[Hack SolarWinds] Một vụ hack sững sờ và run rẩy


Bất kể vụ tấn công nhắm vào Công ty giải pháp công nghệ SolarWinds (Texas) có phải do Nga đứng sau như cáo buộc của Washington hay không thì chiến dịch này được chính các chuyên gia công nghệ Mỹ thừa nhận là quá thần sầu và người ngoại đạo cũng có thể theo dõi như một bộ phim ly kỳ.

 Hackers lurking in the internet

Nửa đầu năm 2020, khách hàng sử dụng phần mềm Orion, một công cụ quản trị hệ thống mạng rất phổ biến tại Mỹ do SolarWinds phát triển, nhận được thông báo cập nhật định kỳ.

Ở thời “Internet vạn vật”, khi lò vi sóng cũng cần được cập nhật phần mềm, đây là chuyện quá sức bình thường. Vì thế mà gần 20.000 người dùng Orion khi đó đã click “Đồng ý cập nhật” không cần nghĩ. 

Chính họ, giới công nghệ và cả chính quyền Washington, không ngờ bản cập nhật gần như mang tính thủ tục này lại là khởi đầu cho một vụ tấn công tin tặc có độ tinh vi và phức tạp ở quy mô mà người Mỹ chưa từng chứng kiến, và cũng không tài nào lường trước được.

Con ngựa thành Troy

Một nhóm tin tặc mà Mỹ cáo buộc nhận chỉ đạo từ cơ quan tình báo Nga (Matxcơva dĩ nhiên chối phăng) đã lợi dụng bản cập nhật để đưa mã độc vào phần mềm Orion và sau đó sử dụng đoạn mã gián điệp này để tiến hành một cuộc tấn công mạng quy mô lớn nhắm vào các mục tiêu trọng yếu.

“Chúng tôi ước tính khoảng 18.000 (khách hàng) đã tải bản cập nhập có chứa đoạn mã này từ tháng 3 đến tháng 6-2020” – Sudhakar Ramakrishna, chủ tịch kiêm CEO SolarWinds, thừa nhận với Đài NPR.

Tuy nhiên, Ramakrishna cho rằng nhóm tin tặc chỉ mới xâm nhập thành công vào hệ thống của khoảng… 100 công ty và tầm chục cơ quan chính phủ có sử dụng phần mềm Orion. Danh sách bao gồm các tên tuổi như Microsoft, Intel, Cisco, Bộ Tài chính, Bộ Tư pháp và năng lượng, và Lầu Năm Góc. 

Đến cả Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa, đơn vị có nhiệm vụ bảo vệ các hệ thống mạng máy tính liên bang khỏi các cuộc tấn công mạng, cũng trở thành nạn nhân trong vụ hack lịch sử.

Để hình dung mức độ ảnh hưởng của vụ tấn công, cần hiểu Orion là phần mềm cho phép bộ phận IT của một cơ quan, đơn vị giám sát toàn bộ hệ thống mạng – từ máy chủ, tường lửa cho đến các thiết bị ngoại vi như máy in – từ một khu vực điều khiển trung tâm. Nói cách khác, Orion lúc này chẳng khác gì một chú ngựa thành Troy mang địch quân vào thẳng cơ quan đầu não của phe ta.

Đài NPR, sau nhiều tháng trời ngâm cứu hồ sơ vụ tấn công và phỏng vấn hàng chục nhân vật có liên quan, rút ra kết luận không thể khác được rằng đây là “một cuộc tấn công không giống bất kỳ cuộc tấn công nào khác, được tung ra bởi một kẻ thù tinh vi nhắm vào điểm yếu chí tử của cuộc sống số: bản cập nhật phần mềm định kỳ”.

Ông Adam Meyers, phó chủ tịch Công ty an ninh mạng CrowdStrike và là người đứng đầu nhóm chuyên gia Mỹ phụ trách điều tra vụ tấn công, cũng phải thốt lên rằng “tuyệt kỹ” mà nhóm tin tặc sử dụng là “phi thường” và là “thứ điên rồ nhất mà tôi từng chứng kiến”.

Đây là nhận xét có trọng lượng, đến từ người đã điều tra nhiều vụ hack đình đám khác như vụ đột nhập máy chủ Hãng phim Sony Pictures năm 2014 hay sự cố rò rỉ email của Đảng Dân chủ trước thềm cuộc bầu cử tổng thống Mỹ năm 2016.

 Ảnh: Getty Images

Nghệ thuật xâm nhập

Chiến dịch tấn công nhắm vào SolarWinds bắt đầu với một đoạn mã cực kỳ đơn giản mà nhóm của Meyers phát hiện đã tồn tại trong phần mềm Orion từ tận tháng 9-2019. Đoạn mã này không có tác dụng gì khác ngoại trừ kiểm tra xem máy tính của nạn nhân đang sử dụng bộ xử lý 32-bit hay 64-bit rồi trả về số 0 hoặc 1 tương ứng. Đoạn mã thực chất chỉ làm phép thử mà nhóm hacker dùng để kiểm chứng liệu mã nguồn đã bị can thiệp có thể đến tay người dùng cuối được hay không. Và thực tế là có.

Sau khi chứng minh khả năng tấn công là có, nhóm tin tặc này không vội ra tay ngay; trái lại, họ không có động thái gì thêm trong suốt 5 tháng tiếp theo. Sự kiên nhẫn và thận trọng này được cho là hiếm thấy với tội phạm công nghệ cao.

Khi trở lại vào tháng 2-2020, những kẻ tấn công đã mở một “cửa hậu” (backdoor) – phương thức giúp chúng đột nhập và cài cắm vào phần mềm đoạn mã độc ngay trước khi nó được “đóng gói” và gửi đến người dùng dưới dạng bản cập nhật.

Nghe có vẻ đơn giản, nhưng thực tế để làm được chuyện này đòi hỏi lắm công phu. Vì lý do bảo mật, phần mềm thành phẩm ngày nay được “niêm phong” bằng con dấu kỹ thuật số trước khi đến tay khách hàng. Nếu niêm phong này có dấu hiệu bị phá hoại, đó là cơ sở đầu tiên cảnh báo cho người dùng rằng nội dung bên trong có thể đã bị thay đổi. Chỗ này cũng giống giao hàng ngoài đời, thấy gói hàng không “nguyên seal” thì phải nghi ngờ ngay.

Nhóm hacker đã khai thác một lỗ hổng trong quy trình bảo mật này bằng cách thay thế file gốc của phần mềm bằng file chứa mã độc ngay trước bước đóng gói cuối cùng – tức là sau khi những thay đổi trong mã nguồn đã được kiểm tra và phê duyệt. Bằng cách này, hệ thống hoàn toàn bị đánh lừa rằng file giả mạo kia là hàng thật, và cũng không còn ai kiểm tra lại lần nữa trước khi phần mềm chứa mã độc xuất xưởng. Vỏ hoàn hảo, nhưng ruột đã bị tráo từ lúc nào.

Theo Meyers, thủ thuật này gợi nhắc ông đến lời cha mẹ ở Mỹ thường dặn con mình khi đi xin bánh kẹo dịp Halloween phải kiểm tra thật kỹ bao bì bất cứ thứ gì trước khi bỏ vô miệng, đề phòng kẻ xấu giấu lưỡi lam bên trong những cái bánh kẹo ngon lành.

“Hãy tưởng tượng những cái bánh đang trên dây chuyền đóng gói, và trong tích tắc trước khi máy bắt đầu đóng hộp và niêm phong sản phẩm, thứ gì đó xuất hiện và đẩy lưỡi dao lam vào trong chiếc bánh” – Meyers nói. Thay vì lưỡi dao, hacker đổi file. Và dù là đóng gói bánh quy bơ đậu phộng hay bản cập nhật phần mềm thì cũng thế: sản phẩm được đóng gói, niêm phong đúng quy trình, dù nội dung đã khác.

