5 cuộc tấn công chuỗi cung ứng điển hình
Các cuộc tấn công chuỗi cung ứng có thể xảy ra theo nhiều cách khác nhau, có thể do mã độc được tiêm vào phần mềm hoặc các lỗ hổng trong phần mềm mà công ty đang sử dụng. Để giảm thiểu rủi ro này, các công ty phải tìm hiểu về các phương pháp được sử dụng để thực hiện các cuộc tấn công và hiểu rõ các điểm mù của công ty họ.
Bài viết này sẽ đánh giá 5 cuộc tấn công chuỗi cung ứng phần mềm gần đây và cách các đối tác bên thứ ba có thể gây ra rủi ro bảo mật cho một công ty. Từ đó đưa ra các đề xuất về cách bảo vệ trước các cuộc tấn công vào chuỗi cung ứng và cách phát hiện sớm để ứng phó với các mối đe dọa trước khi tin tặc đạt được mục đích.
Tấn công chuỗi cung ứng phần mềm là gì?
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) định nghĩa cuộc tấn công chuỗi cung ứng phần mềm là một cuộc tấn công “xảy ra khi một tác nhân đe dọa mạng xâm nhập vào mạng của nhà cung cấp phần mềm và sử dụng mã độc được cài vào phần mềm trước khi nhà cung cấp gửi nó cho khách hàng của họ. Sau đó, khi phần mềm được cung cấp đến khách hàng thì tin tặc sẽ xâm nhập vào dữ liệu hoặc hệ thống của người dùng”.
Chuỗi cung ứng phần mềm bao gồm bất kỳ các phần mềm và mã nguồn mở nào được cung cấp bởi các công ty và các kho lưu trữ công cộng, từ đó các nhà phát triển phần mềm sử dụng để lấy mã. Nó cũng bao gồm bất kỳ tổ chức dịch vụ nào có quyền truy cập vào dữ liệu của người dùng. Nhìn chung, tất cả các nhà cung cấp dịch vụ khác nhau này đều làm tăng phạm vi của một cuộc tấn công tiềm ẩn theo cấp số nhân.
Các cuộc tấn công vào chuỗi cung ứng phần mềm đặc biệt nguy hiểm vì chuỗi cung ứng phần mềm hoạt động như một bộ khuếch đại cho tin tặc. Điều này có nghĩa là khi một nhà cung cấp bị ảnh hưởng, tin tặc có thể tiếp cận bất kỳ khách hàng nào của họ, mang lại cho chúng phạm vi tiếp cận lớn hơn so với khi thực hiện nhắm mục tiêu tấn công vào một công ty duy nhất.
Theo CISA, hai lý do chính góp phần dẫn đến các cuộc tấn công cung ứng phần mềm đó là: Các sản phẩm phần mềm của bên thứ ba thường yêu cầu quyền truy cập đặc quyền; yêu cầu kết nối giữa mạng riêng của nhà cung cấp và phần mềm của nhà cung cấp trên mạng của khách hàng.
Chính vì vậy, tin tặc sẽ tận dụng quyền truy cập đặc quyền và kênh truy cập mạng đặc quyền làm điểm truy cập đầu tiên của chúng. Tùy thuộc vào mức độ truy cập có sẵn, tin tặc có thể dễ dàng nhắm mục tiêu vào nhiều thiết bị và cấp độ của một công ty. Một số ngành như chăm sóc sức khỏe, có tính dễ bị tổn thương đặc biệt vì chúng sở hữu khối lượng lớn dữ liệu bệnh nhân tuân theo các quy định và luật tuân thủ nghiêm ngặt.
