Trong một bản tin cập nhật, Microsoft cho biết một nhóm tin tặc khác đã tham gia vào một cuộc tấn công mạng nhắm vào nhu liệu của SolarWinds vốn được một số cơ quan chính phủ liên bang sử dụng.

Trong bức ảnh tư liệu được chụp ngày 5/6/2015 này, một cánh cổng dẫn đến trụ sở Bộ An ninh Nội địa ở phía tây bắc Hoa Thịnh Đốn. (Ảnh Susan Walsh/AP Photo)

Một cuộc điều tra tiết lộ “thêm một nhu liệu độc hại nữa cũng đã ảnh hưởng đến sản phẩm SolarWinds Orion nhưng đã được xác định là có khả năng không liên quan đến vụ xâm hại này,” Microsoft cho biết hôm 18/12. Công ty này cho biết nhu liệu độc hại đó rất có thể “được một tác nhân đe dọa khác sử dụng,” và cho rằng một nhóm khác có thể đã tham gia vào vụ xâm phạm này.

“Mã này cung cấp cho kẻ tấn công khả năng gửi và thực thi bất kỳ chương trình C# tùy ý nào trên thiết bị của người dùng. Microsoft Defender Antivirus phát hiện DLL bị xâm hại này là Trojan: MSIL / Solorigate.G! Dha,” công ty cho biết.

SolarWinds, một nhà cung ứng thuộc bên thứ ba, nói rằng các hệ thống của họ đã bị xâm nhập sau khi các tin tặc xâm phạm các bản cập nhật Orion của công ty và phát tán nhu liệu độc hại. Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng của Bộ An ninh Nội địa (DHS) cho biết cuộc tấn công nghiêm trọng hơn họ nghĩ trước đó.

“Một trong những vectơ truy cập ban đầu cho hoạt động này là một sự thâm nhập trong chuỗi cung ứng của các sản phẩm SolarWinds Orion tiếp theo. CISA có bằng chứng về các vectơ truy cập ban đầu bổ sung, ngoài nền tảng SolarWinds Orion; tuy nhiên, những điều này vẫn đang được điều tra,” CISA cho biết trong một tuyên bố hôm 17/12.

Các quan chức cho rằng “việc loại bỏ tác nhân đe dọa này khỏi các môi trường bị xâm hại sẽ rất phức tạp và đầy thách thức đối với các tổ chức” và lưu ý rằng đối phương có các vectơ truy cập ban đầu bổ sung và các chiến thuật, các kỹ thuật và các chương trình chưa được phát hiện,” CISA cho biết.

Văn phòng Giám đốc Tình báo Quốc gia, CISA và các cơ quan tình báo khác cho biết cuộc tấn công “vẫn đang tiếp diễn,” và nói thêm rằng “vụ xâm hại đã ảnh hưởng đến các hệ thống trong chính phủ liên bang.”

Ông Chris Krebs, cựu giám đốc của CISA, nói với CNN rằng vụ tấn công xảy ra khi ông là người đứng đầu cơ quan này.

“Nó đã xảy ra trong nhiệm kỳ của tôi… nhưng hiện nay có việc phải làm để tiếp tục bảo đảm 1) chúng ta vượt qua điều này, rằng chúng ta loại những người Nga ra khỏi các hệ thống này, và 2) rằng điều này không bao giờ xảy ra nữa,” ông Krebs lưu ý.

Theo một bản tin từ Wall Street Journal, ngoài chính phủ liên bang, một số tập đoàn lớn đã sử dụng Orion của SolarWinds.

Báo cáo cho thấy công ty công nghệ khổng lồ Cisco Systems Inc., Intel Corp., Nvidia Corp., VMware Inc., Belkin International Inc., Đại học Kent State, và nhiều công ty khác đã sử dụng nhu liệu này.

“Tại thời điểm này, chưa thấy có tác động nào đối với các sản phẩm hoặc các dịch vụ của Cisco,” một phát ngôn viên của Cisco nói với tờ báo, đồng thời cho biết họ đã tìm thấy nhu liệu độc hại trên một số hệ thống của nhân viên. Các công ty khác đã xác nhận với WSJ rằng họ đã biết về nhu liệu độc hại này.

Một phát ngôn viên của Đại học Kent State nói thêm rằng trường đại học “đã biết tình hình và đang đánh giá sự kiện nghiêm trọng này.”

Jack Phillips
Cẩm An biên dịch