Đây là một trong những chiến dịch gián điệp mạng hiệu quả nhất mọi thời đại. [Các hacker] không chỉ thể hiện sự nhạy bén về kỹ thuật, mà cách họ tiến hành vụ tấn công chứng tỏ rằng họ hiểu cách các công ty công nghệ và công ty phần mềm vận hành. – Alex Stamos (cựu giám đốc an ninh của Facebook)

Đánh nhanh, rút gọn

Điều khiến nhiều người ngạc nhiên là không một biện pháp phòng vệ tấn công tin tặc nào của Mỹ, dù là tư nhân hay chính phủ, đã phát hiện sớm để ngăn chặn đợt tấn công lần này.

Ông Christopher Krebs, người từng phụ trách CISA dưới thời cựu Tổng thống Donald Trump, nói với NPR rằng hệ thống hiện tại của Bộ An ninh nội địa Mỹ chỉ phát hiện được các mối đe dọa đã biết, trong khi kỹ thuật được áp dụng trong vụ tấn công SolarWinds đơn giản là “quá mới”.

Cơ quan an ninh quốc gia và Bộ chỉ huy mạng của quân đội Mỹ cũng hoàn toàn bị bất ngờ. Thông thường, những cơ quan này theo dõi các hệ thống mạng nước ngoài để tìm kiếm dấu hiệu của một cuộc tấn công trước khi nó xảy ra, tương tự như cơ chế cảnh báo nếu hình ảnh vệ tinh cho thấy một lượng lớn khí tài tập trung sát biên giới.

Nhóm hacker đã “di chuyển như những bóng ma” và qua mặt các biện pháp cảnh giới này bằng cách thuê máy chủ đặt tại Mỹ – thông qua các nhà cung cấp phổ thông như AWS hay GoDaddy – để làm điểm trung chuyển rồi từ đó mới phát động cuộc tấn công nhằm xóa hoàn toàn dấu vết yếu tố nước ngoài.

“Đánh nhanh” là một chuyện, “rút gọn” lại là một nghệ thuật khác mà các chuyên viên điều tra Mỹ cũng phải ngả mũ thán phục trước những kẻ tấn công SolarWinds. Như thám tử tìm kiếm dấu vân tay để lại hiện trường nhằm xác định kẻ thủ ác, để xác định danh tính hacker đứng sau một vụ tấn công, các chuyên gia giám định Mỹ phải để mắt đến những “dấu chỉ văn hóa” cực nhỏ, ví dụ như ký tự nước ngoài hoặc lỗi chính tả còn sót lại trong những đoạn mã độc.

Nhóm của Meyers đã hi vọng đoạn mã sẽ có một vài chỗ viết bằng chữ không phải tiếng Latin để cung cấp manh mối cho các điều tra viên xác định ai là người viết ra những dòng code đó. Nhưng đoạn mã là một hiện trường sạch sẽ. “Họ đã xóa sạch toàn bộ dấu vết của con người và công cụ hỗ trợ. Thật đáng kinh ngạc là [các hacker] có khả năng che giấu mọi thứ mà một người bình thường đã có thể vô thức để lại làm manh mối” – Meyers nhận xét.

3.500 dòng code và 90 triệu USD

Dù dấu hiệu bất thường đầu tiên liên quan đến Orion được một công ty an ninh mạng ở Washington DC ghi nhận trên máy tính khách hàng từ tháng 7-2020, phải đến cuối năm ngoái Cục Điều tra liên bang (FBI) mới nhận được báo cáo đầu tiên liên quan đến vụ việc từ Công ty an ninh mạng FireEye.

Đến giữa tháng 1-2021, nhóm của Meyers đã tìm được đến “trái tim” của cuộc tấn công: một đoạn code súc tích chỉ vỏn vẹn 3.500 dòng. Đây là con số khá nhỏ so với thiệt hại mà nó gây ra. Các đơn vị bảo hiểm mạng có thể sẽ phải chi trả đến 90 triệu USD để thanh toán phí điều tra và khắc phục sự cố cho các nạn nhân của vụ tấn công liên quan đến SolarWinds, trang CRN dẫn lời một chuyên gia trong ngành ước tính.

