cha12 ba
12-09-2020, 17:23
12/09/20
Viết trên trang blog của website công ty ngày 8-12-2020, tổng giám đốc điều hành FireEye (một trong những công ty an ninh mạng lớn nhất thế giới, trụ sở ở California) – Kevin Mandia – cho biết chiến dịch đánh phá bằng tin tặc nhằm vào FireEye đă được thực hiện chuyên nghiệp đến mức đứng sau nó phải là cỡ một quốc gia chứ không thể là tổ chức hoặc cá nhân…
https://www.vietbf.com/forum/attachment.php?attachmentid=1704306&stc=1&d=1607534613
Kevin Mandia viết: “Dựa trên 25 năm của tôi trong lĩnh vực an ninh mạng và ứng phó với các trở ngại kỹ thuật, tôi kết luận rằng chúng tôi đang chứng kiến cuộc tấn công của một quốc gia có khả năng tấn công hàng đầu. Cuộc tấn công này khác với hàng chục ngh́n sự cố mà chúng tôi đă ứng phó trong những năm qua. Những kẻ tấn công đă điều chỉnh đặc biệt cho phù hợp với khả năng đẳng cấp thế giới của chúng để nhắm mục tiêu đánh phá FireEye.
Chúng được đào tạo chuyên nghiệp về bảo mật và thực thi với khả năng kỷ luật và mức độ tập trung cao. Chúng hoạt động bí mật, dùng những biện pháp chống lại các công cụ an ninh. Chúng sử dụng một tổ hợp kỹ thuật mới lạ mà chúng tôi hoặc các đối tác của chúng tôi chưa từng chứng kiến trong quá khứ. Chúng tôi đang tích cực điều tra với sự phối hợp của Cơ quan Điều tra Liên bang (FBI) và các đối tác quan trọng khác, trong đó có Microsoft”…
Trong nhiều năm, FireEye luôn là nơi đi đầu trong việc cảnh báo nạn tin tặc cho các cơ quan chính phủ và nhiều công ty trên khắp thế giới. Bây giờ tin tặc – trong trường hợp này dường như là các cơ quan t́nh báo Nga – đang “trả thù”. FireEye cho biết tin tặc đă sử dụng “kỹ thuật mới” để tạo ra bộ công cụ riêng chuyên đánh phá mạng.
Tương tự đánh cướp ngân hàng, cách của tin tặc là đột nhập và vét sạch kho tiền trong hầm chứa bảo mật sau đó quay sang trộm các công cụ điều tra của FBI để làm hỗn loạn điều tra và che dấu vết. FireEye, trị giá 3,5 tỷ USD, từ chối nói rơ tin tặc là ai nhưng dựa vào những ǵ FireEye miêu tả th́ chỉ có thể là Nga.
Thứ mà tin tặc Nga đang muốn cướp là “những công cụ Nhóm Đỏ (“Red Team tools”). Đây là bộ công cụ kỹ thuật số giúp sao chép các công cụ hack tinh vi nhất trên thế giới. FireEye sử dụng Red Team – với sự cho phép của công ty khách hàng hoặc cơ quan chính phủ – để t́m kiếm lỗ hổng trong hệ thống của họ. Hầu hết trong bộ công cụ Red Team đều được FireEye bảo vệ chặt chẽ trong “hầm bảo mật” của họ.
Vụ hack FireEye cho thấy các cơ quan t́nh báo Nga dường như tận dụng thời điểm nước Mỹ đang nhốn nháo với cuộc bầu cử tổng thống, khi mà lực lượng t́nh báo công lẫn tư đều dồn vào việc giữ an toàn tuyệt đối cho hệ thống đăng kư cử tri hoặc máy bỏ phiếu. Đây là vụ hack qui mô nhất kể từ khi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) bị đột nhập vào năm 2016 bởi một nhóm hacker vẫn chưa được xác định tự xưng là ShadowBrokers. Nhóm này đă tấn công và lấy cắp bộ công cụ chống hack của NSA rồi trao lại cho các quốc gia và tin tặc khác cái gọi là “ch́a khóa vương quốc kỹ thuật số”, như cách nói của một cựu viên chức NSA. Bắc Triều Tiên và Nga sau đó dùng chính cái “ch́a khóa” của NSA để “mở cửa” tấn công loạt cơ quan chính phủ, bệnh viện và các tập đoàn lớn nhất thế giới, gây thiệt hại hơn 10 tỉ USD. Bộ công cụ của NSA có giá trị hơn cả bộ công cụ FireEye.
Red Team của FireEye về cơ bản được xây dựng từ phần mềm độc hại mà công ty từng phát hiện được sử dụng trong loạt tấn công. Lợi thế của việc sử dụng công cụ trộm được để dùng nó thực hiện các phi vụ tin tặc là thủ phạm có thể che giấu dấu vết. Một nhóm hack do nhà nước Trung Quốc tài trợ trước đây đă bị bắt quả tang sử dụng những công cụ hack của NSA cho các cuộc tấn công khắp thế giới.
