AN TỒN THƠNG TIN Tấn cơng chuỗi cung ứng (supply chain attack) loại công mạng nhắm vào tổ chức thông qua ứng dụng, phần mềm từ nhà cung cấp tổ chức Theo đó, thay nhắm mục tiêu trực tiếp vào nạn nhân, tin tặc công vào nhà cung cấp phần mềm mà nạn nhân sử dụng, cài mã độc vào phần mềm sau chiếm quyền điều khiển hệ thống phân phối họ1 Đã có thời, mối đe dọa từ chuỗi cung ứng vật lý tất mà tổ chức phải lo lắng Hiện với gia tăng Internet hệ thống ngày phụ thuộc vào phần mềm, có mối đe dọa chủ yếu Internet lợi ích to lớn chuỗi cung ứng, quy mơ nhỏ tồn cầu Tuy nhiên, gia tăng chuỗi cung ứng phần mềm phụ thuộc vào Internet tạo nguy mối đe dọa tiềm tàng Năm 2013 2014, giới bàng hồng vụ rị rỉ liệu 70 triệu khách hàng Target chuỗi bán lẻ Home Depot, tương đương phần ba dân số Hoa Kỳ, bị đánh cắp vấn đề bảo mật từ bên thứ ba Sáu năm sau, vi phạm an toàn, an ninh phần mềm chuỗi cung ứng ngày gia tăng, tinh vi, phức tạp - đáng ý vụ vi phạm SolarWinds cho công mạng lớn từ trước đến ThS NHÂM VĂN HẢI Cục An tồn thơng tin, Bộ TT&TT 1 https://ictvietnam.vn/tan-cong-chuoi-cung-ung-gia-tang-nhung-bien-phap-ngan-chan-va-han-che-20210813095240277 htm Số - Tháng 9/2022 76 77 Số - Tháng 9/2022 AN TỒN THƠNG TIN Hiện trạng Vào ngày 13 tháng 12 năm 2020, FireEye, Microsoft SolarWinds thông báo việc phát công chuỗi cung ứng lớn, tinh vi sử dụng Orion IT, tảng quản lý giám sát sở hạ tầng SolarWinds Theo AP, giới bảo mật đánh giá công lớn nhắm vào Hoa Kỳ thập kỷ qua tin tặc đánh cắp nhiều bí mật quan trọng Chính phủ Chính phủ Hoa Kỳ nhiều chuyên gia khu vực tư nhân tuyên bố tin tưởng cơng tội phạm có tổ chức hẫu thuẫn quốc gia2;3 Đây dường công mạng phức tạp tinh vi lịch sử, đến công tác điều tra cố tiếp tục thực SolarWinds xóa danh sách khách hàng khỏi trang web mình, Internet Archive4 lưu danh sách đó: Tất chi nhánh quân đội Hoa Kỳ, Bộ ngoại giao, Nhà Trắng, NSA, 425 công ty số TOP 500 công ty Fortune, tất số cơng ty kế tốn hàng đầu, công ty, hàng trăm trường đại học cao đẳng5 Quy mơ vụ cơng có khả xảy toàn cầu phần mềm bị ảnh hưởng có https://orangematter.solarwinds.com/2021/01/11/new-findings-from-our-investigation-ofsunburst/ https://apnews.com/article/solarwinds-fireeye-hack-explained-07e55dfd7fb9e6de96b55a77 88eaa93e https://web.archive.org/web/20201213234819/https://www.solarwinds.com/company/customers https://www.theguardian.com/commentisfree/2020/dec/23/cyber-attack-us-security-protocols Số - Tháng 9/2022 thể kết nối đến nhiều phận doanh nghiệp, có khả tàn phá tổ chức Phân tích Microsoft xác định 40 khách hàng bị xâm nhập cách sử dụng lỗ hổng Phần lớn số Hoa Kỳ, mạng Canada, Mexico, Bỉ, Tây Ban Nha, Anh, Israel UAE nhắm mục tiêu Danh sách bao gồm phủ, nhà thầu phủ, cơng ty CNTT, tổ chức tư vấn tổ chức phi phủ… chắn ngày gia tăng6 Vài mốc thời gian kiện lưu ý Tháng năm 2019 đến tháng năm 2020: SolarWinds bị công mà không biết: 02 cập nhật phần mềm SolarWinds Orion bị công cách lặng lẽ từ tháng năm 2019 Tin tặc thức cài đặt, nhúng phần mềm độc hại vào cài đặt cập nhật để theo dõi khách hàng với mã độc SUNBURST từ ngày 20 tháng năm 2020 Ngày tháng 12 năm 2020: FireEye bị công: FireEye tiết lộ tin tặc nhà nước tài trợ đột nhập vào mạng FireEye đánh cắp công cụ sử dụng để kiểm tra thâm nhập công ty7 Từ ngày 11 