Lỗ hổng bảo mật trong phần mềm truyền tệp của Accellion khiến nhiều tổ chức bị lộ thông tin
Accellion, một công ty tư nhân ở Palo Alto, California, đã phát triển FTA như một cách an toàn để vượt qua giới hạn kích thước đính kèm khi gửi thư điện tử. Người nhận sẽ truy cập đường dẫn trỏ tới tệp chứa trên FTA để tải về.
Một số nạn nhân nổi tiếng là: Ngân hàng Dự trữ New Zealand; Ủy ban Chứng khoán và Đầu tư Australia; Văn phòng Kiểm toán bang Washington; Singtel (công ty viễn thông lớn nhất Singapore); Trường đại học Colorado; Cơ quan Giao thông bang New South Wales (Australia); Công ty sản xuất máy bay Bombardier của Canada.
Ngay cả công ty bảo mật Qualys cũng đã tiết lộ rằng một số lượng khách hàng "hạn chế" có thể đã bị ảnh hưởng bởi một vi phạm dữ liệu liên quan đến lỗ hổng zero-day của Accellion.
Ngoài các dữ liệu thương mại, một số dữ liệu liên quan đến quân sự cũng có thể đã bị rò rỉ. Các bức ảnh bị tin tặc tung lên mạng cho thấy bản vẽ CAD của máy bay Bombardier GlobalEye, một máy bay phản lực kinh doanh Global 6000 được chuyển đổi để mang theo một radar kiểu ván Saab Erieye đặc biệt gắn trên thân máy bay. Bức ảnh thứ hai cho thấy một cái nhìn 3D chi tiết như là một đầu radar hoàn chỉnh với việc lắp đặt nó. Ảnh chụp màn hình cũng cho thấy một email dường như được gửi bởi một nhân viên của Marshall Aerospace ở Cambridge, Vương quốc Anh, trước đây đã làm việc về chuyển đổi quân sự các máy bay Global 6000 cho các quốc gia khác nhau.
Các chuyên gia giấu tên vì không được phép nói công khai, đã đưa ra kết luận khác nhau về thiết bị radar trong bức ảnh bị rò rỉ bởi Clop. Một người với kinh nghiệm chuyên môn sâu rộng về radar trên không, cho rằng phần cứng là một ăng-ten mảng thụ động với các thanh dẫn sóng tạo chùm được gắn phía sau nó. Một người khác cho rằng nó phù hợp với các đầu radar quét cơ học gắn trên máy bay, cho biết: “Suy nghĩ đầu tiên của tôi khi nhìn thấy nó là nó khiến tôi nhớ lại những mảng radar cổ điển cũ của những năm 1970 và 1980 trên F-15 Eagles”. Philip Ingram, một cựu sĩ quan tình báo Anh và hiện là một nhà bình luận an ninh, nói với The Register: “Máy bay trông giống như GlobalEye”, nói thêm: “Nó có thể là một hình ảnh Radar khẩu độ tổng hợp nhưng cả hai bức ảnh đều không nhạy cảm về chi tiết - chúng trông như loại đã hết hàng hoặc hình ảnh công bố trước khi bán hàng".
Khung máy bay Global 6000 được sử dụng cho GlobalEye cũng là cơ sở của máy bay cảnh báo sớm trên không Sentinel của Lực lượng Không quân Hoàng gia Anh. Theo định hướng được hiển thị trong hình ảnh CAD, các ăng-ten radar có thể là ăng-ten được gắn trong vòm bụng dài của Sentinel, các bức ảnh về máy bay có thể được nhìn thấy trên trang web của Hiệp hội Hàng không Hoàng gia.
Các lỗ hổng bảo mật được gán mã là CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 và CVE-2021-27104. Ba trong bốn lỗ hổng này được xếp hạng 9,8 trên thang điểm của CVSS (hệ thống chấm điểm của NIST).
Các cơ quan an ninh khuyến nghị cập nhật lên Accellion FTA phiên bản FTA_9_12_432 trở lên là cách tốt nhất để giảm thiểu rủi ro. Nếu điều này không thể thực hiện được, các tổ chức nên cách ly hoặc chặn truy cập internet vào và từ các hệ thống lưu trữ phần mềm, kiểm tra hệ thống để tìm hoạt động độc hại và cân nhắc chuyển sang nền tảng chia sẻ tệp mới.
Accellion cho biết FTA sẽ hết hiệu lực vào ngày 30/4/2021, khi công ty không còn hỗ trợ nữa. Accellion đang khuyến nghị khách hàng của mình chuyển sang sản phẩm mới hơn của mình là Kiteworks, sản phẩm mà họ cho là an toàn hơn.
Vào giữa tháng 12/2020, Accellion đã vá lỗ hổng SQL injection trong FTA và thông báo riêng cho khách hàng của mình. Vào thời điểm đó, một nhóm được Mandiant (công ty con của FireEye) đặt tên là UNC2546 đã bắt đầu khai thác lỗ hổng này để cài đặt một web shell mới được phát hiện (mà Mandiant gọi là DEWMODE).
Các nhà nghiên cứu không rõ làm thế nào những kẻ tấn công quản lý có thể ghi DEWMODE vào đĩa, nhưng web shell trích xuất danh sách các tệp và siêu dữ liệu của các tệp đó từ cơ sở dữ liệu MySQL của FTA.
Vào tháng 01/2021, Ngân hàng Dự trữ New Zealand tiết lộ rằng tin tặc đã xâm nhập vào mạng của họ sau khi xâm phạm FTA. Ngân hàng trung ương của nước này thừa nhận rằng cuộc tấn công có thể đã làm lộ thông tin thương mại và người tiêu dùng. Cũng trong tháng này, Ủy ban Chứng khoán và Đầu tư Úc đã tiết lộ một vụ vi phạm liên quan đến FTA.
Giám đốc Marketing của Accellion, Joel York, nói với Information Security Media Group rằng sau khi những kẻ tấn công tìm thấy một lỗ hổng trong FTA vào tháng 12/2020, chúng đã tiếp tục tìm kiếm và tìm thấy những lỗ hổng khác vào tháng 01/2021. Accellion nói rằng ít hơn 100 khách hàng đã bị tấn công do bốn lỗ hổng FTA hiện đã được vá và ít hơn 25 tổ chức "dường như đã bị đánh cắp dữ liệu đáng kể".
Một số khách hàng của Accellion đã phải hứng chịu nhiều thiệt hại. Dữ liệu của họ đã bị đánh cắp. Sau đó, họ nhận được email từ một nhóm tội phạm tên là Clop đòi một khoản tiền chuộc để đổi lấy việc không công bố dữ liệu trực tuyến. Singtel, công ty viễn thông lớn nhất Singapore và công ty luật Jones Day đã thấy dữ liệu của họ được công bố, có lẽ vì họ không nhượng bộ tiền chuộc.
Thư đòi tiền chuộc của Clop
Clop đã ra mắt một trang web vào tháng 3/2020, trang web này được sử dụng để xuất bản dữ liệu của những nạn nhân từ chối trả tiền. Dường như có một số trùng lặp giữa Clop, UNC2582 (tên gọi của nhóm tin tặc thứ hai trong vụ này do Mandiant đặt) và một nhóm khác mà Mandiant gọi là FIN11, chuyên thực hiện các chiến dịch lừa đảo. Thomas Barabosch của Deutsche Telekom gần đây cũng đã công bố nghiên cứu sâu về mối quan hệ giữa FIN11 (còn được gọi là TA505) và Clop.
Nguyễn Anh Tuấn (tổng hợp)