Giới điều tra của FireEye đă làm việc với Sony sau vụ tấn công kinh hoàng năm 2014 mà sau đó thủ phạm được xác định là Bắc Triều Tiên. Bộ Ngoại giao Hoa Kỳ cũng liên lạc FireEye sau khi Bộ và các cơ quan chính phủ Mỹ bị tin tặc Nga xâm nhập năm 2015. Một trong những khách hàng doanh nghiệp lớn của FireEye là Equifax, dịch vụ giám sát tín dụng từng bị tấn công ba năm trước, gây ảnh hưởng gần một nửa dân số Mỹ.
Trong vụ tấn công FireEye, tin tặc đă tạo ra hàng ngh́n địa chỉ giao thức internet mà nhiều địa chỉ nằm ngay trong nước Mỹ, vốn trước đó chưa từng được sử dụng, để làm vũ khí tấn công. Bằng cách sử dụng những địa chỉ này, tin tặc có thể che giấu vị trí của chúng tốt hơn.
Giới điều tra Mỹ đang xác định xem vụ tấn công có mối liên hệ nào với một hoạt động tinh vi khác mà NSA cho biết Nga đang đứng sau. Cuộc tấn công vào FireEye có thể là một sự trả đũa, khi FireEye liên tục chỉ đích danh các cơ quan t́nh báo Nga, trong đó có GRU, SVR và FSB, cho rằng họ liên quan các vụ hack nhằm vào lưới điện ở Ukraine và các thành phố của Mỹ.
FireEye cũng là nơi đầu tiên chỉ ra rằng tin tặc Nga đứng sau vụ đánh phá thành công vào một nhà máy hóa dầu của Saudi Arabia trước khi gây ra vụ nổ nhà máy này. Năm 2015, tin tặc của cơ quan t́nh báo Nga SVR đă xâm nhập hệ thống máy chủ của Ủy ban Quốc gia đảng Dân chủ Mỹ; và cũng chính nhóm này – được các công ty an ninh mạng đặt bí danh APT29 hoặc Cozy Bear – đă tấn công Bộ Ngoại giao Hoa Kỳ và Nhà Trắng dưới thời Obama.
Minh Đăng
SGN
Viết trên trang blog của website công ty ngày 8-12-2020, tổng giám đốc điều hành FireEye (một trong những công ty an ninh mạng lớn nhất thế giới, trụ sở ở California) – Kevin Mandia – cho biết chiến dịch đánh phá bằng tin tặc nhằm vào FireEye đă được thực hiện chuyên nghiệp đến mức đứng sau nó phải là cỡ một quốc gia chứ không thể là tổ chức hoặc cá nhân…
https://www.vietbf.com/forum/attachment.php?attachmentid=1704306&stc=1&d=1607534613
Kevin Mandia viết: “Dựa trên 25 năm của tôi trong lĩnh vực an ninh mạng và ứng phó với các trở ngại kỹ thuật, tôi kết luận rằng chúng tôi đang chứng kiến cuộc tấn công của một quốc gia có khả năng tấn công hàng đầu. Cuộc tấn công này khác với hàng chục ngh́n sự cố mà chúng tôi đă ứng phó trong những năm qua. Những kẻ tấn công đă điều chỉnh đặc biệt cho phù hợp với khả năng đẳng cấp thế giới của chúng để nhắm mục tiêu đánh phá FireEye.
Chúng được đào tạo chuyên nghiệp về bảo mật và thực thi với khả năng kỷ luật và mức độ tập trung cao. Chúng hoạt động bí mật, dùng những biện pháp chống lại các công cụ an ninh. Chúng sử dụng một tổ hợp kỹ thuật mới lạ mà chúng tôi hoặc các đối tác của chúng tôi chưa từng chứng kiến trong quá khứ. Chúng tôi đang tích cực điều tra với sự phối hợp của Cơ quan Điều tra Liên bang (FBI) và các đối tác quan trọng khác, trong đó có Microsoft”…
Trong nhiều năm, FireEye luôn là nơi đi đầu trong việc cảnh báo nạn tin tặc cho các cơ quan chính phủ và nhiều công ty trên khắp thế giới. Bây giờ tin tặc – trong trường hợp này dường như là các cơ quan t́nh báo Nga – đang “trả thù”. FireEye cho biết tin tặc đă sử dụng “kỹ thuật mới” để tạo ra bộ công cụ riêng chuyên đánh phá mạng.
