Nga đứng đằng sau cuộc tấn công mạng gây chấn động nước Mỹ?
Các chuyên gia an ninh mạng dự đoán, REvil, một băng nhóm tin tặc hoạt động ngoài Đông Âu hoặc Nga rất có thể là thủ phạm của cuộc tấn công mạng gây chấn động nước Mỹ cuối tuần qua.
Kaseya là nạn nhân mới nhất của hình thức tấn công mã độc tống tiền (ransomware) sau một loạt các cuộc tấn công nghiêm trọng thời gian qua. (Nguồn: TASS)
Cuối tuần qua, tin tặc đã tấn công một loạt các công ty, xâm nhập thông tin của các khách hàng doanh nghiệp thông qua phần mềm VSA của công ty công nghệ thông tin Kaseya (Mỹ), vốn cho phép các doanh nghiệp vừa và nhỏ giám sát hệ thống máy tính của mình từ xa.
Ngày 5/7, tin tặc đã yêu cầu một khoản tiền chuộc lên tới 70 triệu USD, thanh toán bằng bitcoin để đổi lấy công cụ giải mã giúp các công ty lấy lại dữ liệu sau cuộc tấn công.
Kaseya là nạn nhân mới nhất của hình thức tấn công mã độc tống tiền (ransomware) sau một loạt các cuộc tấn công nghiêm trọng khiến nhà cung cấp nhiên liệu lớn nhất tại Mỹ Colonial Pipeline và nhà sản xuất và chế biến thịt lớn nhất thế giới JBS Foods "tê liệt". Việc liên tiếp xảy ra các cuộc tấn công mạng trong một thời gian ngắn đã khiến nhiều nhà nghiên cứu, lãnh đạo các công ty và quan chức Mỹ lo lắng về rủi ro từ nguy cơ mạng đối với cơ sở hạ tầng kỹ thuật số và vật lý.
Những công ty nào bị tấn công?
Trong một thông báo, công ty công nghệ thông tin Kaseya cho biết, chiều 2/6, công ty này đã nhận được cảnh báo về một cuộc tấn công tiềm ẩn liên quan đến phần mềm quản lý từ xa VSA. Trong vòng một giờ, công ty đã đóng quyền truy cập vào phần mềm này trong một nỗ lực nhằm ngăn chặn sự lây lan của cuộc tấn công. Sang ngày 3/7, các quan chức Mỹ cho biết, họ đang theo dõi vụ tấn công.
Kaseya là công ty chuyên cung cấp các giải pháp công nghệ trong phạm vi doanh nghiệp. Trong nhiều trường hợp, Kaseya còn bán công nghệ cho các nhà cung cấp dịch vụ bên thứ ba chuyên quản lý hạ tầng công nghệ thông tin cho các công ty, thường là các doanh nghiệp vừa và nhỏ.
Như vậy, chỉ bằng cách nhắm vào một mục tiêu là phần mềm của Kaseya, tin tặc đã dễ dàng truy cập vào một loạt các mạng của nhiều công ty khác nhau.
Các chuyên gia cho biết, cuộc tấn công đã đánh sập ít nhất 10 công ty hỗ trợ công nghệ thông tin sử dụng công cụ quản lý từ xa của Kaseya. Sự cố không chỉ ảnh hưởng đến các khách hàng của Kaseya mà còn ảnh hưởng đến các khách hàng doanh nghiệp của các công ty đã thuê quản lý hạ tầng công nghệ thông tin cho họ.
Kaseya hôm 6/7 cho hay, khoảng 50 khách hàng của họ sử dụng phiên bản VSA tại chỗ đã bị ảnh hưởng trực tiếp bởi cuộc tấn công. Tuy nhiên, công ty này cho rằng, sẽ có tới khoảng 1.500 doanh nghiệp trên khắp thế giới bị ảnh hưởng. "Đó có thể là các văn phòng nha sĩ, văn phòng kế toán nhỏ hay các nhà hàng địa phương", Kaseya thông tin.
Trả lời phỏng vấn hãng tin Reuters hôm 5/7, ông Fred Voccola, Giám đốc điều hành của Kaseya nhận định, rất khó để đánh giá tác động đầy đủ của cuộc tấn công, nhưng ông chưa nghe tin về cơ quan hay tổ chức quan trọng nào của quốc gia bị ảnh hưởng.
Ai đứng đằng sau cuộc tấn công?
Các chuyên gia an ninh mạng dự đoán, REvil, một băng nhóm tin tặc rất có thể đã sử dụng mã độc tống tiền để thực hiện cuộc tấn công vào Kaseya.
