Khi chuỗi cung ứng bị tấn công: Nguy cơ tê liệt nền kinh tế toàn cầu

Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.

Toàn cầu hóa và số hóa đã khiến nhiều khía cạnh của nền kinh tế thế giới phụ thuộc vào công nghệ như điện thoại thông minh và ứng dụng ghi chú trên máy tính xách tay, vốn đòi hỏi các bản cập nhật phần mềm và bảo mật thường xuyên từ các nhà sản xuất.

Mạng lưới phức tạp này, bao gồm các thực thể, nguồn lực, hàng hóa và dịch vụ, tạo thành một lưới cung ứng (supply mesh) trên quy mô toàn cầu, là nền tảng cho hoạt động thương mại quốc tế, du lịch và giao thương như chúng ta biết hiện nay.

Khi cập nhật phần mềm, người dùng thường có niềm tin nhất định vào nhà sản xuất, họ cho rằng các bản cập nhật sẽ không chứa mã độc (malware) và lỗi. Sự tin tưởng ngầm định này chính là “lỗ hổng”, mở đường cho các cuộc tấn công chuỗi cung ứng.

Bằng cách xâm nhập vào cơ sở hạ tầng của nhà sản xuất, kẻ xấu có thể cài mã độc vào các bản cập nhật phần mềm chính thức. Đây là một trong những mối đe dọa nguy hiểm và khó phòng tránh nhất đối với an ninh mạng hiện nay.

Mặc dù không phải là “vấn nạn” mới xảy ra, nhưng các vụ tấn công như ShadowPad, CCleaner và ShadowHammer trong những năm gần đây cho thấy kẻ xấu hoàn toàn có khả năng xâm nhập vào những hệ thống được bảo vệ nghiêm ngặt nhất.

Crowdstrike - Sự cố gián đoạn nghiêm trọng trên toàn cầu

Sự cố Crowdstrike gần đây đã một lần nữa nhấn mạnh tầm quan trọng của chuỗi cung ứng và hậu quả nghiêm trọng chưa từng có nếu xảy ra sự cố. Điều này dấy lên câu hỏi về sự “mong manh” của các chuỗi cung ứng mà chúng ta đang phụ thuộc ngày nay.

Vào ngày 19-7, công ty an ninh mạng Crowdstrike đã phát hành một bản cập nhật cho Windows và khiến hàng loạt máy tính trên thế giới gặp sự cố màn hình xanh, gây hậu quả nghiêm trọng.

Nhiều máy tính Windows bị lỗi màn hình xanh vì bản cập nhật của Crowdstrike. Ảnh: TIỂU MINH

Ông Vitaly Kamluk - Chuyên gia an ninh mạng của Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky cho biết: "Vốn dĩ, bản cập nhật cấu hình cho Crowdstrike chỉ nhằm mục đích nâng cấp hệ thống bảo vệ Falcon, giúp thu thập dữ liệu và phát hiện các cuộc tấn công mới nhắm vào Windows. Thế nhưng, bản cập nhật này lại gây ra một lỗi khiến 8,5 triệu máy tính Windows trên toàn cầu phải khởi động lại liên tục."

Theo thông tin từ các phương tiện truyền thông, bản cập nhật lỗi của CrowdStrike đã gây ra gián đoạn nghiêm trọng đối với các cơ sở hạ tầng trọng yếu trên toàn cầu sử dụng hệ điều hành Windows và được bảo vệ bởi Crowdstrike, bao gồm bệnh viện, ngân hàng, hãng hàng không và các cơ quan Chính phủ.

Đây là sự cố gián đoạn nghiêm trọng nhất từng xảy ra trong lịch sử, khiến nền kinh tế thế giới gần như tê liệt, gây ra thiệt hại kinh tế chưa từng có.

Linux XZ - Khi kẻ xấu lợi dụng lỗ hổng nghiêm trọng

Đầu năm 2024, bộ công cụ và thư viện nén dữ liệu mã nguồn mở Linux XZ Utils xuất hiện một lỗ hổng nghiêm trọng. Kẻ tấn công đã lợi dụng lỗ hổng này để cài đặt một backdoor vào phần mềm.

Backdoor cho phép kẻ tấn công truy cập trái phép vào các hệ thống bằng cách can thiệp vào nguyên lý hoạt động của OpenSSH, chương trình mã nguồn mở sử dụng Secure Shell (SSH).

