Nhà sản xuất máy bay phản lực thương mại khổng lồ Bombardier vừa chính thức “ghi tên mình” vào danh sách những “công ty tỷ đô” trở thành nạn nhân của băng đảng ransomware (mã độc tống tiền) Clop. Dữ liệu nội bộ của Bombardier đã bị xâm phạm nghiêm trọng sau khi những kẻ tấn công khai thác thành công một lỗ hổng zero-day nguy hiểm tồn tại trong hệ thống.
Đầu tuần này, băng đảng đứng sau vận hành mã độc ransomware Clop đã cho đăng tải một phần nhỏ trong kho dữ liệu đánh cắp được từ Bombardier trên trang web rò rỉ dữ liệu của mình. Dữ liệu này bao gồm sơ đồ thiết kế máy bay và các bộ phận linh kiện, cũng như báo cáo thử nghiệm quan trọng. Đây là một động thái thường gặp của các băng đảng ransomware nhằm gây sức ép buộc nạn nhân phải trả tiền chuộc dữ liệu.
Trong thông cáo báo chí chính thức, phía Bombardier thừa nhận một lượng lớn dữ liệu nội bộ của công ty đã bị xâm phạm sau khi tin tặc tận dụng thành công lỗ hổng trong "ứng dụng truyền tệp" mà họ đang sử dụng:
"Điều tra ban đầu cho thấy rằng dữ liệu của chúng tôi đã bị truy cập và trích xuất bằng cách khai thác một lỗ hổng ảnh hưởng đến ứng dụng truyền tệp của bên thứ ba mà Bombardier đang sử dụng. Ứng dụng này đang chạy trên các máy chủ được xây dựng với mục đích cách ly với mạng CNTT chính của công ty".
Nhà sản xuất máy bay phản lực thương mại Canada xác nhận rằng ứng dụng chuyển tệp mà họ nói đến là Accellion FTA. Điều đáng nói ở chỗ chính ứng dụng chia sẻ tệp an toàn này trước đó cũng đã bị cáo buộc có liên quan đến một loạt vụ vi phạm dữ liệu nghiêm trọng kể từ tháng 12 năm 2020.
Bombardier tuyên bố rằng những kẻ tấn công đã đánh cắp được “một phần đáng kể” dữ liệu cá nhân và bí mật của nhân viên, khách hàng cũng như đối tác của công ty.
Phân tích pháp y máy tính cho thấy thông tin cá nhân và một số dữ liệu bí mật khác liên quan đến nhân viên, khách hàng và nhà cung cấp đã bị xâm phạm. Khoảng 130 nhân viên ở Costa Rica đã bị ảnh hưởng. Phía Bombardier đã chủ động liên hệ với khách hàng và các bên liên quan khác có dữ liệu có thể bị xâm phạm.
Tuy nhiên, công ty cũng nhấn mạnh rằng các máy chủ Accellion FTA bị cô lập với phần còn lại của hệ thống mạng, và do đó những kẻ tấn công sẽ không truy cập được vào bất kỳ hệ thống nào khác.
Bombardier là một trong những nhà sản xuất máy bay phản lực kinh doanh hàng đầu thế giới với hơn 16.000 nhân viên và đạt doanh thu 6,5 tỷ USD trong năm 2020.
Lỗ hổng Zero-day trong Accellion FTA
Accellion FTA là một dịch vụ truyền tệp khá nổi tiếng và đã có tuổi đời trên 20 năm. Nó được nhiều tổ chức sử dụng làm công cụ chia sẻ các tệp nhạy cảm với những đối tượng bên ngoài hệ thống cửa mình một cách an toàn.
Vào tháng 12/2021, một nhóm hacker đã bắt đầu khai thác lỗ hổng zero-day trên các thiết bị Accellion FTA cho phép chúng ăn cắp dữ liệu được lưu trữ trên máy chủ.
Phía Accellion FTA đã ngay lập tức phát hành một bản cập nhật bảo mật để khắc phục vấn đề. Nhưng tại thời điểm đó, những kẻ tấn công đã xâm nhập thành công vào máy chủ của nhiều tổ chức và đánh cắp dữ liệu.
Từ tháng 2 năm nay, băng đảng ransomware Clop đã bắt đầu công bố dữ liệu về những nạn nhân có thiết bị Accellion FTA bị xâm phạm. Đây đều là những doanh nghiệp có quy mô cực lớn, bao gồm Singtel, Jones Day, Fugro, Danaher, ABS Group, Kroger, Viện Nghiên cứu Y tế QIMR Berghofer, Ngân hàng Dự trữ New Zealand, Ủy ban Chứng khoán và Đầu tư Úc (ASIC), và Văn phòng Kiểm toán Nhà nước Washington ("SAO").