Bởi (MobileWorld.vn) – Toàn cầu hóa và số hóa đã khiến nhiều khía cạnh của nền kinh tế thế giới phụ thuộc mạnh mẽ vào công nghệ như điện thoại thông minh và ứng dụng ghi chú trên máy tính xách tay, vốn đòi hỏi các bản cập nhật phần mềm và bảo mật thường xuyên từ các nhà sản xuất. Mạng lưới phức tạp này, bao gồm các thực thể, nguồn lực, hàng hóa và dịch vụ, tạo thành một lưới cung ứng (supply mesh) trên quy mô toàn cầu, là nền tảng cho hoạt động thương mại quốc tế, du lịch và giao thương như chúng ta biết hiện nay.
Khi cập nhật phần mềm, người dùng thường có niềm tin nhất định vào nhà sản xuất; họ cho rằng các bản cập nhật sẽ không chứa mã độc (malware) và lỗi. Sự tin tưởng ngầm định này chính là “lỗ hổng”, mở đường cho các cuộc tấn công chuỗi cung ứng. Bằng cách xâm nhập vào cơ sở hạ tầng của nhà sản xuất, kẻ xấu có thể cài mã độc vào các bản cập nhật phần mềm chính thức. Đây là một trong những mối đe dọa nguy hiểm và khó phòng tránh nhất đối với an ninh mạng hiện nay.
Mặc dù không phải là “vấn nạn” mới xảy ra, nhưng các vụ tấn công như ShadowPad, CCleaner và ShadowHammer trong những năm gần đây cho thấy kẻ xấu hoàn toàn có khả năng xâm nhập vào những hệ thống được bảo vệ nghiêm ngặt nhất. Sự cố Crowdstrike gần đây đã một lần nữa nhấn mạnh tầm quan trọng của chuỗi cung ứng và hậu quả nghiêm trọng chưa từng có nếu xảy ra sự cố. Điều này dấy lên câu hỏi về sự “mong manh” của các chuỗi cung ứng mà chúng ta đang phụ thuộc ngày nay.
Crowdstrike – Ngày Trái Đất Ngừng Quay
Sự cố xảy ra vào ngày 19 tháng 7 năm 2024 khi CrowdStrike, một công ty an ninh mạng có quyền truy cập vào lõi hệ điều hành Windows, phát hành một bản cập nhật cấu hình nội dung mang lỗi nghiêm trọng. Hậu quả là, nền kinh tế toàn cầu gần như bị tê liệt trong vòng hai đến ba ngày.
Ông Vitaly Kamluk – Chuyên gia an ninh mạng của Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky cho biết: “Vốn dĩ, bản cập nhật cấu hình cho Crowdstrike chỉ nhằm mục đích nâng cấp hệ thống bảo vệ Falcon, giúp thu thập dữ liệu và phát hiện các cuộc tấn công mới nhắm vào Windows. Thế nhưng, bản cập nhật này lại gây ra một lỗi khiến 8,5 triệu máy tính Windows trên toàn cầu phải khởi động lại liên tục.”
Theo thông tin từ các phương tiện truyền thông, bản cập nhật lỗi của CrowdStrike đã gây ra gián đoạn nghiêm trọng đối với các cơ sở hạ tầng trọng yếu trên toàn cầu sử dụng hệ điều hành Windows và được bảo vệ bởi Crowdstrike, bao gồm bệnh viện, ngân hàng, hãng hàng không và các cơ quan Chính phủ như Cơ quan Hàng không và Vũ trụ Hoa Kỳ (NASA), Ủy ban Thương mại Liên bang (FTC), Cục Quản lý An ninh Hạt nhân Quốc gia (NNSA), trung tâm cuộc gọi khẩn cấp 911, các trang web chính phủ ở Philippines… Đây là sự cố gián đoạn nghiêm trọng nhất từng xảy ra trong lịch sử, khiến nền kinh tế thế giới gần như tê liệt, gây ra thiệt hại kinh tế chưa từng có.
