FireEye bị xâm nhập bằng backdoor từ phần mềm SolarWinds

Tường Minh
22/12/2020 10:40
D

Công cụ giám sát hạ tầng công nghệ thông tin của nhà cung cấp bảo mật SolarWinds đã bị xâm nhập, được sử dụng để tấn công vào các cơ quan chính phủ lớn của Hoa Kỳ như công ty bảo mật FireEye.

Các tổ chức hacker mũ đen với sự hậu thuẫn của các quốc gia bị cáo buộc làm việc cho Nga đã nhắm mục tiêu vào Bộ Tài chính Hoa Kỳ, Cục Quản lý Thông tin và Viễn thông Quốc gia (Bộ Thương mại) và các cơ quan chính phủ khác để giám sát thông tin email nội bộ như một phần của chiến dịch gián điệp mạng lan rộng.

Theo thông tin từ Washington Post trích dẫn các nguồn tin giấu tên cho biết, các cuộc tấn công mới nhất là hoạt động của APT29 hoặc Cozy Bear, cùng một nhóm hack được cho là đã dàn dựng một vụ xâm nhập vào công ty an ninh mạng FireEye có trụ sở tại Hoa Kỳ dẫn đến việc đánh cắp các công cụ phục vụ cho hoạt động Redteam.

Động cơ và thông tin tình báo bị đánh cắp trong vụ xâm nhập vẫn chưa rõ ràng, nhưng các dấu hiệu cho thấy các hacker đã giả mạo bản cập nhật phần mềm do hãng SolarWinds (Texas) phát hành vào đầu năm 2020 để xâm nhập vào hệ thống của các cơ quan chính phủ cũng như FireEye trong một tấn công chuỗi cung ứng rất phức tạp.

Các sản phẩm mạng và bảo mật của SolarWinds được sử dụng bởi hơn 300.000 khách hàng trên toàn thế giới, bao gồm các công ty nằm trong danh sách Fortune 500, cơ quan chính phủ và tổ chức giáo dục. Các sản phẩm cũng phục vụ các công ty viễn thông lớn của Hoa Kỳ, tất cả năm chi nhánh của Quân đội Hoa Kỳ, và các tổ chức chính phủ nổi tiếng khác như Lầu Năm Góc, Bộ Ngoại giao, NASA, Cơ quan An ninh Quốc gia (NSA), Bưu điện, NOAA, Bộ Tư pháp và Văn phòng Tổng thống Hoa Kỳ.

Một chiến dịch tinh vi để phân phối backdoor SUNBURST

Công ty FireEye đang theo dõi chiến dịch xâm nhập có biệt danh "UNC2452". Đây là cuộc tấn công chuỗi cung ứng lợi dụng các bản cập nhật phần mềm SolarWinds Orion cho doanh nghiệp, bị nhúng kèm mã độc để phân phối một backdoor có tên SUNBURST.

"Chiến dịch này có thể đã bắt đầu sớm nhất vào đầu năm 2020 và chưa dừng lại", FireEye cho biết, "Hoạt động sau khi đã thoả hiệp thành công bao gồm chuyển động ngang và đánh cắp dữ liệu. Chiến dịch được thực hiện bởi một nhân viên có kỹ năng cao và hoạt động được tiến hành với độ bảo mật vô cùng cao."

Tập tin chứa mã độc được ký bởi chữ ký hợp lệ của Solarwinds

Phiên bản plugin SolarWinds Orion giả mạo sau khi được khởi tạo bởi chương trình Solarwinds sẽ giao tiếp qua giao thức HTTP với các máy chủ từ xa để truy xuất và thực thi các lệnh độc hại bao gồm: lệnh chuyển tệp, thực thi tệp, lập hồ sơ và khởi động lại hệ thống đích cũng như vô hiệu hóa các dịch vụ hệ thống. Tinh vi hơn, các địa chỉ IP sử dụng cho chiến dịch đã bị các máy chủ VPN đặt ở cùng quốc gia với nạn nhân làm xáo trộn để tránh bị phát hiện.

Microsoft cũng xác thực những phát hiện này trong một phân tích riêng, cho biết cuộc tấn công (mà hãng gọi là "Solorigate") đã tận dụng sự tin tưởng liên quan đến phần mềm SolarWinds để chèn mã độc vào một chiến dịch lớn hơn.

Theo Microsoft, “Một tập tin độc hại đã được xen lẫn trong số nhiều tập tin hợp pháp khác và sau đó được ký với một chứng chỉ hợp pháp. Tập tin độc hại bao gồm một backdoor và phân phối một cách kín đáo nhắm vào các tổ chức mục tiêu. "

Thông báo bảo mật từ phía hãng Solarwinds

Trong một thông báo bảo mật do SolarWinds cho biết, cuộc tấn công nhắm mục tiêu vào các phiên bản 2019.4 đến 2020.2.1 của phần mềm SolarWinds Orion Platform được phát hành từ tháng 3 - 6/2020. Đồng thời, khuyến nghị người dùng sớm nâng cấp lên bản phát hành Nền tảng Orion 2020.2.1 HF 1.

