Microsoft thừa nhận đã tìm thấy bằng chứng các tin tặc do nước ngoài hậu thuẫn sử dụng phần mềm độc hại xâm nhập mạng của nhiều cơ quan liên bang ở Mỹ, nhưng cho biết cuộc tấn không ảnh hưởng đến dữ liệu khách hàng hoặc các hệ thống dịch vụ công.
Frank Shaw, phát ngôn viên của Microsoft, tuyên bố trên Twitter:
"Tương tự như những khách hàng khác của SolarWinds, chúng tôi tích cực tìm
kiếm các chỉ số của tác nhân này và có thể xác nhận đã phát hiện được các mã nhị
phân SolarWinds độc hại trong môi trường làm việc của chúng tôi, các mã độc đã
cô lập và xóa".
Shaw nói thêm rằng, đến lúc này không có bằng chứng nào cho
thấy tin tặc đã truy cập vào dữ liệu khách hàng hoặc dịch vụ sản xuất được cung
cấp. Đồng thời, các chuyên gia bảo mật của công ty không tìm thấy dấu hiệu nào
cho thấy, tin tặc đã sử dụng hệ thống của Microsoft để tấn công vào hệ thống các
doanh nghiệp hoặc tổ chức khác.
Hãng tin Reuters cho biết, Microsoft cũng bị tấn công 'trong
chiến dịch hacking rộng rãi, bị nghi ngờ do các tin tắc được chính phủ Nga hậu
thuẫn', những kẻ tấn công đã 'lợi dụng lỗ hổng trong phần mềm SolarWinds Corp,
được phổ dụng rộng rãi '. Trích dẫn những nguồn tin quen thuộc trong lĩnh vực
này, Reuters tuyên bố, các tin tặc đã sử dụng hệ thống của Microsoft để tấn
công các tổ chức, doanh nghiệp khác.
Microsoft là khách hàng của SolarWinds Corp., công ty phát
triển phần mềm IT Orion, bị tin tặc xâm nhập lỗ hổng và truy cập vào mạng của
nhiều doanh nghiệp tổ chức khác nhau.
Đầu tuần này, công ty cho biết, khoảng hơn 18.000 doanh nghiệp
và tổ chức khách hàng đã tải xuống bản cập nhật phần mềm, có lỗ hổng bị tin tặc
thâm nhập.
Ngày 14/12, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) ban
hành cảnh báo khẩn cấp, chỉ đạo tất cả các cơ quan dân sự liên bang sử dụng phần
mềm Orion ngắt kết nối và vô hiệu hóa ứng dụng, biện pháp tạm thời ngăn chặn
tin tặc tiến hành thêm những cuộc tấn công mạng khác.
Trong một bài viết, đăng tải trên blog ngày 17/12, chủ tịch
Microsoft Brad Smith cảnh báo, cuộc điều tra ban đầu về xâm phạm bảo mật của
SolarWinds cho thấy đây là "một cuộc tấn công đáng chú ý về phạm vi, mức độ
tinh vi và tác động rộng rãi".
Smith cho rằng, hoạt động gián điệp này có thể đã làm tổn hại
nhiều doanh nghiệp và tổ chức khác nhau, nhưng các hacker có thể sẽ tiến hành
thêm các cuộc tấn công trong những ngày tới.
Ông mô tả sự cố xâm nhập này là một cuộc tấn công mạng có chủ
đích, nhằm vào "nước Mỹ và chính phủ Mỹ và các tổ chức quan trọng khác, trong
đó có cả các công ty bảo mật".
Để minh họa mức độ lan rộng của cuộc tấn công mạng, Smith công
bố một bản đồ dữ liệu đo xa từ phần mềm Bảo mật Chống vi rút của Microsoft. Bản
đồ này xác định những khách hàng đã cài đặt phiên bản phần mềm Orion chứa lỗ hổng,
cho phép những kẻ tấn công sử dụng để cài đặt phần mềm gián điệp độc hại.
Bản đồ khu vực địa lý, bị hacker tấn công thông qua phần mềm cập nhật Orion
Theo Smith, phiên bản cập nhật Orion này cho phép tin tặc
theo dõi và lựa chọn những khách hàng mục tiêu để tấn công.
Microsoft đã xác định được hơn 40 khách hàng quan trọng bị
những kẻ tội phạm mạng nhắm mục tiêu và xâm nhập thông qua "những phần mềm
bổ sung và tinh vi".
Các cơ quan chính phủ Mỹ được xác nhận là nạn nhân của chiến
dịch tấn công mạng được xác định là:
Bộ Tài chính Mỹ; Bộ ngoại giao Mỹ; Cục Quản lý Thông tin và
Viễn thông Quốc gia thuộc Bộ Thương mại Mỹ; Cơ quan An ninh mạng và Cơ sở hạ tầng;
Viện Y tế Quốc gia của Bộ Y tế’ Bộ An ninh Nội địa; Cục quản lý an ninh hạt
nhân quốc gia; Bộ năng lượng Mỹ’ Chính quyền Ba tiểu bang Mỹ; Thành phố Austin
FBI đang điều tra vai trò của một nhóm hacker, được cho là
nhà nước Nga hậu thuẫn trong chiến dịch tấn công mạng này. Các chuyên gia an
ninh tin rằng nhóm hacker có nguy cơ ngày càng tăng (APT), được gọi là Cozy
Bear, làm việc cho cơ quan tình báo nước ngoài Nga.