Cơ quan an ninh mạng của Mỹ kêu gọi tất cả các cơ quan dân sự liên bang kiểm tra lại mạng máy tính của họ để tìm các dấu hiệu xâm phạm sau khi mạng SolarWinds bị tấn công và vẫn đang bị khai thác.
Cục trưởng Cục An ninh Mạng và Cơ sở hạ tầng An ninh Nội địa Hoa Kỳ (CISA) cho biết, chỉ thị khẩn cấp đã được ban hành vào cuối Chủ nhật (ngày 13/12) để đối phó một vụ xâm phạm liên quan đến sản phẩm Orion của công ty SolarWinds hiện đang bị khai thác bởi các tác nhân độc hại.
Ông Brandon Wales, quyền giám đốc của cơ quan, cho biết trong một tuyên bố: “Vụ xâm phạm các sản phẩm quản lý mạng Orion của SolarWinds gây ra những rủi ro không thể chấp nhận được đối với an ninh của các mạng liên bang”.
“Chỉ thị tối nay nhằm mục đích giảm thiểu các nguy hiểm tiềm ẩn trong các mạng dân sự liên bang và chúng tôi kêu gọi tất cả các đối tác của chúng tôi - trong khu vực công và tư nhân - đánh giá thiệt hại của họ với vụ xâm phạm này và bảo vệ mạng của họ trước bất kỳ sự lạm dụng nào”.
Theo luật liên bang, các cơ quan liên bang được yêu cầu tuân thủ các chỉ thị.
CISA thực hiện hành động khẩn cấp này vì cơ quan này xác định việc bị lạm dụng gây ra rủi ro không thể chấp nhận được đối với các cơ quan liên bang. Tin tặc có thể khai thác các sản phẩm bị xâm phạm và sử dụng chúng để giám sát lưu lượng truy cập trên các hệ thống mạng chính của liên bang. Từ đó, chúng tăng khả năng gây hại đối với hệ thống thông tin của cơ quan liên bang và tạo ra "tác động nghiêm trọng".
Theo CISA, giải pháp duy nhất là ngắt kết nối các thiết bị bị ảnh hưởng.
Theo SolarWinds, hơn 300.000 khách hàng trên khắp thế giới, bao gồm cả văn phòng tổng thống Hoa Kỳ, Lầu Năm Góc và NASA, sử dụng các sản phẩm và dịch vụ của công ty.
CISA cho biết SolarWinds đang nỗ lực cung cấp các phiên bản vá phần mềm cập nhật. Công ty này cho biết một bản vá sẽ sẵn sàng vào thứ Ba (ngày 15/12).
Công ty cho biết trong một lời khuyên rằng họ vừa được thông báo rằng hệ thống của họ đã trải qua một cuộc tấn công rất tinh vi.
SolarWinds nói: “Chúng tôi đã được thông báo rằng cuộc tấn công này có thể do một quốc gia bên ngoài tiến hành và dự định là một cuộc tấn công diện hẹp, cực kỳ mạnh mẽ và được thực hiện thủ công, trái ngược với một cuộc tấn công toàn hệ thống”.
Người dùng được yêu cầu nâng cấp phần mềm Orion của họ trong khi chờ bản vá. Theo công ty, các bước giảm thiểu chính bao gồm cài đặt phần mềm phía sau tường lửa, vô hiệu hóa truy cập Internet cho nền tảng này và chỉ giới hạn các cổng và kết nối ở mức cần thiết.
Vào Chủ nhật (ngày 13/12), Bộ Thương mại Hoa Kỳ xác nhận với The Epoch Times rằng họ đã bị tấn công, trong khi Bộ Tài chính cũng bị cho là xâm phạm.
Hội đồng An ninh Quốc gia của Nhà Trắng cho biết họ đã biết về các báo cáo xâm nhập.
Tuần trước, FireEye, một công ty an ninh mạng của Mỹ, đã thông báo rằng họ đã bị tấn công bởi "một kẻ đe dọa rất tinh vi, có kỷ luật, bảo mật hoạt động và có kỹ thuật khiến chúng tôi tin rằng đó là một cuộc tấn công do nhà nước bảo trợ”.
Hôm Chủ nhật (ngày 13/12), công ty cho biết rằng họ đã phát hiện ra một “chiến dịch xâm nhập toàn cầu” - một cuộc tấn công sử dụng các bản cập nhật SolarWinds Orion để phát tán phần mềm độc hại tên là SUNBURST.
Phần mềm độc hại này sẽ giúp những kẻ xấu sử dụng để truy cập vào hệ thống.
Theo FireEye, các tác nhân đứng sau chiến dịch tấn công mới đã có được quyền tiếp cận nhiều tổ chức công và tư trên khắp thế giới, bao gồm các tổ chức chính phủ, tư vấn và công nghệ ở Bắc Mỹ, Châu Âu và Châu Á. Chiến dịch tấn công có thể đã bắt đầu sớm nhất là vào mùa xuân năm nay.
Văn Thiện
Theo The Epoch Times
