#ViPhamSolarWinds #AnNinhMang #DOJ #SolarWinds #TinTac #HackChuoiCungUng
Công tác giám sát mạng của Bộ Tư pháp Mỹ (DOJ) phát hiện ra sự vi phạm của phần mềm SolarWinds nhiều tháng trước khi thông tin trở nên công khai vào tháng 11 năm 2020. Mandiant, một công ty chuyên về an ninh mạng, đã tiết lộ rằng họ đã bị tấn công và các nhân viên theo dấu vết vi phạm đối với phần mềm Orion trên máy chủ của họ vào tháng sau khi DOJ hoàn thành việc giảm thiểu vi phạm. Cuộc điều tra về phần mềm đã phát hiện ra rằng nó chứa một cửa hậu mà tin tặc đã nhúng vào phần mềm Orion khi nó đang được SolarWinds biên soạn vào tháng 2 năm 2020. Phần mềm này đã được cung cấp cho khoảng 18.000 khách hàng của SolarWinds, những người đã tải xuống từ tháng 3 đến tháng 6. Tuy nhiên, tin tặc chỉ chọn một nhóm nhỏ trong số này để nhắm mục tiêu cho hoạt động gián điệp của chúng.
Vụ việc này nhấn mạnh sự quan trọng của việc chia sẻ thông tin giữa các cơ quan và ngành, điều mà chính quyền Biden đã nhấn mạnh. Các điều tra viên không phải là những người duy nhất tình cờ phát hiện ra bằng chứng ban đầu về vi phạm. Thượng nghị sĩ Ron Wyden, một đảng viên Đảng Dân chủ Oregon, người đã chỉ trích việc chính phủ không ngăn chặn và phát hiện chiến dịch trong giai đoạn đầu, cho biết tiết lộ này cho thấy sự cần thiết của một cuộc điều tra về cách chính phủ Hoa Kỳ phản ứng với các cuộc tấn công và bỏ lỡ các cơ hội để ngăn chặn nó.
Nguồn: https://www.wired.com/story/solarwinds-hack-public-disclosure/
Vào tháng 11 năm 2020, vài tháng sau khi DOJ hoàn thành việc giảm thiểu vi phạm, Mandiant phát hiện ra rằng nó đã bị tấn công và lần theo dấu vết vi phạm đối với phần mềm Orion trên một trong các máy chủ của họ vào tháng sau. Một cuộc điều tra về phần mềm đã tiết lộ rằng nó chứa một cửa hậu mà tin tặc đã nhúng vào phần mềm Orion khi nó đang được SolarWinds biên soạn vào tháng 2 năm 2020. Phần mềm bị nhiễm độc đã được cung cấp cho khoảng 18.000 khách hàng của SolarWinds, những người đã tải xuống từ tháng 3 đến tháng 6, ngay trong khoảng thời gian DOJ phát hiện ra lưu lượng truy cập bất thường thoát khỏi máy chủ Orion của mình. Tuy nhiên, tin tặc chỉ chọn một nhóm nhỏ trong số này để nhắm mục tiêu cho hoạt động gián điệp của chúng. Chúng thâm nhập sâu hơn vào các cơ quan liên bang bị nhiễm bệnh và khoảng 100 tổ chức khác, bao gồm các công ty công nghệ, cơ quan chính phủ, nhà thầu quốc phòng và tổ chức tư vấn.
Bản thân Mandiant đã bị nhiễm phần mềm Orion vào ngày 28 tháng 7 năm 2020, công ty nói với WIRED, điều này có thể trùng với khoảng thời gian công ty đang giúp DOJ điều tra hành vi vi phạm của mình.
Khi được hỏi tại sao, khi công ty thông báo về vụ hack chuỗi cung ứng vào tháng 12, họ đã không tiết lộ công khai rằng họ đã theo dõi một sự cố liên quan đến chiến dịch SolarWinds trong mạng của chính phủ nhiều tháng trước đó, một phát ngôn viên chỉ lưu ý rằng “khi chúng tôi đến public, chúng tôi đã xác định được những khách hàng bị xâm nhập khác.”
