Theo Reuters – Các tin tặc Nga bị tình nghi đứng sau vụ tấn công mạng tồi tệ nhất của Mỹ trong nhiều năm đã lợi dụng quyền truy cập của người bán lại vào các dịch vụ của Microsoft Corp để thâm nhập, các nhà điều tra cho biết.
Trong khi các bản cập nhật cho phần mềm Orion của SolarWinds trước đây là điểm truy cập duy nhất được biết đến, công ty bảo mật CrowdStrike Holdings Inc cho biết hôm thứ Năm các tin tặc đã giành được quyền truy cập vào nhà cung cấp đã bán giấy phép Office và sử dụng nó để cố đọc email của CrowdStrike. Nó không xác định cụ thể những tin tặc có phải là kẻ đã xâm nhập SolarWinds hay không, nhưng hai người quen thuộc với cuộc điều tra của CrowdStrike cho biết họ có.
CrowdStrike sử dụng các chương trình Office để xử lý văn bản nhưng không sử dụng email. Nỗ lực thất bại, được thực hiện vài tháng trước, đã được Microsoft chỉ ra cho CrowdStrike vào ngày 15 tháng 12.
CrowdStrike, không sử dụng SolarWinds, cho biết họ không tìm thấy tác động nào từ nỗ lực xâm nhập và từ chối nêu tên người bán lại.
“Họ đã xâm nhập thông qua quyền truy cập của người bán lại và cố gắng kích hoạt đặc quyền ‘đọc’ thư,” một trong những người quen thuộc với cuộc điều tra “Nếu nó đã sử dụng Office 365 cho email, nó sẽ kết thúc cuộc chơi.”
Nhiều giấy phép phần mềm của Microsoft được bán thông qua các bên thứ ba và những công ty đó có thể có quyền truy cập gần như liên tục vào hệ thống của khách hàng khi khách hàng thêm sản phẩm hoặc nhân viên.
Microsoft cho biết hôm thứ Năm rằng những khách hàng đó cần phải cảnh giác.
Giám đốc cấp cao của Microsoft Jeff Jones cho biết: “Cuộc điều tra của chúng tôi về các cuộc tấn công gần đây đã phát hiện ra các sự cố liên quan đến việc lạm dụng thông tin đăng nhập để có được quyền truy cập, có thể xảy ra dưới nhiều hình thức. “Chúng tôi chưa xác định được bất kỳ lỗ hổng hoặc sự xâm phạm nào đối với sản phẩm hoặc dịch vụ đám mây của Microsoft.”
Việc sử dụng một người bán lại của Microsoft để cố gắng đột nhập vào một công ty quốc phòng kỹ thuật số đặt ra câu hỏi mới về việc các tin tặc, những người mà các quan chức Mỹ cáo buộc đang hoạt động thay mặt cho chính phủ Nga, có bao nhiêu con đường.
Các nạn nhân được biết cho đến nay bao gồm đối thủ an ninh CrowdStrike FireEye Inc và Bộ Quốc phòng, Nhà nước, Thương mại, Kho bạc và An ninh Nội địa Hoa Kỳ. Các công ty lớn khác, bao gồm Microsoft và Cisco Systems Inc, cho biết họ đã tìm thấy phần mềm SolarWinds bị nhiễm bẩn trong nội bộ nhưng không tìm thấy dấu hiệu cho thấy tin tặc đã sử dụng nó để phủ sóng rộng rãi trên mạng của họ.
Cho đến nay, SolarWinds có trụ sở tại Texas là kênh duy nhất được xác nhận công khai về các vụ đột nhập ban đầu, mặc dù các quan chức đã cảnh báo trong nhiều ngày rằng tin tặc có những cách khác.
Microsoft sau đó ám chỉ rằng khách hàng của họ vẫn nên cảnh giác. Ở phần cuối của một bài đăng blog kỹ thuật dài vào thứ Ba, nó đã sử dụng một câu để đề cập đến việc nhìn thấy tin tặc tiếp cận Microsoft 365 Cloud “từ tài khoản nhà cung cấp đáng tin cậy nơi kẻ tấn công đã xâm phạm môi trường của nhà cung cấp”
Microsoft yêu cầu các nhà cung cấp của mình có quyền truy cập vào hệ thống khách hàng để cài đặt sản phẩm và cho phép người dùng mới. Nhưng việc phát hiện ra nhà cung cấp nào vẫn có quyền truy cập tại bất kỳ thời điểm nào là rất khó nên CrowdStrike đã phát triển và phát hành một công cụ kiểm tra để thực hiện điều đó.
Sau một loạt vụ vi phạm khác thông qua các nhà cung cấp dịch vụ đám mây, bao gồm một loạt vụ tấn công lớn được cho là do các tin tặc được chính phủ Trung Quốc hậu thuẫn và được gọi là CloudHopper, Microsoft năm nay đã áp đặt các biện pháp kiểm soát mới đối với các đại lý của mình, bao gồm cả các yêu cầu về xác thực đa yếu tố.
Cơ quan An ninh mạng và Cơ sở hạ tầng và Cơ quan An ninh Quốc gia không có bình luận.
Cũng vào thứ Năm, SolarWinds đã phát hành bản cập nhật để sửa các lỗ hổng trong phần mềm quản lý mạng hàng đầu Orion sau khi phát hiện ra nhóm tin tặc thứ hai đã nhắm mục tiêu vào các sản phẩm của công ty. Điều đó theo sau một bài đăng trên blog riêng của Microsoft vào thứ Sáu nói rằng SolarWinds đã bị nhắm mục tiêu bởi một nhóm tin tặc thứ hai và không liên quan ngoài những kẻ có liên quan đến Nga.
Danh tính của nhóm tin tặc thứ hai, hoặc mức độ mà chúng có thể đã đột nhập thành công ở bất kỳ đâu, vẫn chưa rõ ràng.
Nga đã phủ nhận bất kỳ vai trò nào trong vụ hack.
![[Cập nhật] Giá vàng Nhật Bản 24k hôm nay tăng hay giảm](https://topsanfx.com/wp-content/uploads/2023/06/gia-vang-Nhat-Ban-1-120x86.jpg)