Các hệ thống bị ảnh hưởng bao gồm các máy chủ Windows sử dụng CrowdStrike Falcon phiên bản 7.11 trở lên, trực tuyến trong khoảng thời gian từ 04:09 đến 05:27 (UTC) ngày 19 tháng 07 năm 2024 và đã được cập nhật bản mới nhất. Máy tính sử dụng hệ điều hành Mac và Linux không gặp phải vấn đề này. Cần phải nói thêm, sự cố này không phải một cuộc tấn công mạng có chủ đích, mà chỉ do lỗi từ bản cập nhật phần mềm của CrowdStrike. Điều này cho thấy hậu quả nghiêm trọng tiềm ẩn, nếu một cuộc tấn công thực sự có chủ đích xảy ra. Tuy nhiên, đây không phải là sự cố đầu tiên về chuỗi cung ứng, trước đó, thư viện Linux XZ đã trở thành “đích ngắm” cho một cuộc tấn công tinh vi.
Linux XZ – Khi kẻ xấu lợi dụng lỗ hổng nghiêm trọng
Đầu năm 2024, bộ công cụ và thư viện nén dữ liệu mã nguồn mở Linux XZ Utils xuất hiện một lỗ hổng nghiêm trọng. Kẻ tấn công đã lợi dụng lỗ hổng này để cài đặt một backdoor vào phần mềm. Backdoor cho phép kẻ tấn công truy cập trái phép vào các hệ thống bằng cách can thiệp vào nguyên lý hoạt động của OpenSSH, chương trình mã nguồn mở sử dụng Secure Shell (SSH). SSH là một giao thức mạng bảo mật được sử dụng rộng rãi để quản lý các thiết bị như máy chủ, thiết bị Internet vạn vật (IoT), bộ định tuyến, các thiết bị lưu trữ mạng và nhiều thiết bị khác.
Hiện tại, hàng chục triệu thiết bị gia dụng kết nối IoT, hàng triệu máy chủ, trung tâm dữ liệu và thiết bị mạng đều phụ thuộc vào giao thức SSH. Nếu lỗ hổng này bị kẻ xấu lợi dụng, hậu quả có thể nghiêm trọng hơn nhiều so với sự cố CrowdStrike gần đây. Công ty phần mềm mã nguồn mở Red Hat thông báo lỗ hổng này đã được Cơ sở dữ liệu về Lỗ hổng bảo mật Quốc gia (National Vulnerability Database) của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) ghi nhận với mã số CVE-2024-30942 và đánh giá ở mức 10 – cấp độ nghiêm trọng nhất.
Các nhà điều tra số chỉ ra rằng người dùng JiaT75, hay còn gọi là Jia Cheong Tan trên GitHub, tham gia vào nhóm dự án XZ Utils và đóng góp cho dự án XZ từ năm 2021. Danh tính thật của JiaT75 vẫn còn là một ẩn số, vì có thể có nhiều kẻ tấn công dùng chung một tài khoản, tuy nhiên các nguồn tin khác cho thấy tài khoản này sử dụng VPN của Singapore và thuộc múi giờ UTC+8.
Giống như một con sói đội lốt cừu, JiaT75 tích cực tham gia và đóng góp, dần gây dựng lòng tin với cộng đồng phát triển dự án XZ Utils. Nhờ vậy, JiaT75 giành được quyền quản lý kho lưu trữ của dự án XZ và phê duyệt các thay đổi của dự án. Tiếp theo, mã nguồn của thành phần XZ/libzma bị chỉnh sửa và ngụy trang tinh vi, trở thành một phần không thể thiếu của phần mềm SSH trên một số hệ điều hành, từ đó cho phép kẻ tấn công xâm nhập toàn bộ hệ thống bị ảnh hưởng.
Sự cố đã được phát hiện kịp thời và hiện đang được tiếp tục điều tra. Vụ việc này một lần nữa cho thấy nếu kẻ xấu lợi dụng kỹ thuật tấn công phi xã hội (social engineering) đánh vào tâm lý và đặc tính mã nguồn mở, có thể tạo ra lỗ hổng nghiêm trọng để tấn công chuỗi cung ứng.
Các chuyên gia của Kaspersky đã tiến hành một cuộc phân tích toàn diện về vụ việc, để làm rõ kỹ thuật mà kẻ xấu đã sử dụng.