5 cuộc tấn công chuỗi cung ứng điển hình
Gần đây các cuộc tấn công chuỗi cung ứng phần mềm đã thu hút sự chú ý lớn của công chúng bởi tác động nghiêm trọng mà nó để lại. Chẳng hạn như lỗ hổng Log4j đã cho thấy các công ty dễ bị tổn thương như thế nào khi dựa vào phần mềm của bên thứ ba. Các cuộc tấn công nổi tiếng khác như SolarWinds SUNBURST và cuộc tấn công Kaseya VSA (REvil) cũng đưa ra những lời nhắc nhở sâu sắc về mức độ thiệt hại của các cuộc tấn công chuỗi cung ứng.
Cửa hậu SolarWinds SUNBURST
Vào ngày 13/12/2020, cửa hậu SUNBURST lần đầu tiên được tiết lộ. Cuộc tấn công đã sử dụng bộ quản lý và giám sát công nghệ thông tin SolarWinds Orion phổ biến để phát triển một bản cập nhật trojan độc hại. Chúng nhắm mục tiêu vào các dịch vụ chạy phần mềm Orion và Bộ Tài chính Thương mại Hoa Kỳ. Fortune 500, các công ty viễn thông, cơ quan chính phủ khác và các trường đại học cũng có khả năng bị ảnh hưởng.
Trong trường hợp này, điểm mù chính của các công ty là máy chủ ứng dụng và đường dẫn cập nhật phần mềm của họ. Các chuyên gia cho rằng cách tốt nhất để chống lại kiểu tấn công này là giám sát thiết bị nghiêm ngặt.
Các báo cáo về cuộc tấn công Solarwinds chỉ ra rằng, tên miền avsvmcloud[.]com kiểm soát lệnh (C&C) đã được đăng ký sớm nhất là vào ngày 26/02/2020. Giống như các loại tấn công chuỗi cung ứng khác, cửa hậu SUNBURST sử dụng cách thức ngừng hoat động một khoảng thời gian để tránh xuất hiện những hành vi không ổn định khi có các bản cập nhật phần mềm.
Mối quan tâm đặc biệt trong cửa hậu SUNBURST là các máy chủ chuyên dụng bị nhắm mục tiêu. Thông thường, các loại máy chủ này ít được giám sát thường xuyên. Việc ngăn chặn các cuộc tấn công như cửa hậu SUNBURST đòi hỏi sự giám sát thường xuyên ở tất cả các cấp của mạng công ty.
Khai thác lỗ hổng trong Log4j
Một cách thực hiện tấn công chuỗi cung ứng khác là khai thác các lỗ hổng phần mềm mã nguồn mở. Nổi bật trong đó là cuộc tấn công của tin tặc thực hiện khai thác lỗ hổng trong Log4j. Cuộc tấn công này cho phép tin tặc thực thi mã từ xa, bao gồm khả năng chiếm toàn quyền kiểm soát máy chủ. Log4j là một lỗ hổng zero-day được tin tặc phát hiện trước khi nhà cung cấp phần mềm biết về nó. Vì lỗ hổng này gắn với một phần của thư viện mã nguồn mở cho nên bất kỳ thiết bị nào trong số 3 tỷ thiết bị đang sử dụng Java đều có thể bị ảnh hưởng.
Cách giải quyết việc khai thác Log4j và các lỗ hổng tương tự yêu cầu phải có một bản kiểm kê đầy đủ của tất cả các thiết bị được kết nối mạng trong công ty. Điều đó có nghĩa là phải sử dụng một hệ thống để phát hiện thiết bị, giám sát hoạt động của Log4j và vá các thiết bị bị ảnh hưởng nhanh nhất có thể.
Tấn công phần mềm Kaseya VSA
Mục đích chính của việc sử dụng các cuộc tấn công chuỗi cung ứng là khai thác các lỗ hổng của nhà cung cấp và tấn công các khách hàng của họ. Đó chính xác là những gì nhóm tin tặc REvil sử dụng khi thực hiện tấn công Kaseya VSA - một nền tảng dịch vụ giám sát và quản lý từ xa dành cho các hệ thống công nghệ thông tin và khách hàng của họ.
