Hacker Trung Quốc tấn công phần mềm email Exchange của Microsoft

Giúp NTDVN sửa lỗi

Microsoft cho biết các doanh nghiệp và cơ quan chính phủ ở Hoa Kỳ đang sử dụng dịch vụ email của hãng này gần đây đã bị hacker tấn công. Theo nhận định ban đầu, chiến dịch tấn công email này rất có thể được tài trợ bởi chính phủ Trung Quốc.

Một nhóm hacker người Trung Quốc có tên là Hafnium, đây là “một nhóm được cho là do nhà nước bảo trợ và hoạt động bên ngoài Trung Quốc”, đứng đằng sau vụ đột nhập này.

Công ty cho biết, các tin tặc đã khai thác một loạt bốn lỗ hổng trong phần mềm Exchange của Microsoft để đột nhập vào tài khoản email và đọc tin nhắn cũng như cài đặt phần mềm trái phép. Các chuyên gia an ninh mạng gọi các lỗ hổng này là zero days vì chúng dựa trên các lỗi phần mềm chưa từng được tiết lộ trước đây, cho thấy mức độ tinh vi cực cao của các tin tặc.

Theo Volexity, công ty an ninh mạng đã phát hiện ra vụ hack, các tin tặc đã âm thầm đánh cắp email từ một số cá nhân, khai thác một lỗi phần mềm cho phép chúng truy cập vào máy chủ email mà không cần mật khẩu. Sự việc này đã manh nha từ đầu tháng 1 năm nay.

Đến cuối tháng 2, các tin tặc đã leo thang, bắt đầu đan nhiều lỗ hổng lại với nhau và tấn công một lượng lớn các nạn nhân.

Để bảo vệ người tiêu dùng, Microsoft đã cung cấp một bản vá phần mềm để sửa lỗi. Tuy nhiên, một vài ngày trước đó, các tin tặc đã thay đổi chiến thuật, họ từ bỏ tính năng tàng hình và bắt đầu sử dụng phần mềm tự động để quét Internet nhằm tìm ra các máy chủ dễ bị tấn công và tiến hành lây nhiễm. Ông Steven Adair, người sáng lập Volexity nói: “Những kẻ tấn công đã đạt được một kỷ lục trong cuối tuần qua. Chúng đã tấn công mọi máy chủ Exchange mà chúng tìm được trên internet".

Kể từ khi thông tin về vụ tấn công này bị tiết lộ, các tin tặc khác không liên quan đến Hafnium cũng bắt đầu khai thác các lỗ hổng kể trên để tấn công các tổ chức chưa vá hệ thống. Công ty cho biết: “Microsoft tiếp tục nhận thấy việc sử dụng các lỗ hổng này ngày càng gia tăng trong các cuộc tấn công của các hacker nhắm vào các hệ thống chưa được vá”.

Cuộc tấn công tinh vi này đang dần trở thành khủng hoảng an ninh mạng toàn cầu khi tin tặc chạy đua để lây nhiễm càng nhiều nạn nhân càng tốt trước khi các công ty kịp “vá” lỗ hổng hệ thống máy tính của họ.

Hàng nghìn khách hàng của Microsoft có thể đã trở thành nạn nhân của cuộc tấn công liên quan đến Trung Quốc

Trong vụ đột nhập mà Microsoft nghi vấn là do hacker Trung Quốc gây ra này, ước tính có khoảng hàng chục nghìn khách hàng đã bị ảnh hưởng, con số thực tế có thể còn lớn hơn, thậm chí có thể cao hơn 250.000. Hệ thống Exchange này đang được nhiều đối tượng khách hàng sử dụng, từ các doanh nghiệp nhỏ, chính quyền địa phương, tiểu bang cho đến các nhà thầu quân sự. Microsoft cho biết họ chưa xác định được hành vi trộm cắp này đã lan rộng đến mức nào.

Ban đầu, các tin tặc Trung Quốc dường như chỉ nhắm vào các mục tiêu tình báo có giá trị cao ở Hoa Kỳ, ông Adair nói. Sau đó, mọi thứ đã thay đổi. Các nhóm hacker khác bắt đầu tấn công hàng nghìn nạn nhân trong một thời gian ngắn, chèn các phần mềm ẩn để ăn cắp quyền truy cập, ông nói.

Các nhóm hacker khác có thể đã phát hiện ra các lỗ hổng tương tự và bắt đầu “chiến dịch” tấn công của riêng họ - hoặc Trung Quốc có thể muốn có thêm càng nhiều nạn nhân càng tốt, sau đó sẽ phân loại những thứ có giá trị tình báo, ông Adair cho biết.

"Các hacker bình thường tấn công xấp xỉ 100 lần/tháng thì nay là hàng nghìn lần chỉ trong một ngày nhằm đánh sập các máy chủ của chúng tôi"...
Ban đầu, các tin tặc Trung Quốc dường như chỉ nhắm vào các mục tiêu tình báo có giá trị cao ở Hoa Kỳ. (Shutterstock)

Ngân hàng Châu Âu đã là một nạn nhân gần đây nhất của những tin tặc này. Hôm 7 tháng 3 vừa qua, họ thông báo rằng quyền truy cập vào dữ liệu cá nhân thông qua các email được lưu trữ trên máy chủ của Microsoft của ngân hàng có thể đã bị xâm phạm. Những nạn nhân khác được xác định cho đến nay gồm một danh sách dài các ngân hàng, các nhà cung cấp điện, các viện dưỡng lão và một công ty kem, theo thông tin từ một bài đăng trên blog hôm 5 tháng 3 của Huntress - một công ty có trụ sở tại Ellicott City, Maryland, Mỹ.

