Hôm 25/6, Microsoft cho biết, các tin tặc đứng sau cuộc tấn công mạng khét tiếng SolarWinds đã khởi động một chiến dịch mới, chủ yếu tập trung vào các lợi ích của Hoa Kỳ đã tìm cách xâm nhập ba thực thể, dù cho hầu như không thành công.
Nhóm tin tặc tấn công mạng có trụ sở tại Nga, có nhiều tên khác nhau, bao gồm Nobelium, đã khởi động chiến dịch mới bằng cách sử dụng "mật khẩu và các cuộc tấn công bạo lực", Trung tâm Ứng phó Bảo mật của Microsoft cho biết trong một cảnh báo. Trung tâm này nhấn mạnh rằng, có tổng cộng 36 quốc gia đã bị nhắm mục tiêu.
Phần lớn các cuộc tấn công — 45% — nhắm vào các thực thể bên trong Hoa Kỳ, tiếp theo là 10% ở Vương quốc Anh, và số lượng nhỏ hơn ở Đức và Canada. Microsoft cho biết, hoạt động này nhắm vào các khách hàng cụ thể, chủ yếu là các công ty công nghệ thông tin (CNTT) (57%), các cơ quan chính phủ (20%), tiếp theo là các tổ chức phi chính phủ, các tổ chức tư vấn và dịch vụ tài chính.
Đại diện Microsoft cho biết: “Hoạt động gần đây này hầu như không thành công và phần lớn các mục tiêu không bị xâm phạm thành công — cho đến nay chúng tôi đã biết về 3 thực thể bị tấn công". Gã trùm công nghệ không nêu rõ danh tính của các thực thể đã bị xâm phạm hoặc bị nhắm mục tiêu, nhưng cho biết họ đang liên hệ với tất cả những người bị ảnh hưởng bởi cuộc tấn công mạng.
Là một phần của cuộc điều tra vào chiến dịch mới, Microsoft đã phát hiện thấy phần mềm độc hại đánh cắp thông tin trên máy tính của một trong những nhân viên hỗ trợ khách hàng của họ có quyền truy cập vào thông tin tài khoản của một “số lượng nhỏ” khách hàng.
Tác nhân đe dọa, được Microsoft xác định là Nobelium, “đã sử dụng thông tin này trong một số trường hợp để khởi động các cuộc tấn công có mục tiêu cao như một phần của chiến dịch rộng lớn hơn của họ”. Microsoft cho biết, họ đã “phản ứng nhanh chóng, xóa quyền truy cập và bảo mật thiết bị”.
-
- Logo của Microsoft tại Diễn đàn An ninh mạng Quốc tế ở Lille, Pháp vào ngày 28/1/2020. (Denis Charlet / AFP qua Getty Images)
Một phát ngôn viên của Microsoft nói với Reuters rằng, vụ tấn công mới nhất của nhóm tin tặc không phải là một phần của cuộc tấn công thành công trước đó của Nobelium nhằm vào Microsoft, trong đó nhóm này đã lấy được một số mã nguồn.
Trong cuộc tấn công SolarWinds, được cho là do Nobelium thực hiện, nhóm này đã thay đổi mã để truy cập các khách hàng của SolarWinds, bao gồm 9 cơ quan liên bang của Hoa Kỳ.
Microsoft sau đó khẳng định, nhóm tin tặc này đã xâm nhập tài khoản nhân viên của chính họ và thực hiện các hướng dẫn phần mềm điều chỉnh cách Microsoft xác minh danh tính người dùng.
Các nhà chức trách Hoa Kỳ đã xác định Nobelium có liên kết với Cơ quan Tình báo Nước ngoài của Nga, nhưng phía Moscow phủ nhận cáo buộc này.
Người phát ngôn của Bộ An ninh Nội địa Mỹ, cơ quan giám sát Cơ quan An ninh mạng và Cơ sở hạ tầng của Hoa Kỳ, nói với The Wall Street Journal rằng, cơ quan này “biết về hoạt động này và đang làm việc với Microsoft và các đối tác liên ngành của chúng tôi để đánh giá tác động”. Ông từ chối cho biết liệu có bất kỳ cơ quan chính phủ nào bị ảnh hưởng bởi cuộc tấn công mới hay không.