đến 17 tháng 12 năm 2020: FireEye phát SolarWinds bị công: Trong điều tra vi phạm, FireEye phát cập nhật SolarWinds Orion bị lỗi trở thành “vũ khí hóa” tin tặc8 Các họp khẩn cấp Nhà Trắng: Hội đồng An ninh Quốc gia (National Security Council) tổ chức họp Nhà Trắng để thảo luận vi phạm nhiều quan phủ doanh nghiệp9 Chỉ thị khẩn cấp CISA: Cơ quan An ninh mạng Cơ sở hạ tầng (CISA), phận Bộ An ninh Nội địa Hoa Kỳ, ban hành thị khẩn cấp 21-0110, lệnh cho quan liên bang ngắt kết nối phần mềm SolarWinds Orion mối đe dọa an ninh11 SolarWinds đưa khuyến nghị bảo mật nêu rõ vụ hack tảng Orion biện pháp phòng thủ liên quan12 Các nạn nhân bị xác định công bao gồm: Bộ Thương mại Tài Hoa Kỳ; Bộ An ninh Nội địa (DHS), Viện Y tế Quốc gia Bộ Ngoại giao13 Các nhà cung cấp dịch vụ CNTT nhắm mục tiêu: Microsoft phát 40 khách hàng mục tiêu Khoảng 44% khách hàng nhà cung cấp dịch vụ CNTT, phần mềm công ty công nghệ Microsoft mô tả cần thiết phải có “phản ứng an ninh mạng toàn cầu mạnh mẽ”14 Cơ quan Hạt nhân Hoa Kỳ: Tin tặc truy cập vào hệ thống Cơ quan Quản lý An ninh Hạt nhân Quốc gia, quan trì kho dự trữ vũ khí hạt nhân Hoa Kỳ15 Các họp Nhà Trắng: Nhà Trắng họp hàng ngày để thảo luận vụ vi phạm SolarWinds Orion, nạn nhân công, nạn nhân tiềm ẩn cách ứng phó tiềm năng16 Ngày 19 đến 21 tháng 12 năm 2020: Chính quyền Trump: Ngoại trưởng Hoa Kỳ Mike Pompeo đổ lỗi cho Nga vụ hack SolarWinds Orion làm tổn hại nhiều quan liên bang tập đoàn kinh tế Hoa Kỳ17 Cập nhật nạn nhân: Gần 198 tổ chức bị hack cách sử dụng backdoor SolarWind, theo nhà phân tích mối đe dọa Recorded Future18;19 Các tổ chức Cisco Systems, Intel, Nvidia, Deloitte, VMware Belkin cài đặt phần mềm SolarWinds Orion bị nhiễm, không rõ liệu tin tặc có thực thực bước bổ sung sau phần mềm bị nhiễm xâm nhập vào tổ chức hay khơng20 Ngày 11 tháng năm 2021 Dịng thời gian cơng điều chỉnh: Giám đốc điều hành SolarWinds tiết lộ dòng thời gian công cập nhật, cho thấy tin tặc truy cập SolarWinds lần vào ngày tháng năm 201921 Chính phủ Hoa Kỳ, SolarWinds hãng công nghệ tiếp tục điều tra nguyên nhân, phạm vi quan, tổ chức bị ảnh hưởng22 Nhóm Nobelium - tác nhân đe dọa bị nghi ngờ đứng sau công SolarWinds hoạt động vào năm 2021 không dừng lại việc nhắm mục tiêu vào SolarWinds Vào ngày 27 tháng năm 2021, Microsoft báo cáo Nobelium xâm nhập vào phần mềm từ dịch vụ tiếp thị qua email Constant Contact Theo Microsoft, Nobelium nhắm mục tiêu khoảng 3.000 tài khoản email 150 tổ chức khác Cuộc điều tra tiếp tục chun gia bảo mật tìm thấy phần mềm độc hại liên quan đến công23 https://www.reuters.com/article/us-usa-cyber-amazon-com-exclsuive-idUSKBN28N0PG 17 https://www.wsj.com/articles/pompeo-blames-russia-for-solarwinds-hack-11608391515 10 https://cyber.dhs.gov/ed/21-01/ 11 https://www.msspalert.com/cybersecurity-news/cisa-emergency-directive-solarwinds-orion/ 18 https://www.recordedfuture.com/ 12 https://www.msspalert.com/cybersecurity-news/solarwinds-orion-vulnerability-investigation/ 19 https://www.bloomberg.com/news/articles/2020-12-19/at-least-200-victims-identifiedin-suspected-russian-hacking 13 https://www.wsj.com/articles/suspected-russian-hack-said-to-have-gone-undetected-formonths-11607974376?mod=tech_lead_pos3 20 