Tương tự đánh cướp ngân hàng, cách của tin tặc là đột nhập và vét sạch kho tiền trong hầm chứa bảo mật sau đó quay sang trộm các công cụ điều tra của FBI để làm hỗn loạn điều tra và che dấu vết. FireEye, trị giá 3,5 tỷ USD, từ chối nói rơ tin tặc là ai nhưng dựa vào những ǵ FireEye miêu tả th́ chỉ có thể là Nga.
Thứ mà tin tặc Nga đang muốn cướp là “những công cụ Nhóm Đỏ (“Red Team tools”). Đây là bộ công cụ kỹ thuật số giúp sao chép các công cụ hack tinh vi nhất trên thế giới. FireEye sử dụng Red Team – với sự cho phép của công ty khách hàng hoặc cơ quan chính phủ – để t́m kiếm lỗ hổng trong hệ thống của họ. Hầu hết trong bộ công cụ Red Team đều được FireEye bảo vệ chặt chẽ trong “hầm bảo mật” của họ.
Vụ hack FireEye cho thấy các cơ quan t́nh báo Nga dường như tận dụng thời điểm nước Mỹ đang nhốn nháo với cuộc bầu cử tổng thống, khi mà lực lượng t́nh báo công lẫn tư đều dồn vào việc giữ an toàn tuyệt đối cho hệ thống đăng kư cử tri hoặc máy bỏ phiếu. Đây là vụ hack qui mô nhất kể từ khi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) bị đột nhập vào năm 2016 bởi một nhóm hacker vẫn chưa được xác định tự xưng là ShadowBrokers. Nhóm này đă tấn công và lấy cắp bộ công cụ chống hack của NSA rồi trao lại cho các quốc gia và tin tặc khác cái gọi là “ch́a khóa vương quốc kỹ thuật số”, như cách nói của một cựu viên chức NSA. Bắc Triều Tiên và Nga sau đó dùng chính cái “ch́a khóa” của NSA để “mở cửa” tấn công loạt cơ quan chính phủ, bệnh viện và các tập đoàn lớn nhất thế giới, gây thiệt hại hơn 10 tỉ USD. Bộ công cụ của NSA có giá trị hơn cả bộ công cụ FireEye.
Red Team của FireEye về cơ bản được xây dựng từ phần mềm độc hại mà công ty từng phát hiện được sử dụng trong loạt tấn công. Lợi thế của việc sử dụng công cụ trộm được để dùng nó thực hiện các phi vụ tin tặc là thủ phạm có thể che giấu dấu vết. Một nhóm hack do nhà nước Trung Quốc tài trợ trước đây đă bị bắt quả tang sử dụng những công cụ hack của NSA cho các cuộc tấn công khắp thế giới.
Giới điều tra của FireEye đă làm việc với Sony sau vụ tấn công kinh hoàng năm 2014 mà sau đó thủ phạm được xác định là Bắc Triều Tiên. Bộ Ngoại giao Hoa Kỳ cũng liên lạc FireEye sau khi Bộ và các cơ quan chính phủ Mỹ bị tin tặc Nga xâm nhập năm 2015. Một trong những khách hàng doanh nghiệp lớn của FireEye là Equifax, dịch vụ giám sát tín dụng từng bị tấn công ba năm trước, gây ảnh hưởng gần một nửa dân số Mỹ.
Trong vụ tấn công FireEye, tin tặc đă tạo ra hàng ngh́n địa chỉ giao thức internet mà nhiều địa chỉ nằm ngay trong nước Mỹ, vốn trước đó chưa từng được sử dụng, để làm vũ khí tấn công. Bằng cách sử dụng những địa chỉ này, tin tặc có thể che giấu vị trí của chúng tốt hơn.
Giới điều tra Mỹ đang xác định xem vụ tấn công có mối liên hệ nào với một hoạt động tinh vi khác mà NSA cho biết Nga đang đứng sau. Cuộc tấn công vào FireEye có thể là một sự trả đũa, khi FireEye liên tục chỉ đích danh các cơ quan t́nh báo Nga, trong đó có GRU, SVR và FSB, cho rằng họ liên quan các vụ hack nhằm vào lưới điện ở Ukraine và các thành phố của Mỹ.
FireEye cũng là nơi đầu tiên chỉ ra rằng tin tặc Nga đứng sau vụ đánh phá thành công vào một nhà máy hóa dầu của Saudi Arabia trước khi gây ra vụ nổ nhà máy này. Năm 2015, tin tặc của cơ quan t́nh báo Nga SVR đă xâm nhập hệ thống máy chủ của Ủy ban Quốc gia đảng Dân chủ Mỹ; và cũng chính nhóm này – được các công ty an ninh mạng đặt bí danh APT29 hoặc Cozy Bear – đă tấn công Bộ Ngoại giao Hoa Kỳ và Nhà Trắng dưới thời Obama.
Minh Đăng
SGN