Giải mã tấn công SolarWinds

Vụ tấn công vào Công ty an ninh mạng FireEye (Mỹ) bởi các tin tặc được hậu thuẫn là một phần nhỏ của cuộc tấn công lớn, được thực hiện thông qua các bản cập nhật độc hại cho một sản phẩm giám sát mạng phổ biến và ảnh hưởng đến các tổ chức và công ty chính phủ lớn.

Vụ việc cho thấy tác động nghiêm trọng của các cuộc tấn công vào chuỗi cung ứng phần mềm. Đáng tiếc, trong thực tế hầu hết các tổ chức đều không có sự chuẩn bị để ngăn chặn và phát hiện các mối đe dọa như vậy.

Một nhóm tin tặc được cho là có liên kết với chính phủ Nga đã giành được quyền truy cập vào các hệ thống máy tính thuộc nhiều cơ quan chính phủ Hoa Kỳ bao gồm Bộ Tài chính và Thương mại Hoa Kỳ trong một chiến dịch dài. Điều này đã khiến cho Hội đồng An ninh Quốc gia Hoa Kỳ phải tổ chức một cuộc họp khẩn cấp để thảo luận và xử lý.

Cuộc tấn công liên quan đến việc tin tặc xâm phạm cơ sở hạ tầng của SolarWinds - một công ty sản xuất nền tảng giám sát mạng và ứng dụng có tên Orion, sau đó sử dụng quyền truy cập đó để sản xuất và phân phối các bản cập nhật bị sửa đổi để thực hiện cho mục đích gián điệp.

Vụ tấn công vào chuỗi cung ứng phần mềm SolarWinds cũng cho phép tin tặc truy cập vào mạng của Công ty an ninh mạng FireEye. Mặc dù, FireEye không nêu tên nhóm tấn công chịu trách nhiệm, nhưng Washington Post đưa tin đây là APT29 hoặc Cozy Bear được cho là cánh tay tấn công của cơ quan tình báo nước ngoài của Nga.

"FireEye đã phát hiện ra hoạt động này tại nhiều đơn vị trên toàn thế giới. Các nạn nhân bao gồm các tổ chức chính phủ, tư vấn, công nghệ, viễn thông và khai thác ở Bắc Mỹ, Châu Âu, Châu Á và Trung Đông. Công ty FireEye cho biết: Chúng tôi dự đoán sẽ có thêm nhiều nạn nhân ở các quốc gia và ngành dọc khác. FireEye đã thông báo cho tất cả các tổ chức bị ảnh hưởng."

Các bản cập nhật Orion độc hại

Phần mềm Orion phiên bản 2019.4 HF 5 đến 2020.2.1 được phát hành từ tháng 3/2020 đến tháng 6/2020 có thể chứa một đoạn mã gián điệp. Tuy nhiên, FireEye lưu ý trong phân tích của mình rằng mỗi cuộc tấn công đều yêu cầu tin tặc lập kế hoạch tỉ mỉ và tương tác thủ công.

Những kẻ tấn công đã thực hiện sửa đổi một trình dll tên là SolarWinds.Orion.Core.BusinessLayer.dll và phân phối như một phần của các bản cập nhật nền tảng Orion. Thành phần gián điệp được ký điện tử và chứa một cửa hậu giao tiếp với các máy chủ của bên thứ ba do những kẻ tấn công kiểm soát. FireEye đang theo dõi thành phần này với tên là SUNBURST và đã phát hành mở các luật để phát hiện nó trên GitHub của công ty.

"Sau khoảng thời gian không hoạt động ban đầu lên đến hai tuần, phần mềm độc hại thực hiện truy xuất và thực thi các lệnh, bao gồm khả năng truyền tệp, thực thi tệp, cấu hình hệ thống, khởi động lại máy và vô hiệu hóa các dịch vụ hệ thống. Phần mềm độc hại giả dạng lưu lượng mạng của nó dưới dạng giao thức Chương trình Cải tiến Orion (OIP) và lưu trữ kết quả do thám trong các tệp cấu hình plugin hợp pháp, cho phép nó kết hợp với hoạt động SolarWinds hợp pháp. Nó sử dụng nhiều danh sách đen để xác định các công cụ đều tra số và phần mềm phòng chống virus đang chạy dưới dạng quy trình, dịch vụ và trình điều khiển", các nhà phân tích FireEye cho biết.

Những kẻ tấn công cố gắng tạo ra rất ít các dấu hiệu về mã độc, chủ yếu ăn cắp và sử dụng thông tin đăng nhập để thực hiện chuyển động ngang qua mạng và thiết lập quyền truy cập từ xa hợp pháp. Cửa hậu được sử dụng để cung cấp một phần mã độc dạng Dropper chưa từng thấy trước đây, có kích thước không đáng kể và được FireEye đặt tên là TEARDROP. TEARDROP được tải trực tiếp trong bộ nhớ và không để lại dấu vết trên đĩa.

Các nhà nghiên cứu tin rằng nó được sử dụng để triển khai phiên bản tùy chỉnh của Cobalt Strike Beacon. Cobalt Strike là một công cụ thương mại được thiết kế cho các đội đỏ (Redteam) và được tin tặc và các nhóm tội phạm mạng yêu thích và sử dụng.