https://www.wsj.com/articles/solarwinds-hack-victims-from-tech-companies-to-a-hospitaland-university-11608548402?mod=tech_lead_pos1 https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds -fireeye/ 14 https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwindsfireeye/ 21 https://orangematter.solarwinds.com/2021/01/11/new-findings-from-our-investigationof-sunburst/ https://www.msspalert.com/cybersecurity-breaches-and-attacks/hackers-steal-fireeye-redteam-security-testing-tools/ 15 https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress -447855 22 https://www.channele2e.com/technology/security/solarwinds-orion-breach-hacking-incidenttimeline-and-updated-details/ https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds -supply-chain-compromises-with-sunburst-backdoor.html 16 https://www.bloomberg.com/news/articles/2020-12-16/white-house-holds-daily-talks-onrussia-s-hack-of-u-s-computers 23 https://cybernews.com/security/solarwinds-hack-the-mystery-of-one-of-the-biggestcyberattacks-ever/ 78 79 Số - Tháng 9/2022 AN TỒN THƠNG TIN thể có 14 tháng trở lên truy cập khơng bị kiểm sốt Tại vụ hack SolarWinds lại quan trọng? Cuộc công vào chuỗi cung ứng SolarWinds cơng tồn cầu, kẻ đe dọa biến phần mềm Orion thành vũ khí để truy cập vào số hệ thống phủ hàng nghìn hệ thống tư nhân khắp giới Do chất phần mềm - phần mềm độc hại Sunburst mở Tại phải nhiều thời gian để phát công SolarWinds? Với kẻ công lần có quyền truy cập vào hệ thống SolarWinds vào tháng năm 2019 công không phát báo cáo công khai tháng 12 năm 2020, kẻ cơng có Số - Tháng 9/2022 rộng - có quyền truy cập vào toàn mạng, nhiều mạng hệ thống phủ doanh nghiệp phải đối mặt với nguy vi phạm đáng kể24 24 https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everythingyou-need-to-know 80 khác như: NSA, CISA, FBI… tất bị “qua mặt” Xu hướng công vào chuỗi cung ứng Đây gọi công chuỗi cung ứng nhắm mục tiêu đến nhà cung cấp thân tổ chức - ảnh hưởng đến tất khách hàng nhà cung cấp Đó phương thức ngày phổ biến để cơng mạng Các ví dụ khác kiểu công bao gồm ứng dụng giả mạo cửa hàng Google Play27 hình thay bị công cho điện thoại thông minh bạn28 Chiến thuật thâm nhập “chuỗi cung ứng” lần này, gợi lại kỹ thuật mà tin tặc quân Nga sử dụng vào năm 2016 để lây nhiễm công ty Ukraine virus NotPetya mã hóa xóa ổ cứng - công mạng cho gây thiệt hại nay29, gây thiệt hại tổng cộng 10 tỷ USD30 vào năm 2017 SolarWinds tổ chức nạn nhân công chuỗi cung ứng phần mềm họ. Vào cuối năm 2017, Palo Alto xuất báo có tiêu đề “Kỷ nguyên công chuỗi cung ứng phần mềm bắt đầu31”, đưa cơng chuỗi cung ứng phần mềm trước dự đốn tập trung ngày tăng vào việc công nhà phát triển đáng tin cậy. Dưới tóm tắt kiện quan trọng này: - Tháng năm 2015 - XcodeGhost: Kẻ công phân phối phiên phần mềm Xcode Apple (được sử dụng để xây dựng ứng dụng iOS macOS). Cuộc công dẫn Phân tích xu hướng Bài học từ công SolarWinds Vi phạm không phát cơng ty an tồn, an ninh mạng tiếng FireEye, công ty sử dụng SolarWinds, xác định họ gặp phải vi phạm phần mềm vào ngày 8/12/202025 Sự việc phát sau nhân viên FireEye cảnh báo nhận thấy có điều khơng ổn Qua thông tin giám sát nhận thấy nhân viên có hai điện thoại đăng ký để truy cập vào hệ thống Nghi ngờ, FireEye hướng tầm nhìn để điều tra thấy kẻ xâm nhập mạo danh nhân viên họ rình mị bên hệ thống, đánh cắp công cụ độc quyền công ty Họ phát phần mềm độc hại bên SolarWinds vào ngày 13 tháng 12 thông báo cho giới vụ công này26 Điều cho thấy, thiết bị công nghệ đại bảo đảm an toàn, an ninh mạng thay cho người Với việc Hoa Kỳ có cơng nghệ đại bậc giới, lực lượng chuyên trách đông đảo với nhiều đơn vị 27 https://www.komando.com/security-privacy/check-your-phone-now-for-these-data-stealingcounterfeit-apps/576207/ 28 https://www.theverge.com/2017/8/21/16177916/malicious-replacement-touch-screens-controlsmart-phone 29 https://www.semperis.com/blog/notpetya-flashback-the-latest-supply-chain-attack-putsactive-directory-at-risk-of-compromise/ 25 https://www.zscaler.com/blogs/security-research/zscaler-coverage-solarwinds-cyberattacksand-fireeye-red-team-tools-theft 26 https://www.cbsnews.com/news/solarwinds-hack-russia-cyberattack-60-minutes-2021-02-14/ 30 https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/ 31 https://blog.paloaltonetworks.com/2017/12/2018-predictions-recommendations-era-softwaresupply-chain-attacks-begun/ 81 Số - Tháng 9/2022 AN TỒN THƠNG TIN đến hàng nghìn ứng dụng bị xâm nhập xác định kho ứng dụng Apple32 - Tháng năm 2016 - KeRanger : Ứng dụng BitTorrent mã nguồn mở phổ biến, bị xâm phạm để đưa vào MacOS ransomware trình cài đặt nó. Những kẻ cơng xâm nhập máy chủ hợp pháp sử dụng để phân phối, người dùng tải xuống cài đặt chương trình bị nhiễm phần mềm độc hại giữ tệp họ để đòi tiền chuộc33 - Tháng năm 2017 - NotPetya: Những kẻ công xâm nhập công ty phần mềm Ukraine phân phối khối lượng liệu phá hoại với khả sâu mạng thông qua cập nhật cho phần mềm tài “MeDoc”. Sau lây nhiễm vào hệ thống sử dụng phần mềm, phần mềm độc hại lây lan sang máy chủ khác mạng ảnh hưởng đến nhiều tổ chức, gây gián đoạn toàn giới34 - Tháng năm 2017 - CCleaner: Những kẻ công xâm nhập công cụ CCleaner Avast, hàng triệu người sử dụng để giúp PC họ hoạt động bình thường Mã độc sử dụng để nhắm mục tiêu vào công ty công nghệ viễn thông lớn toàn giới35 Vào tháng năm 2019, kẻ cơng lại nhắm mục tiêu cơng cụ CCleaner của Avast sau giành quyền truy cập vào mạng Avast thông qua hồ sơ VPN tạm thời36. - Tháng năm 2021 - Kaseya: Hệ thống mạng công ty phần mềm Kaseya bị mã độc tống tiền công Sự cố ảnh hưởng đến khoảng 800-1500 doanh nghiệp toàn giới Trong trường hợp, bao gồm hoạt động SolarWinds gần đây, thay nhắm mục tiêu trực 32 https://blog.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-appsincluding-wechat-affecting-hundreds-of-millions-of-users/ 33 https://blog.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infectedtransmission-bittorrent-client-installer/ 34 https://blog.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware/ 35 https://blog.avast.com/progress-on-ccleaner-investigation 36 https://blog.avast.com/ccleaner-fights-off-cyberespionage-attempt-abiss Số - Tháng 9/2022 tiếp vào tổ chức thông qua lừa đảo khai thác lỗ hổng bảo mật, kẻ công chọn xâm nhập trực tiếp nhà phát triển phần mềm sử dụng tin tưởng mà có để truy cập mạng khác. Điều tránh biện pháp kiểm sốt phịng ngừa để cơng khai thác dễ dàng hệ thống tổ chức Tại Việt Nam, tháng vừa qua, diễn đàn công nghệ chia sẻ nhiều thông tin việc số công ty phần mềm kế tốn bị cơng nhắm vào chuỗi cung ứng để phát tán ransomware Các