Bằng cách khai thác một lỗ hổng trong Kaseya VSA, REvil đã có thể gửi mã độc tống tiền tới 1.500 công ty là khách hàng của Kaseya VSA. Trong trường hợp này, điểm mù là các thiết bị sử dụng Internet, các thiết bị được quản lý từ xa và các đường liên lạc của nhà cung cấp dịch vụ được quản lý. Nguyên nhân dẫn đến sự cố là do việc cấp cho nhà cung cấp quyền truy cập vào các hệ thống nội bộ. Do vậy, phương pháp tốt nhất để tránh tình huống như vậy xảy ra là giám sát các kênh mà nhà cung cấp dịch vụ được quản lý sử dụng. Ngoài ra, sử dụng các phương pháp phân tích hành vi để theo dõi bất kỳ các hoạt động đàng ngờ nào và phân tích nó để ngăn chặn các cuộc tấn công sử dụng mã độc tống tiền.
Cuộc tấn công Capital One và lỗi bảo mật cơ sở hạ tầng đám mây
Không phải tất cả các cuộc tấn công đều được các nhóm tin tặc tinh nhuệ thực hiện, Capital One (Mỹ) đã trải qua một vụ vi phạm dữ liệu lớn khi một nhân viên của Amazon tận dụng kiến thức nội bộ về Dịch vụ Web Amazon (AWS) để đánh cắp 100 triệu USD từ ứng dụng thông qua thẻ tín dụng. Cuộc tấn công đã công khai những nguy cơ về việc sử dụng cơ sở hạ tầng đám mây.
Điểm mù chính của cuộc tấn công này là việc sử dụng một nhà cung cấp dịch vụ đám mây yêu cầu khách hàng đặt niềm tin vào nhà cung cấp của họ. Thỏa thuận này cũng có nghĩa là chấp nhận rủi ro rằng nếu nhà cung cấp đám mây bị xâm phạm thì dữ liệu của người dùng cũng có thể bị xâm phạm. Để chống lại những kiểu tấn công này, điều quan trọng là phải tham gia vào việc giám sát hành vi của các dịch vụ của người dùng và đảm bảo an toàn cho mạng của họ.
Lỗ hổng trên thiết bị di động cá nhân và thiết bị của nhà cung cấp
Vào tháng 3/2022, công ty an ninh mạng Okta (Mỹ) tiết lộ rằng một trong những nhà cung cấp của họ (Sitel) đã gặp phải vi phạm thông qua một nhân viên cung cấp các chức năng dịch vụ khách hàng trên máy tính xách tay. Mặc dù mức độ vi phạm bị hạn chế, chỉ có hai hệ thống xác thực Okta bị truy cập trái phép và không có tài khoản khách hàng hoặc thay đổi cấu hình nào được thực hiện. Tuy nhiên, các thiết bị của nhà thầu phụ và mang các thiết bị cá nhân sẽ giống như mối nguy hiểm tiềm ẩn mà tin tặc sẽ nhắm đến để thông qua chúng thực hiện các cuộc tấn công lớn hơn.
Các thiết bị không được quản lý và không hoạt động trên mạng của công ty sẽ làm tăng nguy cơ tấn công tiềm ẩn mỗi khi một thiết bị bổ sung được thêm vào. Các công ty thiếu thông tin về thiết bị nào được kết nối, phần mềm chúng đang chạy và những biện pháp phòng ngừa đang được thực hiện để bảo vệ khỏi phần mềm độc hại sẽ là mục tiêu nhắm đến của tin tặc. Giảm thiểu rủi ro trong lĩnh vực này đòi hỏi phải tạo ra một bản kiểm kê tài sản và hạn chế quyền truy cập từ các thiết bị bên ngoài. Cuối cùng, giám sát mạng và phân tích hành vi có thể được sử dụng để ngăn chặn các cuộc tấn công.
Dương Trường
(Theo cybersecurity)