trước khi âm thầm thực hiện bất kỳ hành động nào”, Fortinet cho biết. Theo AP, giới bảo mật đánh giá SolarWinds là cuộc tấn công lớn nhất nhắm vào Mỹ trong một thập kỷ qua và tin tặc có thể đã đánh cắp nhiều bí mật quan trọng của chính phủ.

Minh Minh

Nguồn : vnexpress.net