nhận định đưa chưa kịp cập nhật vá bảo mật từ Microsoft cho máy chủ chạy Windows Đây lỗ hổng nghiêm trọng hacker cơng khơng u cầu xác thực thực thi mã từ xa qua mạng37 Tuy nhiên sau đó, có thơng tin cơng bố thức việc “không chứa dấu hiệu bất thường gây cơng mã hóa liệu máy chủ khách hàng” từ công ty cung cấp phần mềm kế toán Hiện tại, Việt Nam chưa phát cố nghiêm trọng công nhắm vào chuỗi cung ứng, nhiên xu hướng 37 https://thanhnien.vn/canh-bao-phan-mem-ke-toan-tai-viet-nam-dinh-ma-doc-doi-tienchuoc-post1448574.html; https://www.techsignin.com/phan-mem-ke-toan-viet-namdinh-ransomware/ 82 giới số kiện nước cho thấy, hình thức cơng ln tiềm ẩn rủi ro phức tạp, xảy quan, tổ chức Kết luận Cuộc công cho thấy gia tăng, phổ biến độ “tinh vi” công vào chuỗi cung ứng giới Việt Nam nhắm mục tiêu tới tổ chức, quan Chính phủ có ảnh hướng uy tín lớn Hầu hết tổ chức sử dụng phần mềm phần cứng bên Nhờ bùng nổ kinh tế nguồn mở, không cịn xây dựng tất tảng cơng nghệ từ số Nhưng ẩn chứa lối tư rủi ro đáng kể Từng vật dụng mua, ứng dụng tải cần phải kiểm tra giám sát rủi ro bảo mật tiềm ẩn, tất vá cần phải cập nhật Ngoài ra, cần phải đưa các quy định kiểm soát rủi ro từ bên thứ ba giai đoạn đầu, từ khâu thiết vận hành, khai thác Để ngăn ngừa rủi ro bị công chuỗi cung ứng, tổ chức khuyến cáo nên kiểm sốt chặt chẽ quy trình hợp tác với nhà cung cấp, chọn hợp tác với bên có cam kết bảo mật thơng tin, có quy trình xử lí đầu việc rõ ràng, tin cậy Ngồi ra, tổ chức nên có tâm coi việc chọn đối tác tự bảo vệ cho thân Bởi xét cho cùng, việc xảy ra, tổ chức đối tượng phải chịu thiệt hại nặng nề Tại Việt Nam, bối cảnh kinh tế dần phục hồi, đảm bảo an tồn thơng tin (ATTT) chuỗi cung ứng ICT cần xem ưu tiên hàng đầu giai đoạn “bình thường mới” Chia sẻ hội thảo “Đảm bảo ATTT cho chuỗi cung ứng ICT” ngày 19/5/2022, Cục trưởng Cục ATTT, Bộ TT&TT cho biết Việt Nam dần phục hồi sau đại dịch thực CĐS mạnh mẽ nguy cơng mạng ngày gia tăng Tổng kết lại giải pháp, Cục trưởng Cục ATTT nhấn mạnh có giải pháp thiết thực đảm bảo ATTT mạng nói chung, kiểm sốt cơng mạng chuỗi cung ứng mạng nói riêng, gồm: (1) Triển khai hiệu giám sát ATTT tới hệ thống thông tin, đặc biệt giải pháp triển khai SOC mà Bộ TT&TT đạo từ năm 2020; (2) Các sản phẩm ICT phải kiểm tra, đánh giá toàn diện trước đưa vào sử dụng nâng cấp, mở rộng; (3) Phát triển phần mềm phải tuân thủ khung phát triển phần mềm an toàn Cục ATTT ban hành; (4) Tuân thủ quy trình bảo đảm ATTT chuỗi cung ứng ngắt khỏi hệ thống phần mềm khơng an tồn; (5) Th chun gia từ giám sát, kiểm tra, đánh giá cố giải pháp hữu hiệu, đặc biệt với quan nhà nước biên chế nguồn lực có hạn.n C 83 Số - Tháng 9/2022 ... chức nạn nhân công chuỗi cung ứng phần mềm họ. Vào cuối năm 2017, Palo Alto xu? ??t báo có tiêu đề “Kỷ nguyên công chuỗi cung ứng phần mềm bắt đầu31”, đưa cơng chuỗi cung ứng phần mềm trước dự đốn... mặt” Xu hướng công vào chuỗi cung ứng Đây gọi công chuỗi cung ứng nhắm mục tiêu đến nhà cung cấp thân tổ chức - ảnh hưởng đến tất khách hàng nhà cung cấp Đó phương thức ngày phổ biến để cơng mạng. .. trọng? Cuộc công vào chuỗi cung ứng SolarWinds cơng tồn cầu, kẻ đe dọa biến phần mềm Orion thành vũ khí để truy cập vào số hệ thống phủ hàng nghìn hệ thống tư nhân khắp giới Do chất phần mềm - phần