Những mục tiêu lớn hơn

Nhiều chuyên gia lo ngại đòn đánh vào SolarWinds chỉ là mưa rào so với một cơn bão dữ dội hơn sắp đổ bộ. Meyes cũng cho rằng nỗi lo nhất sau tất cả là đoạn mã của các hacker không chỉ được thiết kế dành riêng cho SolarWinds, mà có thể được tùy biến để tấn công bất kỳ sản phẩm phần mềm của công ty nào khác sử dụng cùng một trình biên dịch.

Trong vụ hack Ukraine năm 2017, tin tặc đã rải ransomware (mã độc đòi tiền chuộc) làm tê liệt hoạt động các công ty đa quốc gia và khóa vĩnh viễn hàng chục ngàn máy tính. Đây được coi là cuộc tấn công mạng có tính hủy diệt và tốn kém nhất trong lịch sử.

Trong vụ SolarWinds, các tin tặc đã có thời gian để gây thiệt hại còn nhiều hơn thế khi lang thang khắp các hệ thống mạng máy tính cơ yếu của Mỹ trong suốt 9 tháng mà không bị phát hiện. Thiệt hại hữu hình thì chưa ghi nhận, nhưng thứ không thấy mới đáng ngại hơn: liệu nhóm hacker này có thật sự chỉ đọc lén email và làm những việc mà gián điệp thường làm, hay liệu họ đã âm thầm cài cắm thứ gì đó có khả năng phá hoại khủng khiếp hơn để sử dụng trong tương lai?

Khi đã truy cập được vào hệ thống mạng của chính phủ, tin tặc có thể “phá hủy hay thay đổi dữ liệu và mạo danh người khác” – Tom Bossert, cố vấn an ninh nội địa dưới thời ông Trump, viết trên The New York Times.

Kevin Mandia – CEO Công ty an ninh mạng FireEye, đơn vị đầu tiên phát hiện và phát đi cảnh báo về vụ tấn công SolarWinds – cho rằng các dịch vụ công và y tế công cộng có thể nằm trong danh sách tiếp theo bị tấn công, nếu một đợt tấn công nữa xảy ra.

Alex Stamos, cựu giám đốc an ninh của Facebook, nhận xét rằng nghệ thuật lên kế hoạch và tấn công của các hacker trong vụ SolarWinds “chắc chắn sẽ thay đổi cách nghĩ của các doanh nghiệp lớn về phần mềm mà họ cài đặt cũng như cách họ xử lý các bản cập nhật”.

Meyers gọi chiến dịch tin tặc nhằm vào SolarWinds là “một hoạt động tình báo nhằm đánh cắp thông tin”, và cảnh báo đây sẽ không phải là lần cuối cùng một vụ tấn công như vậy xảy ra. “Nó sẽ là chuyện cơm bữa… Và tôi nghĩ tất cả chúng ta sẽ có nhiều việc phải làm để cùng nhau ngăn chặn một tương lai như vậy” – ông nói.

Ngày 15-4, chính quyền Tổng thống Mỹ Joe Biden công bố một loạt các biện pháp trừng phạt cứng rắn nhắm vào Nga, như một cách phản ứng trước sự vụ SolarWinds, dù Matxcơva vẫn một mực khẳng định không liên can.

Nhà Trắng cũng đang tiếp tục soạn thảo một loạt sắc lệnh hành pháp buộc các công ty cung cấp phần mềm cho cơ quan chính phủ phải đạt những tiêu chuẩn an toàn thông tin nhất định, cũng như yêu cầu các cơ quan liên bang thực hiện nghiêm các biện pháp phòng vệ cơ bản như mã hóa dữ liệu trong hệ thống.

Những công ty phần mềm như SolarWinds có thể sẽ được yêu cầu xây dựng hệ thống đóng gói phần mềm trong môi trường không có kết nối Internet để đảm bảo an ninh, theo thông tin của NPR.