SSH là một giao thức mạng bảo mật được sử dụng rộng rãi để quản lý các thiết bị như máy chủ, thiết bị Internet vạn vật (IoT), bộ định tuyến, các thiết bị lưu trữ mạng và nhiều thiết bị khác.

Hiện tại, hàng chục triệu thiết bị gia dụng kết nối IoT, hàng triệu máy chủ, trung tâm dữ liệu và thiết bị mạng đều phụ thuộc vào giao thức SSH. Nếu lỗ hổng này bị kẻ xấu lợi dụng, hậu quả có thể nghiêm trọng hơn nhiều so với sự cố CrowdStrike gần đây.

Công ty phần mềm mã nguồn mở Red Hat thông báo lỗ hổng này đã được Cơ sở dữ liệu về Lỗ hổng bảo mật Quốc gia (National Vulnerability Database) của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) ghi nhận với mã số CVE-2024-30942 và đánh giá ở mức 10 - cấp độ nghiêm trọng nhất.

Giống như một con sói đội lốt cừu, JiaT75 tích cực tham gia và đóng góp, dần gây dựng lòng tin với cộng đồng phát triển dự án XZ Utils. Nhờ vậy, JiaT75 giành được quyền quản lý kho lưu trữ của dự án XZ và phê duyệt các thay đổi của dự án.

Tiếp theo, mã nguồn của thành phần XZ/libzma bị chỉnh sửa và ngụy trang tinh vi, trở thành một phần không thể thiếu của phần mềm SSH trên một số hệ điều hành, từ đó cho phép kẻ tấn công xâm nhập toàn bộ hệ thống bị ảnh hưởng.

Sự cố đã được phát hiện kịp thời và hiện đang được tiếp tục điều tra. Vụ việc này một lần nữa cho thấy nếu kẻ xấu lợi dụng kỹ thuật tấn công phi xã hội (social engineering) đánh vào tâm lý và đặc tính mã nguồn mở, có thể tạo ra lỗ hổng nghiêm trọng để tấn công chuỗi cung ứng.

Cần làm gì khi AI bị lợi dụng để tấn công chuỗi cung ứng?

AI đang ngày càng trở nên phổ biến và được ứng dụng vào nhiều lĩnh vực như tối ưu hóa cơ sở hạ tầng trong các thành phố thông minh, cải thiện chăm sóc sức khỏe, giáo dục, nông nghiệp và nhiều lĩnh vực khác.

Tuy nhiên, cũng giống như nhiều công nghệ khác, AI không hoàn hảo, vì phụ thuộc vào mô hình học máy và chất lượng của dữ liệu đầu vào. Kẻ xấu có thể lợi dụng kẽ hở này, cài đặt mã độc vào dữ liệu đầu vào, để tấn công chuỗi cung ứng.

“Kịch bản tấn công chuỗi cung ứng vào các nền tảng AI có thể là thao túng dữ liệu đào tạo (training data), tiêm nhiễm các thành kiến và lỗ hổng vào mô hình, hoặc sửa đổi các mô hình AI bằng các phiên bản đã bị biến đổi để tạo ra kết quả không chính xác," ông Vitaly nhận định.

AI có thể bị hacker lợi dụng để tấn công chuỗi cung ứng. Ảnh: Pexels

Các mô hình ngôn ngữ lớn (LLM) dễ dàng tiếp cận như ChatGPT, CoPilot và Gemini có thể bị lợi dụng để tạo ra các vụ lừa đảo qua email (spear phishing), còn công nghệ deepfake có thể được sử dụng để giả mạo những người quan trọng của nạn nhân.

Những thủ đoạn này đã được sử dụng trong cuộc tấn công gây ra thiệt hại lên tới 25 triệu USD tại Hồng Kông, khi kẻ tấn công đã giả mạo hình ảnh của giám đốc tài chính một công ty để lừa đảo lấy số tiền này.

Để đối phó với thực trạng này, ngoài các giải pháp an ninh mạng tối ưu nhất, các doanh nghiệp, tổ chức cần đề ra chiến lược để quản lý hoặc giảm thiểu tác động của một cuộc tấn công chuỗi cung ứng tiềm ẩn trong cơ sở hạ tầng của mình.

Tiểu Minh