Mới đây, công ty Microsoft đã phát hiện ra một nhóm tin tặc khác tham gia vào việc tấn công phần mềm Orion của công ty SolarWinds. Phần mềm Orion được sử dụng trong nhiều cơ quan Chính phủ Mỹ và các công ty nổi tiếng.

(Ảnh: Travel_with_me/ Shutterstock)

Hôm 18/12, công ty Microsoft cho biết họ đã tìm thấy một phần mềm độc hại khác tấn công sản phẩm Orion của công ty SolarWinds, nhưng nó có thể không liên quan đến vụ tấn công mạng mới đây vào SolarWinds. Thông tin cho rằng phần mềm độc hại này có khả năng đến từ một tổ chức tin tặc khác.

Microsoft sử dụng phần mềm Orion của SolarWinds là nền tảng quản lý tài nguyên, nên hệ thống của khách hàng cũng có khả năng bị xâm nhập thông qua việc tấn công thành công phần mềm này. Ngày 17/12, Cơ quan an ninh mạng của Bộ An ninh Nội địa Mỹ (DHS) đã đưa ra thông báo bảo mật rằng, một số dịch vụ đám mây Microsoft Azure có thể bị xâm nhập bởi tội phạm mạng và chuyển người dùng đến hệ thống của họ.

Microsoft cho biết, “Như các khách hàng SolarWinds khác, chúng tôi đã phát hiện tệp chứa mã độc trong môi trường hệ thống của chúng tôi, và đã cô lập và loại bỏ chúng”, “chúng tôi không phát hiện bất kỳ sự tấn công nào đến người dùng khác qua hệ thống này”. Tuy nhiên, theo nguồn tin từ Reuters, tin tặc đã sử dụng dịch vụ đám mây của Microsoft, mà không qua hạ tầng mạng của công ty.

Trong quá trình điều tra vụ tấn công vào phần mềm của SolarWinds, Microsoft đã xác định được 40% lượng khách hàng của họ bị ảnh hưởng bởi đợt tấn công này. Trong đó 80% khách hàng bị ảnh hưởng ở Mỹ, còn lại ở 7 nước khác bao gồm Canada, Mexico, Belgium, Spain, United Kingdom, Israel và UAE.

Danh sách nạn nhân trong đợt tấn công này không chỉ có các tổ chức chính phủ (18%), mà còn các công ty về công nghệ (lớn nhất với 44%), các tổ chức phi chính phủ và các tổ chức khoa học (18%), nhà thầu chính phủ (18%) và các tổ chức khác (11%).

Công ty SolarWinds cho biết, “Mã phần mềm độc hại cho phép kẻ tấn công có thể dễ dàng gửi và thực thi các chương trình C# tới mục tiêu. Phần mềm chống vi-rút Microsoft Defender phát hiện rằng file DLL bị tấn công là Trojan:MSIL/Solorigate.G!dha”.

Trước đó (ngày 13/12), công ty SolarWinds đã đưa ra thông báo cho biết phần mềm Orion của công ty sau khi cập nhật đã bị tin tặc cấp quốc gia tấn công, mã độc được chèn vào khiến tin tặc xâm nhập hệ thống mạng của khách hàng.

Cơ quan an ninh mạng của Bộ An ninh Nội địa Mỹ (DHS) tuyên bố rằng mức độ nghiêm trọng của cuộc tấn công mạng vượt quá dự kiến của họ trước đó, hành vi của tin tặc liên quan đến phá hủy chuỗi cung ứng, và việc loại bỏ nó khá phức tạp và khó khăn.

Các cơ quan khác như Văn phòng Giám đốc Tình báo Quốc gia Mỹ, Cơ quan An ninh mạng của Bộ An ninh Nội địa Mỹ và các cơ quan tình báo khác đều cho biết cuộc tấn công mạng “vẫn đang tiếp diễn”, mạng nội bộ của Chính phủ Liên bang đã bị ảnh hưởng.

Ngày 21/12, Bộ trưởng Tài chính Mỹ Steven Mnuchin tuyên bố rằng phát hiện một lượng ít truy cập trái phép vào các hệ thống không bảo mật của Bộ Tài chính, còn các hệ thống có bảo mật thì không bị xâm nhập, và không thấy bất kỳ lượng lớn thông tin nào đã được chuyển đi.

Một thông tin gần đây của WSJ (The Wall Street Journal) nhấn mạnh những công ty lớn đang sử dụng sử dụng phần mềm Orion như gã khổng lồ công nghệ như Cisco Systems Inc, Intel Corp, và Nvidia Corp, VMware Inc, Belkin International Inc, và Đại học Bang Kent (Kent State University).

Trong một phản hồi, người phát ngôn của Cisco cho hay hiện vẫn chưa biết cuộc tấn công mạng này sẽ có tác động gì đến các sản phẩm liên quan của Cisco, dù đã phát hiện phần mềm độc hại trong hệ thống của nhân viên. Các công ty khác cũng xác nhận với WSJ rằng họ đã tìm thấy phần mềm độc hại. Còn người phát ngôn của Đại học bang Kent cho biết đã phát hiện ra và đang đánh giá sự cố nghiêm trọng này.

Trí Đức

Xem thêm: