Trong bối cảnh toàn cầu hóa và số hóa, nền kinh tế thế giới đã trở nên phụ thuộc sâu sắc vào công nghệ, từ điện thoại thông minh cho đến các ứng dụng trên máy tính. Sự phụ thuộc này đồng nghĩa với việc người dùng phải thường xuyên cập nhật phần mềm và bảo mật, đặt niềm tin gần như tuyệt đối vào các nhà sản xuất. Tuy nhiên, chính niềm tin này lại tạo ra một lỗ hổng cho an ninh mạng: rủi ro chuỗi cung ứng.

Mạng lưới cung ứng toàn cầu, một cấu trúc phức tạp đan xen giữa các thực thể, nguồn lực và dịch vụ, tạo thành một mạng lưới cung ứng của thương mại và giao thương quốc tế. Bất kỳ sự gián đoạn nào trong mạng lưới này cũng có thể gây ra những hậu quả nghiêm trọng. Các cuộc tấn công chuỗi cung ứng, bằng cách khai thác niềm tin của người dùng từ các bản cập nhật phần mềm sẽ trở thành một trong những mối đe dọa nguy hiểm nhất.

Khi cập nhật phần mềm, người dùng thường có niềm tin nhất định vào nhà sản xuất, họ cho rằng các bản cập nhật sẽ không chứa mã độc (malware) và lỗi. Sự tin tưởng ngầm định này chính là “lỗ hổng”, mở đường cho các cuộc tấn công chuỗi cung ứng.

Khi tin tưởng vào bản cập nhật từ nhà sản xuất, người dùng sẽ vô tình mở đường cho mã độc và lỗ hổng tiềm ẩn. Kẻ tấn công, một khi đã xâm nhập vào cơ sở hạ tầng của nhà sản xuất sẽ có thể biến các bản cập nhật chính thức thành công cụ tấn công tinh vi. Đây là một mối đe dọa âm thầm nhưng đầy nguy hiểm, bởi nó khai thác chính sự tin tưởng của người dùng.

Mặc dù không phải là vấn nạn mới xảy ra, nhưng các vụ tấn công như ShadowPad, CCleaner và ShadowHammer trong những năm gần đây cho thấy, tin tặc hoàn toàn có khả năng xâm nhập vào những hệ thống được bảo vệ nghiêm ngặt nhất. Cuộc chiến an ninh mạng không chỉ là cuộc chiến công nghệ, mà còn là cuộc chiến niềm tin và trong cuộc chiến này, sự cảnh giác và hiểu biết là vũ khí quan trọng nhất của người dùng.

Crowdstrike - Sự cố gián đoạn nghiêm trọng trên toàn cầu

Sự cố Crowdstrike mới xảy ra gần đây đã một lần nữa nhấn mạnh tầm quan trọng của chuỗi cung ứng và cảnh báo hậu quả nghiêm trọng không thể lường trước được nếu để xảy ra sự cố. Điều này cũng báo động về sự “mong manh” của các chuỗi cung ứng mà chúng ta đang phụ thuộc ngày nay. 

Vào ngày 19/7, công ty an ninh mạng Crowdstrike đã phát hành một bản cập nhật cho Windows, chỉ một bản cập nhật phần mềm tưởng chừng vô hại, lại đủ sức gây ra hiệu ứng domino tàn phá, nhấn chìm hàng loạt máy tính trên toàn cầu trong màn hình xanh chết chóc, gây hậu quả nghiêm trọng.

Ông Vitaly Kamluk, Chuyên gia an ninh mạng của Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky cho biết: "Vốn dĩ, bản cập nhật cấu hình cho Crowdstrike chỉ nhằm mục đích nâng cấp hệ thống bảo vệ Falcon, giúp thu thập dữ liệu và phát hiện các cuộc tấn công mới nhắm vào Windows. Thế nhưng, bản cập nhật này lại gây ra một lỗi khiến 8,5 triệu máy tính Windows trên toàn cầu phải khởi động lại liên tục".

Theo thông tin từ các phương tiện truyền thông, bản cập nhật lỗi của CrowdStrike đã gây ra gián đoạn nghiêm trọng đối với các cơ sở hạ tầng trọng yếu trên toàn cầu sử dụng hệ điều hành Windows và được bảo vệ bởi Crowdstrike, bao gồm bệnh viện, ngân hàng, hãng hàng không và các cơ quan Chính phủ.

Đây là sự cố gián đoạn nghiêm trọng nhất từng xảy ra trong lịch sử, khiến nền kinh tế thế giới gần như tê liệt, gây ra thiệt hại kinh tế chưa từng có.