Hoa Kim / TTCT

Best Corporate Security Blog


refer: http://www.securitybloggersnetwork.com

security1

Other nominees:

McAfee Blog: click here

CloudFlare Blog: click here

SecureWorks Blog: click here

Solutionary Minds Blog: click here

Kaspersky Lab Securelist Blog: click here

Veracode Blog: click here

Trend Micro Blog: click here

AND THE WINNER IS:

Naked Security Blog: click here

Best Security Podcast

Other nominees:

Liquidmatrix Security Digest: click here

EuroTrashSecurity: click here

SANS Internet Storm Center: click here

Southern Fried Security: click here

Risky Business: click here

Sophos Security Chet Chat: click here

And the winner is:

Paul Dotcom: click here

The Most Educational Security Blog

Other nominees:

BH Consulting’s Security Watch Blog: click here

Security Uncorked Blog: click here

Dr. Kees Leune’s Blog: click here

Securosis Blog: click here

Social-Engineer.org Blog: click here

Critical Watch Blog: click here

The Security Skeptic Blog: click here

The New School of Information Security Blog: click here

And the winner is:

Krebs On Security: click here

The Most Entertaining Security Blog

Other nominees:

Packet Pushers Blog: click here

Securosis Blog: click here

Errata Security Blog: click here

Naked Security Blog: click here

Uncommon Sense Security Blog: click here

PSilvas Blog: click here

And the winner is:

J4VV4D’s Blog: click here

The Blog That Best Represents The Security Industry

Other nominees:

SpiderLabs Anterior Blog: click here

1 Raindrop Blog: click here

Naked Security Blog: click here

The Firewall (Forbes) Blog: click here

Threat Level (Wired) Blog: click here

Securosis Blog: click here

Michael Peters Blog: click here

And the winner is:

Krebs On Security Blog: click here

The Single Best Blog Post or Podcast Of The Year

Other nominees:

The Epic Hacking of Mat Honan and Our Identity Challenge: click here

Application Security Debt and Application Interest Rates: click here

Why XSS is serious business (and why Tesco needs to pay attention): click here

Levelling up in the real world: click here

Secure Business Growth, Corporate Responsibility with Ben Tomhave: click here

And the winner is:

Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees): click here

The Security Bloggers Hall Of Fame

The other nominees are:

Richard Bejtlich

Gunnar Peterson

Naked Security Blog

Wendy Nather

And the winner is:

Jack Daniel

Intel Cloud 2015 Vision



 

Khi điện toán mây (cloud computing) đang ngày càng hiển hiện rõ, phát triển các “đám mây” như thế nào để đem lại lợi ích cao nhất cần đến một chiến lược dài hạn và sự hợp tác liên kết giữa những tập đoàn “mây”. Cloud 2015 là một nỗ lực của Intel nhằm đạt được điều này : giúp điện toán mây hoạt động đồng bộ hiệu quả hơn, an ninh hơn và đơn giản hơn.

3 thành phần chính trong tầm nhìn Cloud 2015 của Intel gồm :

  • Một hệ thống “mây liên bang” giúp các doanh nghiệp lớn chia sẻ dữ liệu qua lại lẫn nhau trong “mây” của mình và “mây” của người khác
  • Một hệ thống mạng “tự động” sẽ cho phép vận chuyển các tài nguyên và ứng dụng được đảm bảo an ninh nhằm cải thiện tính hiệu quả tiêu thụ điện của các trung tâm dữ liệu (data center)
  • Các đám mây có khả năng “nhận biết người dùng” thông qua các PC hay thiết bị điện toán cá nhân để biết loại ứng dụng, dữ liệu và hàm lệnh nào phù hợp với nhu cầu của người dùng, nhằm cải thiện trải nghiệm “mây” của họ

Để Cloud 2015 trở thành hiện thực, Intel triển khai 2 chương trình gồm Liên minh Trung tâm Dữ liệu Mở (Open Data Center Alliance) và Những người Dựng mây (Intel Cloud Builders).

Open Data Center Alliance

Là một liên minh trên 70 công ty hàng đầu có tổng số vốn đầu tư hàng năm lên đến 50 tỷ USD. Các thành viên trong ban chỉ đạo liên minh gồm BMW, China Life, Deutsche Bank, J.P. Morgan Chase, Lockheed Martin, Marriott International, Inc., National Australia Bank, Shell, Terremark và UBS. Vai trò của liên minh này nhằm vạch ra những yêu cầu về phần cứng và phần mềm trong tương lai, để từ đấy tạo ra các sản phẩm có thể đáp ứng được nhu cầu của nền công nghiệp, đặc biệt là công nghiệp điện toán mây.

