Buzz
Cuộc Tấn Công Hack Cơ Quan Ở Mỹ của Người Nga và Tiết Lộ Hàng Triệu Dữ Liệu
Quan chức an ninh mạng của Hoa Kỳ cho biết hôm qua rằng “một số ít” cơ quan chính phủ đã bị vi phạm dữ liệu trong một chiến dịch hack rộng lớn có khả năng đang được thực hiện bởi băng ransomware Clop có trụ sở tại Nga. Nhóm tội phạm mạng đã khai thác một lỗ hổng trong dịch vụ chuyển tệp MOVEit để lấy dữ liệu quý giá từ các nạn nhân bao gồm Shell, British Airways và BBC. Nhưng việc tấn công các mục tiêu của chính phủ Mỹ chỉ làm tăng sự quan sát của cảnh sát toàn cầu đối với nhóm tội phạm mạng trong cuộc tấn công hack đã nổi tiếng từ trước đến nay.
Progress Software, sở hữu MOVEit, đã vá lỗi hổng bảo mật vào cuối tháng Năm và Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ đã phát hành một lời khuyên cùng Văn phòng Điều tra Liên bang vào ngày 7 tháng 6 cảnh báo về việc khai thác của Clop và sự cần thiết khẩn trương cho tất cả các tổ chức, cả công và tư, để vá lỗi này. Một quan chức cấp cao của CISA nói với các phóng viên hôm qua rằng tất cả các phiên bản MOVEit của chính phủ Mỹ đã được cập nhật.
Quan chức CISA từ chối nói rõ đâu là các cơ quan của Mỹ bị tấn công, nhưng họ xác nhận Bộ Năng lượng đã thông báo với CISA rằng họ là một trong số đó. CNN, người đã đưa tin đầu tiên về cuộc tấn công vào các cơ quan chính phủ Hoa Kỳ, cũng báo cáo hôm nay rằng cuộc tấn công hack đã ảnh hưởng đến dữ liệu giấy phép lái xe và nhận dạng của tiểu bang Louisiana và Oregon cho hàng triệu cư dân. Clop trước đây cũng tuyên bố đã thực hiện các cuộc tấn công vào chính quyền các tiểu bang Minnesota và Illinois.
“Chúng tôi hiện đang cung cấp hỗ trợ cho một số cơ quan liên bang đã trải qua các xâm nhập ảnh hưởng đến các ứng dụng MOVEit của họ,” Giám đốc CISA Jen Easterly cho biết với các phóng viên vào thứ Năm. “Dựa trên các cuộc thảo luận chúng tôi đã có với đối tác trong Liên minh Phòng thủ Cyber chung, các xâm nhập này không được sử dụng để đạt được quyền truy cập rộng hơn, để duy trì vào các hệ thống được nhắm mục tiêu, hoặc để đánh cắp thông tin cụ thể có giá trị cao—tóm lại, theo hiểu biết của chúng tôi, cuộc tấn công này chủ yếu là một cuộc tấn công cơ hội.”
Easterly bổ sung rằng CISA chưa thấy Clop đe dọa phát hành bất kỳ dữ liệu nào bị đánh cắp từ chính phủ Mỹ. Và quan chức cấp cao của CISA, người đã nói chuyện với các phóng viên dưới điều kiện không được tiết lộ tên, cho biết rằng CISA và các đối tác hiện không thấy bằng chứng cho thấy Clop đang phối hợp với chính phủ Nga. Phía Clop khẳng định rằng họ tập trung vào mục tiêu các doanh nghiệp và sẽ xóa bỏ bất kỳ dữ liệu nào từ các cơ quan chính phủ hoặc cơ quan thực thi pháp luật.
Clop xuất hiện vào năm 2018 như một diễn viên ransomware tiêu chuẩn sẽ mã hóa hệ thống của nạn nhân và sau đó đòi tiền để cung cấp chìa khóa giải mã. Nhóm ransomware cũng nổi tiếng với việc tìm và khai thác các lỗ hổng trong phần mềm và thiết bị phổ biến để đánh cắp thông tin từ nhiều doanh nghiệp và cơ quan khác nhau và sau đó tiến hành các chiến dịch tống tiền dữ liệu.
Allan Liska, một nhà phân tích của công ty bảo mật Recorded Future chuyên về ransomware, cho biết Clop đã có “một số thành công” với phương pháp ransomware. Tuy nhiên, sau đó, họ đã khác biệt bằng cách chuyển sang mô hình hiện tại của họ, không còn dựa trên mã hóa ransomware mà thay vào đó phát triển các lỗ hổng trong phần mềm doanh nghiệp và sau đó sử dụng chúng để thực hiện tống tiền dữ liệu hàng loạt.
Mặc dù có thể không có sự phối hợp trực tiếp giữa Kremlin và Clop, nghiên cứu đã lặp đi lặp lại chỉ ra mối liên kết giữa chính phủ Nga và các nhóm ransomware. Theo thỏa thuận, những tổ chức này có thể hoạt động từ Nga một cách không bị trừng phạt miễn là họ không tấn công các nạn nhân trong nước và tuân theo ảnh hưởng của Kremlin. Vậy Clop có thực sự xóa dữ liệu mà họ thu thập, ngay cả tình cờ, từ các nạn nhân trong chính phủ không?
“Chúng tôi không nghĩ các cơ quan chính phủ Hoa Kỳ bị nhắm mục tiêu cụ thể. Clop chỉ tấn công vào bất kỳ máy chủ nào có lỗ hổng chạy phần mềm,” Liska nói về chiến dịch MOVEit. “Nhưng có khả năng cao là bất kỳ thông tin nào Clop thu thập từ chính phủ Mỹ hoặc các mục tiêu thú vị khác đã được chia sẻ với Kremlin.”
