#SolarWinds: Chi tiết vụ hack chuỗi cung ứng táo bạo nhất được tiết lộ
Câu chuyện về vụ hack chuỗi cung ứng của SolarWinds, một trong những cuộc tấn công phức tạp nhất và nguy hiểm nhất mà ngành công nghiệp an ninh mạng từng gặp phải, đã được tiết lộ. Vào ngày 11 tháng 12, nhóm Mandiant đã phát hiện ra đoạn mã độc trong tệp .dll của SolarWinds Orion, một phần mềm quản lý mạng được sử dụng rộng rãi trên toàn cầu. Tệp .dll này có tác dụng giả vờ đóng vai trò thông báo cho SolarWinds về việc sử dụng Orion của khách hàng, nhưng đã bị tin tặc nhúng mã độc để truyền thông tin tình báo từ mạng của nạn nhân đến máy chủ lệnh của chúng. Cuộc tấn công đã lây nhiễm khoảng 33.000 khách hàng của SolarWinds, một số trong đó đã bị tấn công trong hơn 8 tháng. Phụ trách cơ quan Mandiant, Kevin Thompson, đã nhận được thông tin về cuộc tấn công vào ngày 12 tháng 12 và đã phải đối mặt với những sự áp lực từ bên ngoài để giải quyết vụ việc. Các chuyên gia an ninh mạng đang tiếp tục điều tra vụ tấn công đáng sợ này và tìm cách ngăn chặn các cuộc tấn công tương tự trong tương lai. #SolarWindsHack #Mandiant #Orion #Cybersecurity
Nhưng họ đã làm được điều đó chỉ 24 giờ khi họ tìm thấy đoạn văn mà họ đang tìm kiếm: một tệp duy nhất dường như chịu trách nhiệm về lưu lượng giả mạo. Carmakal tin rằng họ đã tìm thấy nó vào ngày 11 tháng 12.
Tệp là một .dll hoặc thư viện liên kết động—các thành phần mã được chia sẻ bởi các chương trình khác. Tệp dll này rất lớn, chứa khoảng 46.000 dòng mã thực hiện hơn 4.000 hành động hợp pháp và—như họ đã tìm thấy sau khi phân tích nó trong một giờ—một hành động bất hợp pháp.
Công việc chính của .dll là nói với SolarWinds về việc sử dụng Orion của khách hàng. Nhưng tin tặc đã nhúng mã độc khiến nó truyền thông tin tình báo về mạng của nạn nhân tới của họ máy chủ lệnh thay thế. Ballenthin đặt tên cho mã lừa đảo là “Sunburst”—một vở kịch trên SolarWinds. Họ ngây ngất về khám phá này. Nhưng bây giờ họ phải tìm ra cách những kẻ xâm nhập đã đưa nó vào .dll của Orion.
Điều này là xa tầm thường. Tệp .dll của Orion đã được ký bằng chứng chỉ kỹ thuật số SolarWinds, được giả sử để xác minh rằng tệp là mã công ty hợp pháp. Một khả năng là những kẻ tấn công đã đánh cắp chứng chỉ kỹ thuật số, tạo một phiên bản bị hỏng của tệp Orion, ký tên vào tệp để làm cho nó trông giống thật, sau đó cài đặt .dll bị hỏng trên máy chủ của Mandiant. Hoặc, đáng báo động hơn, họ có thể đã xâm phạm mạng của SolarWinds và thay đổi mã nguồn .dll hợp pháp của Orion trước SolarWinds đã biên dịch nó—chuyển đổi mã thành phần mềm—và ký tên vào nó. Kịch bản thứ hai dường như quá xa vời đến nỗi phi hành đoàn Mandiant đã không thực sự xem xét nó cho đến khi một điều tra viên tải xuống bản cập nhật phần mềm Orion từ trang web SolarWinds. Cửa hậu nằm trong đó.
Hàm ý thật đáng kinh ngạc. Bộ phần mềm Orion có khoảng 33.000 khách hàng, một số người trong số họ đã bắt đầu nhận được bản cập nhật phần mềm bị tấn công vào tháng Ba. Điều đó có nghĩa là một số khách hàng có thể đã bị xâm phạm trong tám tháng rồi. Nhóm Mandiant đang phải đối mặt với một ví dụ trong sách giáo khoa về một tấn công chuỗi cung ứng phần mềm—sự thay đổi bất chính của phần mềm đáng tin cậy tại nguồn của nó. Chỉ trong một lần tấn công, kẻ tấn công có thể lây nhiễm cho hàng nghìn, có thể là hàng triệu máy.
Năm 2017, tin tặc đã phá hoại chuỗi cung ứng phần mềm và phân phối phần mềm độc hại cho hơn 2 triệu người dùng bằng cách xâm phạm công cụ dọn dẹp bảo mật máy tính CCleaner. Cùng năm đó, Nga đã phát tán mã độc Không phải sâu Petya trong một bản cập nhật phần mềm tương đương với TurboTax của Ukraine, sau đó đã lan rộng khắp thế giới. Không lâu sau, tin tặc Trung Quốc cũng sử dụng một bản cập nhật phần mềm để đưa một cửa hậu vào hàng ngàn khách hàng của Asus. Ngay cả ở giai đoạn đầu của cuộc điều tra, nhóm Mandiant có thể nói rằng không có cuộc tấn công nào khác có thể cạnh tranh với chiến dịch SolarWinds.
SolarWinds tham gia cuộc rượt đuổi
nó là một Sáng thứ bảy, ngày 12 tháng 12, khi Mandia gọi điện thoại di động cho chủ tịch kiêm giám đốc điều hành của SolarWinds. Kevin Thompson, một cựu chiến binh 14 năm của công ty Texas, sẽ từ chức Giám đốc điều hành vào cuối tháng. Những gì anh ta sắp nghe được từ Mandia – rằng Orion đã bị nhiễm bệnh – là một cách quái quỷ để kết thúc nhiệm kỳ của anh ta. “Chúng tôi sẽ công khai điều này trong 24 giờ nữa,” Mandia nói. Anh ấy hứa sẽ cho SolarWinds cơ hội xuất bản thông báo trước, nhưng dòng thời gian không thể thương lượng. Điều mà Mandia không đề cập đến là bản thân anh ta cũng phải chịu áp lực từ bên ngoài: Một phóng viên đã được thông báo về cửa hậu và đã liên hệ với công ty của anh ta để xác nhận điều đó. Mandia mong đợi câu chuyện sẽ được tiết lộ vào tối Chủ nhật, và anh ấy muốn vượt qua nó.
Thompson bắt đầu thực hiện các cuộc gọi, một trong những cuộc gọi đầu tiên tới Tim Brown, trưởng bộ phận kiến trúc bảo mật của SolarWinds. Brown và nhân viên của anh ấy đã nhanh chóng xác nhận sự hiện diện của cửa hậu Sunburst trong các bản cập nhật phần mềm của Orion và phát hiện ra rằng nó đã được gửi tới 18.000 khách hàng kể từ mùa xuân năm 2020. (Không phải người dùng Orion nào cũng tải xuống.) Thompson và những người khác đã dành phần lớn ngày thứ Bảy để tập hợp các nhóm lại với nhau một cách điên cuồng để giám sát các thách thức về kỹ thuật, pháp lý và công khai mà họ phải đối mặt. Họ cũng gọi cố vấn pháp lý bên ngoài của công ty, DLA Piper, để giám sát việc điều tra vi phạm. Ron Plesco, luật sư của Piper và là cựu công tố viên có chuyên môn pháp y, đang ở sân sau với bạn bè khi nhận được cuộc gọi vào khoảng 10 giờ tối.