Các tin tặc qua việc lợi dụng bản cập nhật cho phần mềm quản lý mạng SolarWinds Orion phổ biến đã truy cập vào hệ thống của hạt Pima, Arizona và Cox Communications, theo một nhà cung cấp Internet cáp lớn.

tin tặc tấn công các hạt ở Arizona
Bức ảnh chụp ngày 4 tháng 8 năm 2020 này cho thấy một hacker Trung Quốc giấu tên đang sử dụng máy tính tại văn phòng của họ ở Đông Quản, tỉnh Quảng Đông, miền nam Trung Quốc. (Ảnh Nicolas Asfouri / AFP qua Getty Images)

Hiện đây chỉ là hai trong số 18.000 khách hàng của SolarWinds trên toàn cầu đã cài đặt bản cập nhật gây hại. Vụ hack do công ty an ninh mạng FireEye, vốn là khách hàng của SolarWinds, báo cáo đầu tiên, đã ảnh hưởng đến một số cơ quan chính phủ Hoa Kỳ, bao gồm Bộ Quốc phòng, Bộ Ngoại giao, An ninh Nội địa, Năng lượng, Kho bạc và Thương mại.

Vụ hack được cho là lớn nhất từng được phát hiện, khiến Chính phủ Hoa Kỳ phải tập hợp một lực lượng đặc nhiệm gồm nhiều bộ phận để ứng phó với mối đe dọa.

Một phát ngôn viên của Cox Communications cho biết Công ty đã làm việc “suốt ngày đêm” với sự trợ giúp của các chuyên gia bảo mật bên ngoài để điều tra bất kỳ hậu quả nào của vụ tấn công.

Giám đốc Thông tin hạt Pima Dan Hunt cho biết nhóm của ông đã làm theo hướng dẫn của Chính phủ để tắt phần mềm SolarWinds sau khi vụ hack bị phát hiện. Ông cho biết các nhà điều tra đã không tìm thấy bất kỳ bằng chứng nào về việc vi phạm thêm.

Hai nạn nhân lần đầu tiên bị cảnh cáo trong một bài đăng của Kaspersky Labs, sử dụng tập lệnh để giải mã các bản ghi web do tin tặc để lại. Một cách thận trọng, Kaspersky không xác định danh tính các Công ty, nhưng Reuters đã sử dụng tập lệnh để giải mã ra các tên.

Nhà nghiên cứu của Kaspersky, Igor Kuznetsov, cho biết loại bản ghi Web được sử dụng, được gọi là CNAME, bao gồm một mã định danh duy nhất được mã hóa cho mỗi nạn nhân và hiển thị cái nào trong số hàng nghìn “cửa sau” mà tin tặc đã chọn để mở.

Ông nói: “Hầu hết thời gian các cửa hậu này không dùng tới. “Nhưng đây là khi vụ hack thực sự bắt đầu.”

John Bambenek, một nhà nghiên cứu bảo mật và là chủ tịch của Bambenek Consulting, cho biết ông cũng đã sử dụng công cụ Kaspersky để giải mã các bản ghi CNAME do FireEye công bố và nhận thấy chúng có kết nối với Cox Communications và Pima County.

Hồ sơ cho thấy các cửa hậu tại Cox Communications và Pima County đã được kích hoạt vào tháng 6 và tháng 7 năm nay, cao điểm của hoạt động hack cho đến nay đã được các nhà điều tra xác định.

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cho biết hôm thứ Năm rằng chiến dịch tấn công nhằm vào Chính phủ liên bang là lớn nhất từ trước tới nay.

Các tin tặc đã truy cập vào cửa sau theo nhiều cách hơn là thông qua phần mềm SolarWinds.

“CISA có bằng chứng về các vectơ truy cập ban đầu bổ sung, ngoài nền tảng SolarWinds Orion; tuy nhiên, những việc này vẫn đang được điều tra, ”CISA cho biết trong một tuyên bố.

Microsoft cho biết hôm thứ Năm rằng họ đã tìm thấy phần mềm có hại trong hệ thống của mình. Công ty cho biết khoảng 30 khách hàng tại Hoa Kỳ bị ảnh hưởng. 

“Chắc chắn rằng số lượng và vị trí của các nạn nhân sẽ tiếp tục tăng lên,” Chủ tịch Microsoft Brad Smith cho biết trong một bài đăng trên blog.

Jack Phillips, Zachary Stieber, và Reuters đã đóng góp vào báo cáo này.

Ivan Pentchoukov
Huệ Giao biên dịch 

Xem thêm:

Với 22 ngôn ngữ, Epoch Times là một kênh truyền thông Mỹ độc lập theo nguyên tắc Sự Thật và Truyền Thống. Thông qua những bài báo trung thực, cung cấp sự thật và làm sáng tỏ những vấn đề xã hội quan trọng, Epoch Times mong muốn gửi đến Quý độc giả những giá trị nhân văn của sự chính trực, lương thiện, lòng trắc ẩn, hay những bài học quý giá từ lịch sử, đồng thời tôn vinh các giá trị phổ quát của nhân loại.

Rất mong nhận được sự ủng hộ và đồng hành của Quý độc giả thông qua việc chia sẻ, lan tỏa các bài viết đến với cộng đồng. Epoch Times tin rằng đây là cách để chúng ta cùng kiến tạo tương lai, đi tới một đại kỷ nguyên mới huy hoàng và đẹp đẽ hơn.


Mọi ý kiến và đóng góp bài vở, xin vui lòng gửi về: [email protected]