SolarWinds khuyến cáo người dùng nên nâng cấp lên Orion Platform phiên bản 2020.2.1 HF 1 sớm nhất để tránh rủi ro mất an toàn thông tin. Công ty cũng có kế hoạch phát hành một hotfix 2020.2.1 HF 2 mới sẽ thay thế thành phần bị xâm phạm và thực hiện các cải tiến bảo mật bổ sung.

Bộ An ninh Nội địa Hoa Kỳ cũng đã ban hành một chỉ thị khẩn cấp cho các tổ chức chính phủ để kiểm tra mạng của họ về sự hiện diện của thành phần gián điệp.

Chưa có giải pháp cho tấn công

Các cuộc tấn công chuỗi cung ứng phần mềm không phải là hướng tấn công mới. Các chuyên gia bảo mật đã cảnh báo trong nhiều năm rằng chúng là một trong những loại mối đe dọa khó ngăn chặn nhất vì chúng lợi dụng mối quan hệ tin cậy giữa nhà cung cấp và khách hàng và các kênh giao tiếp giữa máy với máy, chẳng hạn như các cơ chế cập nhật phần mềm vốn đã được người dùng tin tưởng.

Quay trở lại năm 2012, các nhà nghiên cứu đã phát hiện ra rằng những kẻ tấn công đằng sau phần mềm độc hại mạng Flame đã sử dụng một cuộc tấn công mật mã chống lại giao thức băm tệp MD5 để làm cho phần mềm độc hại của họ xuất hiện như thể nó đã được Microsoft ký hợp pháp và phân phối thông qua cơ chế Windows Update tới các mục tiêu.

Đó không phải là một cuộc tấn công xâm phạm vào chính nhà phát triển phần mềm Microsoft, nhưng những kẻ tấn công đã khai thác thành công lỗ hổng trong quá trình kiểm tra tệp Windows Update chứng tỏ rằng các cơ chế cập nhật phần mềm có thể được khai thác để có hiệu quả lớn.

Vào năm 2017, các nhà nghiên cứu bảo mật từ Kaspersky Lab đã phát hiện ra một cuộc tấn công chuỗi cung ứng phần mềm của một nhóm APT có tên là Winnti liên quan đến việc đột nhập vào cơ sở hạ tầng của NetSarang, một công ty sản xuất phần mềm quản lý máy chủ, cho phép họ phân phối các phiên bản gắn kèm mã độc gián điệp của sản phẩm được ký kỹ thuật số với chứng chỉ hợp pháp của công ty.

Cũng chính nhóm những kẻ tấn công này sau đó đã đột nhập vào cơ sở hạ tầng phát triển của công ty con CCleaner của Avast và phân phối các phiên bản trojanized của chương trình cho hơn 2,2 triệu người dùng. Năm 2020, những kẻ tấn công đã chiếm đoạt cơ sở hạ tầng cập nhật của nhà sản xuất máy tính ASUSTeK Computer và phát tán các phiên bản độc hại của ASUS Live Update Utility cho người dùng.

Các công ty với tư cách là người dùng phần mềm, cũng nên bắt đầu suy nghĩ về việc áp dụng các nguyên tắc mạng không tin cậy (zero trust) và kiểm soát truy cập dựa trên vai trò không chỉ cho người dùng mà còn cho các ứng dụng và máy chủ.

Cũng như không phải mọi người dùng hoặc thiết bị đều có thể truy cập bất kỳ ứng dụng hoặc máy chủ nào trên mạng, không phải mọi máy chủ hoặc ứng dụng đều có thể giao tiếp với các máy chủ và ứng dụng khác trên mạng. Khi triển khai bất kỳ phần mềm hoặc công nghệ mới nào vào mạng của họ, các công ty nên tự hỏi mình điều gì có thể xảy ra nếu sản phẩm đó bị xâm phạm do cập nhật độc hại và cố gắng đưa ra các biện pháp kiểm soát để giảm thiểu tác động nhiều nhất có thể.

Có khả năng số lượng các cuộc tấn công vào chuỗi cung ứng phần mềm sẽ tăng lên trong tương lai, đặc biệt khi những kẻ tấn công khác thấy chúng có thể thành công trên phạm vi rộng.

Số lượng các cuộc tấn công ransomware chống lại các tổ chức đã bùng nổ sau các cuộc tấn công WannaCry và NotPetya năm 2017 vì chúng cho những kẻ tấn công thấy rằng các mạng doanh nghiệp không có khả năng chống lại các cuộc tấn công như vậy. Sau đó, nhiều nhóm tội phạm mạng đã áp dụng các kỹ thuật này để sử dụng trong các cuộc tấn công mạng tầm cỡ quốc gia.

Vì mức độ nghiêm trọng và phạm vi ảnh hưởng lớn của tấn công này, các tổ chức nên sớm có phương án và biên pháp để phòng ngừa khi tấn công xảy ra và giảm thiểu rủi ro nhỏ nhất có thể.