Mỹ và Anh hôm thứ Năm đã chính thức quy kết vụ tấn công chuỗi cung ứng của công ty quản lý cơ sở hạ tầng CNTT SolarWinds với “sự tin tưởng cao” đối với các nhân viên chính phủ làm việc cho Cơ quan Tình báo Nước ngoài của Nga (SVR).
“Mô hình hành vi ác ý của Nga trên khắp thế giới – cho dù trong không gian mạng, can thiệp bầu cử hay trong các hoạt động tích cực của các cơ quan tình báo của họ – chứng tỏ rằng Nga vẫn là mối đe dọa nghiêm trọng nhất đối với an ninh quốc gia và tập thể của Vương quốc Anh”, chính phủ Anh nói trong một tuyên bố.
Do đó, Bộ Tài chính Hoa Kỳ đã áp đặt các biện pháp trừng phạt sâu rộng đối với Nga vì “phá hoại việc tiến hành các cuộc bầu cử tự do và công bằng và các thể chế dân chủ” ở Mỹ và vì vai trò tạo điều kiện cho vụ hack SolarWinds tràn lan, đồng thời cấm 6 công ty công nghệ. tại quốc gia cung cấp hỗ trợ cho chương trình không gian mạng do Cơ quan Tình báo Nga điều hành.
Các công ty bao gồm ERA Technopolis, Pasit, Viện Nghiên cứu Khoa học Cơ sở Tự trị Liên bang về Thiết bị Điện toán Bảo mật Chuyên ngành và Tự động hóa (SVA), Neobit, Công nghệ Hệ thống Tiên tiến và Pozitiv Teknolodzhiz (Công nghệ Tích cực), ba công ty cuối cùng trong số đó là các công ty bảo mật CNTT có khách hàng bao gồm các cơ quan tình báo Nga.
Ngoài ra, chính quyền Biden cũng trục xuất mười thành viên của cơ quan đại diện ngoại giao của Nga tại Washington, DC, bao gồm các đại diện của các cơ quan tình báo của nước này.
“Phạm vi và quy mô của thỏa hiệp này kết hợp với lịch sử thực hiện các hoạt động mạng liều lĩnh và gây rối loạn của Nga khiến nó trở thành mối lo ngại về an ninh quốc gia”, Bộ Tài chính nói. “SVR đã gây rủi ro cho chuỗi cung ứng công nghệ toàn cầu khi cho phép cài đặt phần mềm độc hại trên máy của hàng chục nghìn khách hàng của SolarWinds.”
Về phần mình, Moscow trước đây đã bị từ chối tham gia trong chiến dịch SolarWinds phạm vi rộng, tuyên bố “nó không tiến hành các hoạt động tấn công trong miền mạng.”
Các sự xâm nhập được đưa ra ánh sáng vào tháng 12 năm 2020 khi FireEye và các công ty an ninh mạng khác tiết lộ rằng các nhà khai thác đằng sau chiến dịch gián điệp đã quản lý để thỏa hiệp cơ sở hạ tầng xây dựng phần mềm và ký mã của nền tảng SolarWinds Orion vào đầu tháng 10 năm 2019 để cung cấp cửa hậu Sunburst với mục tiêu thu thập thông tin.
Có đến 18.000 khách hàng của SolarWinds được cho là đã nhận được bản cập nhật Orion bị trojanized, mặc dù những kẻ tấn công đã lựa chọn cẩn thận các mục tiêu của chúng, chỉ chọn leo thang các cuộc tấn công trong một số trường hợp bằng cách triển khai phần mềm độc hại Teardrop dựa trên sự trinh sát ban đầu của môi trường mục tiêu cho cao- định giá tài khoản và tài sản.
Sự thỏa hiệp của đối thủ đối với chuỗi cung ứng phần mềm SolarWinds được cho là đã mang lại cho nó khả năng do thám từ xa hoặc có khả năng làm gián đoạn hơn 16.000 hệ thống máy tính trên toàn thế giới, theo trang mệnh lệnh hành pháp do chính phủ Hoa Kỳ cấp.
Bên cạnh việc xâm nhập vào mạng của Microsoft, Ánh mắt rực lửa, Malwarebytes, và Mimecast, những kẻ tấn công cũng được cho là đã sử dụng SolarWinds như một bước đệm để xâm phạm một số cơ quan của Hoa Kỳ như Cục Hàng không và Vũ trụ Quốc gia (NSA), Cục Hàng không Liên bang (FAA) và Bộ Ngoại giao, Tư pháp, Thương mại, Nội địa. An ninh, Năng lượng, Kho bạc và Viện Y tế Quốc gia.
Diễn viên SVR còn được biết đến với những cái tên khác như APT29, Cozy Bear và The Dukes, với nhóm mối đe dọa được theo dõi dưới các biệt danh khác nhau, bao gồm UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) và Nobelium (Microsoft).
Hơn nữa, Cơ quan An ninh Quốc gia (NSA), Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) và Cục Điều tra Liên bang (FBI) đã cùng phát hành một tham mưu, cảnh báo các doanh nghiệp đang tích cực khai thác năm lỗ hổng được biết đến công khai bởi APT29 để đạt được chỗ đứng ban đầu trong các thiết bị và mạng của nạn nhân –
“Chúng tôi thấy những gì Nga đang làm để phá hoại các nền dân chủ của chúng tôi”, Ngoại trưởng Anh Dominic Raab nói. “Vương quốc Anh và Hoa Kỳ đang kêu gọi hành vi độc hại của Nga, để cho phép các đối tác quốc tế và doanh nghiệp của chúng tôi ở quê nhà phòng vệ và chuẩn bị tốt hơn trước loại hành động này.”