Công ty hiện đang điều tra vụ tấn công với sự phối hợp của FireEye và Cục Điều tra Liên bang Hoa Kỳ (Federal Bureau of Investigation - FBI). Dự kiến sẽ phát hành một bản sửa lỗi bổ sung 2020.2.1 HF 2 vào ngày 15/12 thay thế thành phần bị xâm nhập và cung cấp thêm một số bảo mật cải tiến.    

FireEye cũng tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công cực kỳ tinh vi của chính phủ nước ngoài đã xâm nhập các công cụ phần mềm được sử dụng để kiểm tra khả năng phòng thủ của khách hàng.

Tổng cộng có tới 60 công cụ của Redteam tại FireEye bị đánh cắp. Trong đó, các công cụ có sẵn công khai chiếm 43%, phiên bản sửa đổi của các công cụ có sẵn công khai chiếm 17% và những công cụ được phát triển nội bộ là 40%.

Chiến dịch dường như là một cuộc tấn công chuỗi cung ứng trên quy mô toàn cầu, FireEye cho biết họ đã phát hiện hoạt động này trên một số khách hàng trên toàn thế giới, bao gồm các công ty chính phủ, tư vấn, công nghệ, viễn thông và khai thác ở Bắc Mỹ, Châu Âu, Châu Á và Trung Đông.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

Kaspersky trang bị kiến thức an ninh mạng cơ bản cho giáo viên Việt Nam

Kaspersky trang bị kiến thức an ninh mạng cơ bản cho giáo viên Việt Nam

Fortinet giới thiệu giải pháp quản lý rủi ro mới

Fortinet giới thiệu giải pháp quản lý rủi ro mới

Meta thử nghiệm công nghệ nhận diện khuôn mặt để chống lừa đảo và hỗ trợ khôi phục tài khoản

Meta thử nghiệm công nghệ nhận diện khuôn mặt để chống lừa đảo và hỗ trợ khôi phục tài khoản

Phát hiện lỗ hổng nghiêm trọng trong ASF của Microchip

Phát hiện lỗ hổng nghiêm trọng trong ASF của Microchip

Keysight và Autotalks nâng tầm bảo mật của công nghệ phương tiện kết nối vạn vật

Keysight và Autotalks nâng tầm bảo mật của công nghệ phương tiện kết nối vạn vật

Tình hình an ninh mạng quý II có nhiều thay đổi

Tình hình an ninh mạng quý II có nhiều thay đổi

Tin mới cập nhật

Những dấu mốc nổi bật về khoa học công nghệ của Việt Nam 2024

Những dấu mốc nổi bật về khoa học công nghệ của Việt Nam 2024

Samsung và cuộc cách mạng 'AI cho mọi người'

Samsung và cuộc cách mạng 'AI cho mọi người'

ASUS đa dạng hóa hệ sinh thái laptop AI bằng sản phẩm mới Vivobook S 14

ASUS đa dạng hóa hệ sinh thái laptop AI bằng sản phẩm mới Vivobook S 14

Grab kết nối người dân với tuyến Metro số 1 bằng ưu đãi khủng

Grab kết nối người dân với tuyến Metro số 1 bằng ưu đãi khủng

Logitech triển khai chiến dịch mới mang tên 'I LOVE POP'

Logitech triển khai chiến dịch mới mang tên 'I LOVE POP'

 Viettel High Tech tiếp tục mở rộng tại thị trường châu Mỹ

 Viettel High Tech tiếp tục mở rộng tại thị trường châu Mỹ

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Mục tiêu đến năm 2030, chuyển giao công nghệ AI cho 50% cơ sở y tế tuyến quận, huyện

Mục tiêu đến năm 2030, chuyển giao công nghệ AI cho 50% cơ sở y tế tuyến quận, huyện

Sau máy giặt sấy thông minh Samsung Bespoke AI Heatpump, Samsung ra mắt siêu tủ lạnh Bespoke AI Family Hub™+

Sau máy giặt sấy thông minh Samsung Bespoke AI Heatpump, Samsung ra mắt siêu tủ lạnh Bespoke AI Family Hub™+

Giải pháp phòng chống tội phạm lừa đảo sử dụng công nghệ cao

Giải pháp phòng chống tội phạm lừa đảo sử dụng công nghệ cao

Khai mạc Triển lãm tư liệu ‘Quân đội anh hùng, Quốc phòng vững mạnh’

Khai mạc Triển lãm tư liệu ‘Quân đội anh hùng, Quốc phòng vững mạnh’

ĐH Kinh tế Quốc dân đoạt ngôi Quán quân 'Sinh viên Kinh doanh số 2024'

ĐH Kinh tế Quốc dân đoạt ngôi Quán quân 'Sinh viên Kinh doanh số 2024'

Tin đọc nhiều

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

7 yếu tố quan trọng để khôi phục dữ liệu sau khi bị tấn công ransomware 

7 yếu tố quan trọng để khôi phục dữ liệu sau khi bị tấn công ransomware 

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Video xem nhiều

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Bắc Sơn mây hát

Bắc Sơn mây hát

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019