Tin tặc Nga bị tình nghi đã sử dụng nhà cung cấp của Microsoft để xâm phạm khách hàng

TechnologyTin ICT

Các nhà điều tra cho biết, các tin tặc Nga bị nghi ngờ đứng sau vụ tấn công mạng tồi tệ nhất của Mỹ trong nhiều năm đã tận dụng quyền truy cập của người bán lại vào các dịch vụ của Microsoft Corp để xâm nhập các mục tiêu không có phần mềm mạng bị xâm phạm từ SolarWinds Corp.

Trong khi các bản cập nhật cho phần mềm SolarWinds ’Orion trước đây là điểm truy cập duy nhất được biết đến, công ty bảo mật CrowdStrike Holdings Inc cho biết hôm thứ Năm các tin tặc đã giành được quyền truy cập vào nhà cung cấp đã bán giấy phép Office và sử dụng nó để cố đọc email của CrowdStrike.

Nó không xác định cụ thể những tin tặc có phải là kẻ đã xâm nhập SolarWinds hay không, nhưng hai người quen thuộc với cuộc điều tra của CrowdStrike cho biết họ có. CrowdStrike sử dụng các chương trình Office để xử lý văn bản nhưng không sử dụng email. Nỗ lực thất bại, được thực hiện vài tháng trước, đã được Microsoft chỉ ra cho CrowdStrike vào ngày 15 tháng 12. CrowdStrike, không sử dụng SolarWinds, cho biết họ không tìm thấy tác động nào từ nỗ lực xâm nhập và từ chối nêu tên người bán lại. “Họ đã xâm nhập thông qua quyền truy cập của người bán lại và cố gắng bật đặc quyền” đọc “thư”, một trong những người quen thuộc với cuộc điều tra nói với Reuters. “Nếu nó đã sử dụng Office 365 cho email, nó sẽ kết thúc cuộc chơi.” Nhiều giấy phép phần mềm của Microsoft được bán thông qua các bên thứ ba và những công ty đó có thể có quyền truy cập gần như liên tục vào hệ thống của khách hàng khi khách hàng thêm sản phẩm hoặc nhân viên.

Microsoft cho biết hôm thứ Năm rằng những khách hàng đó cần phải cảnh giác. Giám đốc cấp cao của Microsoft Jeff Jones cho biết: “Cuộc điều tra của chúng tôi về các cuộc tấn công gần đây đã phát hiện ra các sự cố liên quan đến việc lạm dụng thông tin đăng nhập để có được quyền truy cập, có thể xảy ra dưới nhiều hình thức. “Chúng tôi chưa xác định được bất kỳ lỗ hổng hoặc sự xâm phạm nào đối với sản phẩm hoặc dịch vụ đám mây của Microsoft.” Việc sử dụng một người bán lại của Microsoft để cố gắng đột nhập vào một công ty quốc phòng kỹ thuật số hàng đầu đặt ra câu hỏi mới về việc có bao nhiêu con đường mà các tin tặc, những người mà các quan chức Hoa Kỳ cáo buộc đang hoạt động thay mặt cho chính phủ Nga, theo ý của họ.

Các nạn nhân được biết cho đến nay bao gồm đối thủ an ninh CrowdStrike FireEye Inc và Bộ Quốc phòng, Nhà nước, Thương mại, Kho bạc và An ninh Nội địa Hoa Kỳ. Các công ty lớn khác, bao gồm Microsoft và Cisco Systems Inc, cho biết họ đã tìm thấy phần mềm SolarWinds bị nhiễm bẩn trong nội bộ nhưng không tìm thấy dấu hiệu cho thấy tin tặc đã sử dụng nó để phủ sóng rộng rãi trên mạng của họ. Cho đến nay, SolarWinds có trụ sở tại Texas là kênh duy nhất được xác nhận công khai cho các vụ đột nhập ban đầu, mặc dù các quan chức đã cảnh báo trong nhiều ngày rằng tin tặc có những cách khác.

Một tuần trước có tin rằng các sản phẩm của Microsoft đã được sử dụng trong các cuộc tấn công. Microsoft sau đó ám chỉ rằng khách hàng của họ vẫn nên cảnh giác. Ở phần cuối của một bài đăng blog kỹ thuật dài vào thứ Ba, nó đã sử dụng một câu để đề cập đến việc tin tặc tiếp cận Microsoft 365 Cloud “từ tài khoản nhà cung cấp đáng tin cậy nơi kẻ tấn công đã xâm phạm môi trường của nhà cung cấp”.

Microsoft yêu cầu các nhà cung cấp của mình có quyền truy cập vào hệ thống khách hàng để cài đặt sản phẩm và cho phép người dùng mới. Nhưng việc phát hiện ra nhà cung cấp nào vẫn có quyền truy cập tại bất kỳ thời điểm nào là rất khó nên CrowdStrike đã phát triển và phát hành một công cụ kiểm tra để thực hiện điều đó. Sau một loạt vụ vi phạm khác thông qua các nhà cung cấp dịch vụ đám mây, bao gồm cả một loạt vụ tấn công được cho là do các tin tặc được chính phủ Trung Quốc hậu thuẫn và được gọi là CloudHopper, Microsoft năm nay đã áp đặt các biện pháp kiểm soát mới đối với các đại lý của mình, bao gồm các yêu cầu về xác thực đa yếu tố. Cơ quan An ninh mạng và Cơ sở hạ tầng và Cơ quan An ninh Quốc gia không có bình luận ngay lập tức.

Cũng vào thứ Năm, SolarWinds đã phát hành bản cập nhật để sửa các lỗ hổng trong phần mềm quản lý mạng hàng đầu Orion sau khi phát hiện ra nhóm tin tặc thứ hai đã nhắm mục tiêu vào các sản phẩm của công ty. Điều đó theo sau một bài đăng trên blog riêng của Microsoft vào thứ Sáu nói rằng SolarWinds đã bị nhắm mục tiêu bởi một nhóm tin tặc thứ hai và không liên quan ngoài những kẻ có liên quan đến Nga.

Danh tính của nhóm tin tặc thứ hai, hoặc mức độ mà chúng có thể đã đột nhập thành công ở bất kỳ đâu, vẫn chưa rõ ràng. Nga đã phủ nhận bất kỳ vai trò nào trong vụ hack.

Theo Reuters

BÀI VIẾT LIÊN QUAN

Bạn quan tâm ?

Menu