Một hãng cung cấp Internet lớn cho biết các tin tặc đã khai thác bản cập nhật cho nhu liệu quản lý mạng phổ biến SolarWinds Orion và truy cập vào các hệ thống của quận Pima, Arizona, cũng như của Cox Communications.

Bức ảnh chụp ngày 4 tháng 8 năm 2020 này cho thấy một hacker Trung Quốc giấu tên đang sử dụng máy tính tại văn phòng của họ ở Đông Quản, tỉnh Quảng Đông, miền nam Trung Quốc. (Ảnh Nicolas Asfouri / AFP qua Getty Images)

Hiện đây chỉ là hai trong số 18,000 khách hàng của SolarWinds trên toàn cầu đã cài đặt bản cập nhật gây hại. Vụ tấn công được công ty an ninh mạng FireEye, vốn cũng là khách hàng của SolarWinds, báo cáo đầu tiên. Nó đã ảnh hưởng đến nhiều cơ quan chính phủ Hoa Kỳ, bao gồm các Bộ Quốc phòng, Ngoại giao, An ninh Nội địa, Năng lượng, Tài chính và Thương mại.

Vụ tấn công được cho là lớn nhất từng được phát hiện, khiến chính phủ Hoa Kỳ phải tập hợp một lực lượng đặc nhiệm gồm nhiều bộ phận để ứng phó với mối đe dọa.

Một phát ngôn viên của Cox Communications cho biết công ty đã làm việc “suốt ngày đêm” với sự trợ giúp của các chuyên gia bảo mật bên ngoài để điều tra bất kỳ hậu quả nào của vụ thâm nhập.

Ông Dan Hunt, giám đốc thông tin quận Pima, cho biết nhóm của ông đã làm theo hướng dẫn của chính phủ để tắt nhu liệu SolarWinds sau khi vụ tấn công bị phát hiện. Ông cho biết các nhà điều tra đã không tìm thấy bất kỳ dấu hiệu rò rỉ thông tin nào khác.

Hai công ty nạn nhân lần đầu tiên bị cảnh báo trong một bài đăng của Kaspersky Labs, nơi đã sử dụng một chương trình máy tính để giải mã các bản ghi trên web do tin tặc để lại. Kaspersky đã thận trọng và không nêu danh tính của các công ty, nhưng Reuters đã sử dụng chương trình trên để giải mã tên của các công ty này.

Nhà nghiên cứu Igor Kuznetsov của Kaspersky cho biết, loại bản ghi được sử dụng, còn gọi là CNAME, bao gồm một số hiệu nhận dạng được mã hóa cho mỗi nạn nhân và hiển thị cái nào trong số hàng ngàn “cửa hậu” mà tin tặc đã chọn để mở.

Ông nói: “Hầu hết thời gian các cửa này đều không hoạt động. Nhưng đây là lúc vụ tấn công thực sự bắt đầu.”

Ông John Bambenek, một nhà nghiên cứu bảo mật và là chủ tịch của Bambenek Consulting, cho biết ông cũng đã sử dụng công cụ của Kaspersky để giải mã các bản ghi CNAME do FireEye công bố, và nhận thấy chúng có liên quan đến Cox Communications và quận Pima.

Các bản ghi cho thấy các cửa hậu tại Cox Communications và quận Pima đã được kích hoạt vào tháng 6 và tháng 7 năm nay, vào lúc cao điểm của hoạt động tấn công được xác định bởi các nhà điều tra.

Hôm 17/12, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cho biết chiến dịch tấn công nhằm vào chính phủ liên bang này là lớn nhất từ trước tới nay.

Các tin tặc đã truy cập vào cửa hậu theo nhiều cách hơn là thông qua nhu liệu SolarWinds.

“CISA có bằng chứng về các tuyến truy cập ban đầu khác, ngoài nhu liệu SolarWinds Orion; tuy nhiên, những việc này vẫn đang được điều tra,” CISA cho biết trong một tuyên bố.

Cùng ngày 17/12, Microsoft cho biết họ đã tìm thấy nhu liệu có hại trong hệ thống của mình. Công ty cho biết khoảng 30 khách hàng tại Hoa Kỳ bị ảnh hưởng.

“Chắc chắn rằng số lượng và vị trí của các nạn nhân sẽ tiếp tục tăng lên,” Chủ tịch Microsoft Brad Smith cho biết trong một bài đăng trên blog.

Bản tin có sự đóng góp của Jack Phillips, Zachary Stieber, và Reuters.

Ivan Pentchoukov
Huệ Giao biên dịch