Hacker Triều Tiên cài mã độc vào phần mềm của hàng nghìn công ty Mỹ

Hình minh họa. Ảnh: Getty Images

Các chuyên gia an ninh mạng cảnh báo, hậu quả của vụ việc có thể kéo dài nhiều tháng và tác động lan rộng trên nhiều lĩnh vực của nền kinh tế.

Theo các chuyên gia an ninh mạng, nhóm tin tặc đã xâm nhập vào tài khoản của một lập trình viên quản lý phần mềm mã nguồn mở Axios - công cụ được sử dụng rộng rãi để xây dựng và quản lý website. Trong khoảng ba tiếng, các đối tượng đã lợi dụng quyền truy cập này để phát tán bản cập nhật chứa mã độc tới những tổ chức tải phần mềm trong thời gian đó.

Vụ việc nhanh chóng khiến cộng đồng an ninh mạng và các doanh nghiệp Mỹ rơi vào tình trạng báo động, khi nhà phát triển phải chạy đua để giành lại quyền kiểm soát tài khoản, còn các công ty buộc phải đánh giá mức độ thiệt hại tiềm tàng.

Axios hiện được sử dụng trong nhiều ngành, từ y tế, tài chính đến công nghệ, bao gồm cả các công ty hoạt động trong lĩnh vực tiền mã hóa. Điều này khiến quy mô ảnh hưởng của vụ tấn công trở nên đặc biệt nghiêm trọng.

Công ty tình báo mạng Mandiant, thuộc Google, nhận định một nhóm tin tặc Triều Tiên đứng sau vụ việc. Ông Charles Carmakal, Giám đốc công nghệ của Mandiant, cho biết nhóm này nhiều khả năng sẽ tận dụng quyền truy cập và thông tin đăng nhập đã thu thập được để tiếp tục nhắm vào các doanh nghiệp, đặc biệt là nhằm đánh cắp tiền mã hóa.

“Chúng tôi dự đoán họ sẽ sử dụng dữ liệu và quyền truy cập từ cuộc tấn công chuỗi cung ứng này để tiếp tục xâm nhập và đánh cắp tài sản số. Việc đánh giá toàn bộ tác động có thể mất nhiều tháng”, ông nói.

Một quan chức Nhà Trắng từng tiết lộ vào năm 2023 rằng khoảng một nửa chương trình tên lửa của Triều Tiên được tài trợ từ các vụ tấn công kỹ thuật số như vậy.

Hiện tại, các con số ban đầu chỉ phản ánh một phần nhỏ của sự cố. Ông John Hammond, chuyên gia bảo mật tại Huntress, cho biết công ty của ông đã xác định khoảng 135 thiết bị bị xâm nhập thuộc về khoảng 12 doanh nghiệp. Tuy nhiên, con số thực tế được dự báo sẽ tăng nhanh khi ngày càng nhiều tổ chức phát hiện mình bị ảnh hưởng.

Đây không phải lần đầu tiên Triều Tiên bị cáo buộc đứng sau các cuộc tấn công chuỗi cung ứng. Cách đây ba năm, các tin tặc nước này từng bị nghi xâm nhập một nhà cung cấp phần mềm phổ biến khác, được các bệnh viện và chuỗi khách sạn sử dụng cho dịch vụ liên lạc.

Năm ngoái, tin tặc Triều Tiên cũng gây chấn động khi đánh cắp tới 1,5 tỷ USD tiền mã hóa trong một vụ tấn công đơn lẻ, được xem là vụ hack tiền số lớn nhất từng được ghi nhận vào thời điểm đó.

Các chuyên gia cảnh báo rằng sự phát triển nhanh chóng của công nghệ, đặc biệt là trí tuệ nhân tạo, đang vô tình tạo điều kiện cho các cuộc tấn công dạng này trở nên dễ dàng hơn. Ông Hammond nhận định vụ tấn công lần này diễn ra đúng thời điểm, khi nhiều tổ chức đang sử dụng các công cụ AI để phát triển phần mềm mà thiếu kiểm soát chặt chẽ.

Ông cho rằng điểm yếu lớn nhất của chuỗi cung ứng phần mềm hiện nay nằm ở việc người dùng và doanh nghiệp không còn kiểm tra kỹ các thành phần được tích hợp vào hệ thống của mình.

Trong khi đó, ông Ben Read, Giám đốc tình báo chiến lược tại công ty bảo mật Wiz, nhận định Triều Tiên không quá quan tâm đến việc bị phát hiện hay tổn hại danh tiếng. “Những chiến dịch như vậy có thể gây ồn ào và thu hút chú ý, nhưng đó là cái giá mà họ sẵn sàng chấp nhận”, ông nói.

Vụ tấn công một lần nữa cho thấy mức độ nguy hiểm của các cuộc tấn công chuỗi cung ứng trong thời đại số, khi chỉ một điểm yếu nhỏ trong hệ thống cũng có thể mở đường cho các chiến dịch xâm nhập quy mô toàn cầu.

Bảo Hân/Báo Tin tức và Dân tộc