Phần mềm giám sát mạng SolarWinds bị cài trojan, hàng loạt chính phủ và doanh nghiệp lớn bị đe dọa

SolarWinds là công ty chuyên cung cấp phần mềm giúp giám sát mạng, hệ thống và cơ sở hạ tầng IT. Khách hàng của SolarWinds là các tổ chức chính phủ và nhiều doanh nghiệp lớn trên toàn cầu.

Mới đây, các chuyên gia an ninh mạng đã phát hiện ra rằng bản cài đặt của phần mềm quản lý giám sát Orion IT do SolarWinds phát triển đã bị nhiễm trojan. Hacker đã dùng backdoor có tên là SUNBURST (hoặc Solorigate) để thực hiện quá trình lây nhiễm trojan vào Orion IT.

• Trojan là gì? Làm sao để tránh trojan tấn công?

Sự việc trở nên đáng báo động khi người ta thống kê được rằng nhiều tổ chức chính phủ và các công ty lớn trên toàn cầu đã cài đặt phiên bản phần mềm nhiễm trojan này.

Danh sách các nạn nhân của cuộc tấn công quy mô lớn này bao gồm một số cơ quan của Mỹ như Bộ Tài chính, Cục Quản lý Thông tin và Truyền thông Quốc gia (NTIA). Theo Microsoft và hãng an ninh mạng FireEye nhóm hacker đứng đằng sau vụ tấn công này có thể được tài trợ bởi một chính phủ.

SolarWinds phục vụ hơn 300.000 khách hàng trên toàn cầu, bao gồm 425 doanh nghiệp trong danh sách Fortune 500 của Mỹ, 10 công ty viễn thông hàng đầu của Mỹ. Ngoài ra còn có hàng trăm trường học và cao đẳng, tất cả 5 nhánh của Quân đội Mỹ, Lầu Năm Góc, Bộ Ngoại giao, NASA, NSA, Postal Service, NOAA, Bộ Tư pháp và Văn phòng Tổng thống Mỹ.

Khoảng 18.000 khách hàng đã tải về bản Orion IT nhiễm trojan

Theo SolarWinds, hiện tại hãng đã nắm được thông tin về cuộc tấn công. Hãng này cho rằng cuộc tấn công này được tiến hành một cách thủ công, tinh vi bởi một nhóm hacker có trình độ cao, được tài trợ bởi một chính phủ. SolarWinds báo cáo rằng khoảng dưới 18.000 khách hàng đã tải về bản Orion IT nhiễm trojan.

SolarWinds hiện đang phối hợp chặt chẽ với FireEye, FBI, cộng đồng tình báo mạng và các cơ quan thực thi pháp luật để điều tra vụ việc. Hiện tại, họ chưa thể cung cấp thêm thông tin gì về vụ việc cho tới khi hoàn tất quá trình điều tra.

SolarWinds cũng đang hợp tác với Microsoft để loại bỏ vecto tấn công nhằm xâm phạm các công cụ văn phòng Microsoft Office 365.

Cuộc tấn công này bắt đầu từ tháng 03/2020 và không dừng lại ở việc đánh cắp dữ liệu. Nhóm hacker đứng đằng sau cuộc tấn công tập trung vào một loạt mục tiêu trên toàn cầu bao gồm các tổ chức chính phủ, hãng tư vấn, công nghệ, viễn thông và các đơn vị khai thác ở Bắc Mỹ, châu Âu, châu Á và Trung Đông.

FireEye dự đoán rằng có thể có thêm các nạn nhân ở những quốc gia và ngành dọc khác. Hãng này hiện đã thông báo cho tất cả các khách hàng và các đối tượng đã hoặc có thể trở thành mục tiêu cuộc tấn công này.

Bản vá hiện đã được tung ra

SolarWinds vừa tung ra Orion Platform phiên bản 2020.2.1 HF 1 để cập nhật cho các hệ thống đang bị tấn công (từ 2019.4 HF 5 tới 2020.2.1, phát hành từ tháng 3/2020 tới tháng 6/2020). Hãng này khuyến cáo các khách hàng nên cập nhật càng sớm càng tốt lên phiên bản 2020.2.1 HF 1 để đảm bảo an toàn.

Dự kiến, SolarWinds sẽ phát hành bản vá bổ sung 2020.2.1 HF 2 trong thời gian sớm nhất.

Đại sứ quán Nga tại Mỹ phản đối cáo buộc có liên quan tới hacker

Trước cáo buộc của phía Mỹ rằng cuộc tấn công này được tiến hành bởi hacker Nga có sự hỗ trợ của chính phủ, Đại sứ quán Nga tại Mỹ đã lên tiếng. Theo đó, phía Nga khẳng định rằng các hoạt động độc hại trên không gian mạng mâu thuẫn với chính sách đối ngoại của Nga. Nga cam kết không tiến hành các hoạt động tấn công trong không gian mạng.