Chủ tịch Microsoft Brad Smith cảnh báo rằng cuộc tấn công trên diện rộng phần mềm CNTT Orion của SolarWinds “đang diễn ra” và các cuộc điều tra cho thấy “một cuộc tấn công đáng chú ý về phạm vi, mức độ tinh vi và tác động của nó”. Các vi phạm được nhắm mục tiêu một số cơ quan chính phủ Hoa Kỳ và được cho là đã được thực hiện bởi các tin tặc quốc gia-nhà nước Nga.
Smith mô tả vụ hack là “một khoảnh khắc tính toán” và không có điều kiện chắc chắn về mức độ lớn và mức độ nguy hiểm của Microsoft cho rằng vụ hack này là gì. Smith lập luận “thể hiện một hành động liều lĩnh đã tạo ra một lỗ hổng công nghệ nghiêm trọng cho Hoa Kỳ và thế giới.
Ông tin rằng đó “không chỉ là một cuộc tấn công vào các mục tiêu cụ thể, mà còn dựa trên sự tin cậy và đáng tin cậy của cơ sở hạ tầng quan trọng của thế giới nhằm thúc đẩy cơ quan tình báo của một quốc gia”. Mặc dù bài đăng chỉ dừng lại ở việc buộc tội Nga một cách rõ ràng, nhưng hàm ý là rất rõ ràng. Smith cho biết: “Những tuần sắp tới sẽ cung cấp thêm thông tin và chúng tôi tin rằng bằng chứng không thể chối cãi về nguồn gốc của những cuộc tấn công gần đây này.
Để minh họa mức độ sâu rộng của vụ tấn công, Smith đã đưa vào một bản đồ sử dụng phép đo từ xa lấy từ phần mềm Chống vi rút Defender của Microsoft để hiển thị những người đã cài đặt phiên bản phần mềm Orion có chứa phần mềm độc hại từ tin tặc.
Microsoft cũng đã làm việc trong tuần này để thông báo cho “hơn 40 khách hàng rằng những kẻ tấn công đã nhắm mục tiêu chính xác hơn và bị xâm nhập thông qua các biện pháp bổ sung và tinh vi,” theo Smith. Khoảng 80% khách hàng đó ở Mỹ, nhưng Microsoft cũng xác định nạn nhân ở Canada, Mexico, Bỉ, Tây Ban Nha, Anh, Israel và UAE. Smith nói: “Chắc chắn rằng số lượng và vị trí của các nạn nhân sẽ tiếp tục tăng lên.
Các cuộc điều tra về vụ hack đang được tiến hành. Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Văn phòng Giám đốc Tình báo Quốc gia (ODNI) đã ra một tuyên bố chung vào thứ Tư để nói rằng họ đang điều phối “phản ứng của toàn bộ chính phủ đối với sự cố mạng quan trọng này.” Và Smith cảnh báo rằng “tất cả chúng ta nên chuẩn bị cho những câu chuyện về những nạn nhân khác trong khu vực công cũng như các doanh nghiệp và tổ chức khác”.
Trước đó vào thứ Năm, Reuters báo cáo rằng Microsoft đã bị tấn công như một phần của vụ vi phạm và rằng “họ cũng có các sản phẩm của riêng mình được tận dụng để tiếp tục tấn công những người khác”. Nhưng Microsoft đã phủ nhận tuyên bố đó trong một tuyên bố The Verge:
Giống như các khách hàng khác của SolarWinds, chúng tôi đã tích cực tìm kiếm các chỉ số của tác nhân này và có thể xác nhận rằng chúng tôi đã phát hiện thấy các tệp nhị phân Solar Winds độc hại trong môi trường của chúng tôi, chúng tôi đã cô lập và xóa các tệp này. Chúng tôi không tìm thấy bằng chứng về việc tiếp cận các dịch vụ sản xuất hoặc dữ liệu khách hàng. Các cuộc điều tra của chúng tôi, đang diễn ra, hoàn toàn không tìm thấy dấu hiệu nào cho thấy hệ thống của chúng tôi đã được sử dụng để tấn công người khác.
Microsoft đã phản ứng với vụ hack kể từ ngày 13 tháng 12, kể cả phiên bản chặn của SolarWinds Orion có chứa phần mềm độc hại. Microsoft và một liên minh các công ty công nghệ cũng giành quyền kiểm soát miền đóng vai trò quan trọng trong vụ vi phạm SolarWinds, ZDNet báo cáo.
SolarWinds cũng có thực hiện bước ẩn danh sách các khách hàng nổi tiếng khỏi trang web của mình, có lẽ để bảo vệ họ khỏi sự công khai tiêu cực. Danh sách bao gồm hơn 425 công ty trong danh sách Fortune 500.
Đối với Microsoft, Smith đã sử dụng bài đăng của mình để kêu gọi một phản ứng cộng đồng, có tổ chức hơn chống lại các cuộc tấn công mạng, cả ở cấp chính phủ và giữa các tổ chức tư nhân. Ông viết: “Chúng ta cần một chiến lược quốc gia và toàn cầu hiệu quả hơn để bảo vệ khỏi các cuộc tấn công mạng. Microsoft cũng đang tìm kiếm “những bước đi mạnh mẽ hơn để buộc các quốc gia phải chịu trách nhiệm về các cuộc tấn công mạng”.