Ông Adair cho biết do phạm vi rộng của cuộc tấn công, nhiều người dùng Exchange có thể đã bị xâm phạm. “Ngay cả đối với những người vá lỗi này nhanh nhất có thể, thì khả năng rất cao là họ đã bị xâm phạm”.

Mặc dù một số người bị tấn công có thể không có nhiều giá trị tình báo đối với các hacker, nhưng họ vẫn có khả năng đã lọt vào các mục tiêu gián điệp có giá trị cao.

Cuộc tấn công đã nhanh chóng leo thang suốt nhiều tháng sau khi tập đoàn SolarWinds bị hacker bị nghi là của Nga xâm phạm, gây ra mối lo lắng đối với các quan chức an ninh quốc gia Mỹ, lý do là những tin tặc này có khả năng tấn công nhiều nạn nhân trong thời gian quá nhanh. Các nhà nghiên cứu cho biết trong giai đoạn cuối của vụ tấn công, thủ phạm dường như đã tự động hóa quá trình, truy quét hàng chục nghìn nạn nhân mới trên khắp thế giới chỉ trong vài ngày.

Khắc phục sự cố

Các quan chức liên bang đang vật lộn để tìm hiểu cách thức tấn công mới nhất so với vụ xâm nhập của tin tặc Nga vào nhiều cơ quan liên bang năm ngoái. Trong sự cố đó, tin tặc Nga đã cài mã vào bản cập nhật phần mềm quản lý mạng SolarWinds. Trong khi đó, khoảng 18.000 khách hàng của công ty đã tải xuống mã này, cho đến nay chỉ có bằng chứng cho thấy tin tặc Nga đã đánh cắp tài liệu từ 9 cơ quan chính phủ và khoảng 100 công ty.

Cơ quan an ninh mạng của chính phủ Hoa Kỳ đã đưa ra cảnh báo khẩn cấp trong bối cảnh lo ngại rằng chiến dịch tấn công của Trung Quốc đã ảnh hưởng đến một số lượng lớn các mục tiêu. Cảnh báo này kêu gọi các cơ quan liên bang hãy ngay lập tức vá hệ thống của họ.

Ông Jake Sullivan, cố vấn an ninh quốc gia của Nhà Trắng cho biết: “Chúng tôi đang theo dõi chặt chẽ bản vá khẩn cấp của Microsoft đối với các lỗ hổng chưa từng biết trước đây trong phần mềm Exchange Server và các báo cáo về khả năng xâm nhập vào các tổ chức nghiên cứu và cơ sở công nghiệp quốc phòng của Hoa Kỳ”.

Ông Christopher Krebs, cựu giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ nói rằng các công ty và tổ chức sử dụng chương trình Exchange của Microsoft ghi nhận rằng họ đã bị tấn công vào khoảng thời gian từ ngày 26 tháng 2 đến ngày 3 tháng 3 năm nay. Hiện họ đang làm việc hết tốc lực để cài đặt các bản vá do Microsoft vừa phát hành hồi đầu tháng 3.

Trong một tuyên bố, ông Jeff Jones, giám đốc cấp cao của Microsoft, cho biết: "Chúng tôi đang hợp tác chặt chẽ với C.I.S.A., các cơ quan chính phủ và công ty bảo mật khác để đảm bảo chúng cung cấp các hướng dẫn cần thiết để giảm thiểu thiệt hại cho khách hàng".

Về phần mình, công ty Microsoft cho biết người dùng sản phẩm Office 365 dựa trên đám mây không bị ảnh hưởng bởi vụ hack.

Các chuyên gia trong ngành cho biết các sự cố bảo mật có thể khuyến khích khách hàng chuyển sang sử dụng đám mây và đây cũng là một lợi ích tài chính cho Microsoft.

Một số chuyên gia cho biết việc sử dụng tự động hóa để thực hiện các cuộc tấn công rất tinh vi có thể đánh dấu một kỷ nguyên mới đáng sợ trong lĩnh vực an ninh mạng, một kỷ nguyên có thể áp đảo nguồn lực những người áp dụng chế độ bảo vệ hạn chế.

Cả sự cố gần đây nhất và cuộc tấn công SolarWinds đều cho thấy sự mong manh của các mạng hiện đại và sự tinh vi của các tin tặc do nhà nước tài trợ để xác định các lỗ hổng khó tìm hoặc thậm chí tạo ra chúng để thực hiện hoạt động gián điệp. Chúng cũng liên quan đến các cuộc tấn công mạng phức tạp, với bán kính bùng nổ ban đầu là một số lượng lớn máy tính, sau đó thu hẹp lại khi những kẻ tấn công tập trung vào “con mồi” chính của họ. Các tổ chức bị ảnh hưởng có thể mất vài tuần hoặc vài tháng mới giải quyết được vấn đề.

Trong nhiều năm, các nhà chức trách Mỹ đã cáo buộc Trung Quốc tấn công tràn lan nhằm vào các doanh nghiệp và cơ quan chính phủ Mỹ nhưng Trung Quốc vẫn luôn bác bỏ những cáo buộc này.

Thủy Tiên

Nguồn:

https://www.wsj.com/articles/china-linked-hack-hits-tens-of-thousands-of-u-s-microsoft-customers-11615007991?mod=searchresults_pos3&page=1https://www.nytimes.com/2021/03/06/technology/microsoft-hack-china.htmlhttps://www.bloomberg.com/news/articles/2021-03-07/hackers-breach-thousands-of-microsoft-customers-around-the-world



BÀI CHỌN LỌC

Hacker Trung Quốc tấn công phần mềm email Exchange của Microsoft