Linux XZ - Khi tin tặc lợi dụng lỗ hổng nghiêm trọng

Đầu năm 2024, bộ công cụ và thư viện nén dữ liệu mã nguồn mở Linux XZ Utils xuất hiện một lỗ hổng nghiêm trọng. Tin tặc đã lợi dụng lỗ hổng này để cài đặt một backdoor vào phần mềm. Backdoor cho phép tin tặc truy cập trái phép vào các hệ thống bằng cách can thiệp vào nguyên lý hoạt động của OpenSSH, chương trình mã nguồn mở sử dụng Secure Shell (SSH). SSH là một giao thức mạng bảo mật được sử dụng rộng rãi để quản lý các thiết bị như máy chủ, thiết bị Internet vạn vật (IoT), bộ định tuyến, các thiết bị lưu trữ mạng và nhiều thiết bị khác.

Hiện tại, hàng chục triệu thiết bị gia dụng kết nối IoT, hàng triệu máy chủ, trung tâm dữ liệu và thiết bị mạng đều phụ thuộc vào giao thức SSH. Nếu lỗ hổng này bị tin tặc lợi dụng, hậu quả có thể nghiêm trọng hơn nhiều so với sự cố CrowdStrike gần đây.

Công ty phần mềm mã nguồn mở Red Hat thông báo, lỗ hổng này đã được Cơ sở dữ liệu về Lỗ hổng bảo mật Quốc gia (National Vulnerability Database) của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) ghi nhận với mã số CVE-2024-30942 và đánh giá điểm CVSS ở mức 10 - cấp độ nghiêm trọng nhất.

JiaT75 đã ích cực tham gia và đóng góp, khéo léo xây dựng lòng tin với cộng đồng phát triển dự án XZ Utils. Nhờ vậy, JiaT75 giành được quyền quản lý kho lưu trữ của dự án XZ và phê duyệt các thay đổi của dự án. Tiếp theo, mã nguồn của thành phần XZ/libzma bị chỉnh sửa và ngụy trang tinh vi, trở thành một phần không thể thiếu của phần mềm SSH trên một số hệ điều hành, từ đó cho phép kẻ tấn công xâm nhập toàn bộ hệ thống bị ảnh hưởng.

Mặc dù sự cố đã được phát hiện và đang được điều tra, nhưng nó để lại một bài học sâu sắc: an ninh chuỗi cung ứng không chỉ là vấn đề công nghệ, mà còn là vấn đề con người.  Vụ việc này một lần nữa cho thấy nếu tin tặc lợi dụng kỹ thuật tấn công phi xã hội (social engineering) đánh vào tâm lý và đặc tính mã nguồn mở, có thể tạo ra lỗ hổng nghiêm trọng để tấn công chuỗi cung ứng. Người dùng cần phải không ngừng nâng cao nhận thức, xây dựng quy trình kiểm soát chặt chẽ hơn và luôn cảnh giác trước những mối đe dọa tiềm ẩn, để bảo vệ sự an toàn và ổn định của thế giới số.

Cần làm gì khi AI bị lợi dụng để tấn công chuỗi cung ứng?

AI đang ngày càng trở nên phổ biến và được ứng dụng vào nhiều lĩnh vực như tối ưu hóa cơ sở hạ tầng trong các thành phố thông minh, cải thiện chăm sóc sức khỏe, giáo dục, nông nghiệp và nhiều lĩnh vực khác. Tuy nhiên, cũng giống như nhiều công nghệ khác, AI không hoàn hảo vì phụ thuộc vào mô hình học máy và chất lượng của dữ liệu đầu vào. Tin tặc có thể lợi dụng các lỗ hổng này, cài đặt mã độc vào dữ liệu đầu vào, để tấn công chuỗi cung ứng.

“Kịch bản tấn công chuỗi cung ứng vào các nền tảng AI có thể là thao túng dữ liệu đào tạo (training data), tiêm nhiễm các thành kiến và lỗ hổng vào mô hình hoặc sửa đổi các mô hình AI bằng các phiên bản đã bị biến đổi để tạo ra kết quả không chính xác", ông Vitaly nhận định.

Các mô hình ngôn ngữ lớn (LLM) dễ dàng tiếp cận như ChatGPT, CoPilot và Gemini có thể bị lợi dụng để tạo ra các vụ lừa đảo qua email (spear phishing), còn công nghệ deepfake có thể được sử dụng để giả mạo những người quan trọng của nạn nhân.

Những thủ đoạn này đã được sử dụng trong cuộc tấn công gây ra thiệt hại lên tới 25 triệu USD tại Hồng Kông, khi kẻ tấn công đã giả mạo hình ảnh của giám đốc tài chính một công ty để lừa đảo lấy số tiền này.

Để đối phó với thực trạng này, ngoài các giải pháp an ninh mạng tối ưu nhất, các doanh nghiệp/tổ chức cần đề ra chiến lược để quản lý hoặc giảm thiểu tác động của một cuộc tấn công chuỗi cung ứng tiềm ẩn trong cơ sở hạ tầng của mình.