Chức năng của Intel trong liên minh này sẽ là cố vấn kỹ thuật, trong khi các thành viên chủ chốt còn lại tập trung vào các sản phẩm cho khách hàng của họ thay vì thiên về công nghệ.

Intel Cloud Builders

Mục tiêu của chương trình này là liên kết các đối tác chủ chốt về xây dựng các data center bao gồm cả phần cứng lẫn các hệ điều hành và các giải pháp phần mềm để từ đó thống nhất được cách triển khai, duy tu bảo trì và tối ưu các hệ thống trên, đương nhiên là dưới sự góp sức của Intel.

Các thành viên chính của Cloud Builders gồm Canonical, Cisco, Citrix, Dell, EMC, Enomaly, Eucalyptus Systems, Gproxy, HP, IBM, Joyent, Microsoft, NetApp, NetSuite, Novell, Parallels, Red Hat, Univa và VMware.

Đối với các bạn độc giả, những người được thừa hưởng lợi ích từ điện toán mây, đoạn clip sau của Intel có lẽ sẽ khái quát hết thảy mọi thứ nếu bạn mong muốn một thông tin gì đó trực quan hơn.

http://voz.vn/2010/10/28/intel-he-lo-tam-nhin-dien-toan-may-cloud-2015


Intel® Cloud Builders
Intel Cloud Builders brings together leading systems and
software solutions vendors to provide best practices and
practical guidance on how to deploy, maintain, and optimize
a cloud infrastructure based on Intel architecture. In short,
Intel Cloud Builders provides the industry a central point for
cloud innovation based on the IT requirements defined by
the Open Data Center Alliance and other IT end users. Intel
Cloud Builders publishes detailed reference architectures,
success stories, and best practices that you can use right now
to deploy and enhance your cloud. Using this guidance and
interaction with cloud leaders, IT managers can begin utiliz-
ing proven solutions to improve cloud security and efficiency
while simplifying data center management and operations.
Learn more at www.intel.com/cloudbuilders.

Intel’s Vision of the Ongoing  Shift to Cloud Computing
Executive Overview
Cloud computing is an important transition and a paradigm shift in IT services delivery – one
that promises large gains in efficiency and flexibility at a time when demands on data centers
are growing exponentially. The tools, building blocks, solutions, and best practices for cloud
computing are evolving, and challenges to deploying cloud solutions need to be considered.
The technology and industry leadership that Intel brings to this environment is broader
and deeper than most realize. Intel’s Cloud 2015 Vision is that cloud computing is federated,
automated, and client-aware. Moving the industry toward that promise will require a focus
on three industry-wide pillars of cloud computing – efficiency, simplification, and security –
and on solutions that are open, multi-vendor, and interoperable.
A Paradigm Shift
Rather than a revolution, cloud computing is an important transition, a paradigm shift in IT delivery – one that has broad
impact and important challenges to consider. Cloud computing offers the potential for a transformation in the design,
development, and deployment of next-generation technologies – technologies that enable flexible, pay-as-you-go
business models that will alter the future of computing from mobile platforms and devices to the data center.
The impetus behind cloud computing is the ever-increasing demands placed on data centers that are near capacity
and resource-constrained. These demands include growing needs to manage business growth and increase IT
flexibility. In response to these challenges, cloud computing is evolving in the forms of both public clouds (deployed
by Internet companies, telcos, hosting service providers, and others) and private or enterprise clouds (deployed by
enterprises behind a firewall for an organization’s internal use).

Download PDF : http://www.intel.com/content/dam/doc/white-paper/cloud-computing-intel-cloud-2015-vision.pdf

http://www.intel.com/content/www/us/en/cloud-computing/cloud-computing-intel-cloud-2015-vision.html

%d bloggers like this: