Tin tặc tấn công máy chủ Microsoft trên toàn cầu, tình nghi chỉ có một thủ phạm
Theo chuyên gia an ninh mạng, tin tặc tấn công toàn cầu vào phần mềm máy chủ của Microsoft, được hàng ngàn cơ quan chính phủ và doanh nghiệp sử dụng để chia sẻ tài liệu nội bộ, có thể là hành động của một cá nhân duy nhất.
Microsoft đã đưa ra cảnh báo vào hôm thứ Bảy tuần trước về các "cuộc tấn công đang diễn ra" nhằm vào các máy chủ SharePoint được sử dụng trong nội bộ các tổ chức. Công ty cho biết SharePoint Online trong Microsoft 365, vốn hoạt động trên đám mây, không bị ảnh hưởng bởi lỗ hổng này, được gọi là "zero-day" vì trước đó nó chưa được các nhà nghiên cứu an ninh mạng biết đến.
Tin tặc tấn công vào phần mềm máy chủ của Microsoft được hàng ngàn cơ quan chính phủ và doanh nghiệp sử dụng.
"Dựa trên sự nhất quán trong các kỹ thuật sử dụng trong các cuộc tấn công được quan sát, chiến dịch bắt đầu từ thứ Sáu dường như là do một tác nhân duy nhất thực hiện. Tuy nhiên, điều này có thể nhanh chóng thay đổi", Giám đốc Tình báo Mối đe dọa tại Sophos, một công ty an ninh mạng của Anh, Rafe Pilling cho biết. Ông Pilling bổ sung, các kỹ thuật này bao gồm việc gửi cùng một mã độc kỹ thuật số đến nhiều mục tiêu.
"Chúng tôi đã phối hợp chặt chẽ với CISA, Bộ Tư lệnh Phòng thủ Không gian mạng DOD và các đối tác an ninh mạng quan trọng trên toàn cầu trong suốt quá trình xử lý," một phát ngôn viên của Microsoft cho biết, đồng thời nhấn mạnh công ty đã phát hành các bản cập nhật bảo mật và kêu gọi khách hàng cài đặt ngay lập tức.
Hiện vẫn chưa rõ ai đứng sau vụ tấn công đang diễn ra. FBI cho biết vào Chủ Nhật họ đã biết về các cuộc tấn công và đang phối hợp chặt chẽ với các đối tác liên bang và khu vực tư nhân, nhưng không cung cấp thêm chi tiết. Trung tâm An ninh Mạng Quốc gia Anh chưa phản hồi ngay lập tức yêu cầu bình luận.
Theo The Washington Post, những kẻ tấn công chưa xác định danh tính đã khai thác một lỗ hổng trong vài ngày qua để thực hiện một cuộc tấn công nhắm vào các cơ quan và doanh nghiệp tại Mỹ cũng như quốc tế.
Theo dữ liệu từ Shodan, một công cụ tìm kiếm giúp xác định các thiết bị kết nối internet, hơn 8.000 máy chủ trực tuyến có thể đã bị tin tặc xâm nhập. Những máy chủ này bao gồm các công ty công nghiệp lớn, ngân hàng, công ty kiểm toán, công ty chăm sóc sức khỏe và một số cơ quan chính phủ cấp tiểu bang Mỹ cũng như quốc tế.
"Sự cố SharePoint dường như đã gây ra một mức độ xâm phạm rộng rãi trên nhiều máy chủ trên toàn cầu. Việc áp dụng cách tiếp cận giả định đã bị xâm phạm là khôn ngoan và cũng quan trọng để hiểu rằng chỉ áp dụng bản vá không phải là tất cả những gì cần làm ở đây", chuyên gia từ công ty tư vấn an ninh mạng PwnDefend, Daniel Card, nhận định.
Trong cảnh báo, Microsoft cho biết lỗ hổng "cho phép một kẻ tấn công được ủy quyền thực hiện hành vi giả mạo qua mạng". Công ty đã đưa ra các khuyến nghị để ngăn chặn kẻ tấn công khai thác lỗ hổng này. Trong một cuộc tấn công giả mạo, kẻ tấn công có thể thao túng thị trường tài chính hoặc các cơ quan bằng cách che giấu danh tính và giả danh là một cá nhân, tổ chức hoặc trang web đáng tin cậy.
Trước đó, Microsoft cho biết họ đang phát triển các bản cập nhật cho các phiên bản SharePoint 2016 và 2019. Nếu khách hàng không thể kích hoạt các biện pháp bảo vệ phần mềm độc hại được khuyến nghị, họ nên ngắt kết nối máy chủ khỏi internet cho đến khi có bản cập nhật bảo mật.