Nhóm tội phạm này được cho là hoạt động ngoài Đông Âu hoặc Nga, là một trong những nhóm chuyên cung cấp mã độc tống tiền theo yêu cầu (ransomware-as-a-service) "khét tiếng" nhất thế giới. Nhóm này chuyên cung cấp các mã độc cho các tổ chức, cá nhân nhằm thực hiện các cuộc tấn công và ăn chia phần trăm lợi nhuận. Nhóm này cũng thường xuyên thực hiện các cuộc tấn công riêng.
Theo ông Jon DiMaggio, Trưởng nhóm bảo mật tại Công ty an ninh mạng Analyst1, người đã theo dõi các nhóm tin tặc cho biết, giới chuyên gia an ninh mạng đã theo dõi REvil kể từ khi tổ chức này bắt đầu xuất hiện vào năm 2019 và nhanh chóng trở thành "trùm" trong giới tin tặc.
"Một số nhóm tin tặc khác, bao gồm cả nhóm DarkSide từng thực hiện vụ tấn công quy mô lớn vào Colonial Pipeline tháng 5 vừa qua cũng được cho là thành viên cũ của REvil", ông DiMaggio cho hay.
REvil được cho là "thủ phạm" đứng sau cuôc tấn công vào Kaseya lần này. (Nguồn: CNBC)
Cũng theo các chuyên gia, các đại diện của REvil giao tiếp trực tuyến bằng tiếng Nga và các cuộc tấn công thường được thiết kế để tránh các thiết bị của Nga.
REvil cũng đứng sau một số cuộc tấn công ransomware quy mô lớn gần đây - cuộc tấn công JBS Foods vào tháng trước, nhà cung cấp Quanta Computer của Apple (AAPL) hồi tháng 4 và nhà sản xuất thiết bị điện tử Acer hồi tháng 3.
Các quan chức Mỹ đã thúc giục phía Nga hành động để truy tố các nhóm tội phạm mạng hoạt động trong nước.
Phản ứng từ Nhà Trắng
Nhà Trắng đã kêu gọi các công ty có hệ thống bị tê liệt bởi cuộc tấn công có thể báo cáo ngay với Trung tâm Khiếu nại Tội phạm Internet.
Bà Anne Neuberger, Phó cố vấn An ninh quốc gia về Không gian mạng và Công nghệ mới nổi cho biết: “Kể từ 3/7, chính phủ đã làm việc liên ngành để đánh giá sự cố tấn công mã độc vào Kaseya và hỗ trợ đối phó. Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã làm việc với Kaseya nhằm phối hợp tiến hành tiếp cận các nạn nhân bị ảnh hưởng"
Trong một cuộc họp báo cuối tuần qua, Tổng thống Mỹ Joe Biden cũng cho biết, trong khi các quan chức vẫn đang điều tra nguồn gốc của vụ tấn công, Mỹ có thể trả đũa nếu chính phủ Nga có liên quan.
"Chúng tôi không chắc chắn. Suy nghĩ ban đầu đó không phải là chính phủ Nga, nhưng chúng tôi chưa chắc chắn", ông Biden cho hay.
Bài học xương máu
Cuộc tấn công mã độc vào Kaseya vừa qua cho thấy mục tiêu phổ biến của những nhóm tin tặc ransomware là các nhà cung cấp dịch vụ (MSP). Các MSP như khách hàng của Kaseya cho phép các công ty thuê ngoài một số phần mềm và dịch vụ, chẳng hạn như quản lý hạ tầng công nghệ thông tin cho bên thứ ba, giúp tránh chi phí phải thuê các chuyên gia như vậy tại chỗ.
SolarWinds - công ty bị ảnh hưởng bởi một vụ tấn công an ninh mạng nghiêm trọng vào năm ngoái - cũng cung cấp phần mềm quản lý công nghệ thông tin cho nhiều công ty và cơ quan chính phủ trong danh sách Fortune 500.
Mặc dù các cuộc tấn công như vậy không phải mới, nhưng các MSP luôn đặc biệt thu hút và tạo cơ hội lớn cho tin tặc vì kẻ gian có thể tương tác với mạng của các công ty khác thông qua các MSP, theo chuyên gia DiMaggio.
Trong nhiều trường hợp, việc không có quy trình kiểm tra kỹ thuật đối với các bản cập nhật phần mềm đến từ các MSP vì họ được coi là các đối tác "đáng tin cậy", có khả năng khiến khách hàng dễ bị tấn công bởi các tác nhân xấu khi chúng nhúng phần mềm tống tiền vào các bản cập nhật này.
“Sẽ cần phải kiểm tra và cân đối nhiều hơn đối với bất kỳ nhà cung cấp bên thứ ba nào", ông DiMaggio cho biết.