Vụ việc nhấn mạnh tầm quan trọng của việc chia sẻ thông tin giữa các cơ quan và ngành, điều mà chính quyền Biden đã nhấn mạnh. Mặc dù DOJ đã thông báo cho CISA, người phát ngôn của Cơ quan An ninh Quốc gia nói với WIRED rằng họ không biết về vi phạm sớm của DOJ cho đến tháng 1 năm 2021, khi thông tin được chia sẻ trong một cuộc gọi giữa các nhân viên của một số cơ quan liên bang.
Đó cũng là tháng mà DOJ—có hơn 100.000 nhân viên làm việc cho nhiều cơ quan bao gồm FBI, Cơ quan Thực thi Ma túy và Sở Cảnh sát Hoa Kỳ—công khai tiết lộ rằng các tin tặc đứng sau chiến dịch SolarWinds có thể đã truy cập khoảng 3% hộp thư Office 365 của nó. Có nhiều báo cáo mâu thuẫn về việc liệu cuộc tấn công này có phải là một phần của chiến dịch SolarWinds hay được thực hiện bởi cùng một bên. Sáu tháng sau, bộ phận mở rộng về điều này và công bố rằng tin tặc đã tìm cách xâm phạm tài khoản email của nhân viên tại 27 văn phòng luật sư Hoa Kỳ, bao gồm cả những văn phòng ở California, New York và Washington, DC.
Trong tuyên bố sau đó, DOJ nói rằng để “khuyến khích tính minh bạch và tăng cường khả năng phục hồi của quê hương”, họ muốn cung cấp thông tin chi tiết mới, bao gồm cả việc tin tặc được cho là đã có quyền truy cập vào các tài khoản bị xâm nhập từ khoảng ngày 7 tháng 5 đến ngày 27 tháng 12 năm 2020. Và dữ liệu bị xâm phạm bao gồm “tất cả các email và tệp đính kèm được gửi, nhận và lưu trữ được tìm thấy trong các tài khoản đó trong thời gian đó”.
Các điều tra viên của vụ việc DOJ không phải là những người duy nhất tình cờ phát hiện ra bằng chứng ban đầu về vi phạm. Cùng khoảng thời gian điều tra của bộ, công ty bảo mật Volexity, như công ty đã báo cáo trước đó, cũng đang điều tra một vi phạm tại một tổ chức tư vấn của Hoa Kỳ và truy tìm nó đến máy chủ Orion của tổ chức. Cuối tháng 9, công ty bảo mật Palo Alto Networks cũng phát hiện ra hoạt động bất thường liên quan đến máy chủ Orion của họ. Volexity nghi ngờ có thể có một cửa hậu trên máy chủ của khách hàng nhưng đã kết thúc cuộc điều tra mà không tìm thấy. Palo Alto Networks đã liên hệ với SolarWinds, như DOJ đã làm, nhưng trong trường hợp đó, họ cũng không xác định được vấn đề.
Thượng nghị sĩ Ron Wyden, một đảng viên Đảng Dân chủ Oregon, người đã chỉ trích việc chính phủ không ngăn chặn và phát hiện chiến dịch trong giai đoạn đầu, cho biết tiết lộ này cho thấy sự cần thiết của một cuộc điều tra về cách chính phủ Hoa Kỳ phản ứng với các cuộc tấn công và bỏ lỡ các cơ hội để ngăn chặn nó. .
“Chiến dịch hack SolarWinds của Nga chỉ thành công do một loạt thất bại nối tiếp nhau của chính phủ Hoa Kỳ và các đối tác trong ngành của họ,” ông viết trong một email. “Tôi chưa thấy bất kỳ bằng chứng nào cho thấy ngành hành pháp đã điều tra kỹ lưỡng và giải quyết những thất bại này. Chính phủ liên bang cần khẩn trương tìm ra nguyên nhân sai sót để trong tương lai, các cửa hậu trong các phần mềm khác được chính phủ sử dụng sẽ nhanh chóng được phát hiện và vô hiệu hóa.”
