Các tài liệu FOIA mới thu được đã tiết lộ điều gì về vụ hack SolarWinds tại Bộ Tài chính?

Chúng tiết lộ rằng những kẻ tấn công đã giành được tầm nhìn cấp quản trị vào hạ tầng email của Bộ Tài chính, có khả năng làm lộ mọi địa chỉ email treasury.gov.

Ai chịu trách nhiệm cho vụ xâm phạm SolarWinds?

Vụ tấn công được cho là do Cơ quan Tình báo Đối ngoại Nga (SVR) thực hiện.

Làm thế nào những kẻ tấn công có thể giành được quyền truy cập sâu đến vậy vào email của Bộ Tài chính?

Chúng đã đạt được quyền truy cập cấp quản trị vào môi trường email, cho phép chúng xác định mọi tài khoản và rất có thể xem nội dung của tất cả các địa chỉ treasury.gov.

Điều gì khiến vụ xâm nhập SolarWinds khác biệt so với một vụ khai thác phần mềm hay tấn công lừa đảo thông thường?

Đó là một cuộc tấn công chuỗi cung ứng, trong đó mã độc được ẩn giấu bên trong một bản cập nhật phần mềm đáng tin cậy, đã được ký cho công cụ Orion của SolarWinds, vì vậy các công cụ bảo mật đã không cảnh báo hoạt động này.

Tại sao việc làm lộ tất cả các địa chỉ email treasury.gov lại là mối lo ngại nghiêm trọng ngoài việc chỉ đọc tin nhắn?

Danh bạ email có thể tiết lộ cấu trúc tổ chức, xác định nhân sự chủ chốt, và cung cấp bản đồ cho các chiến dịch lừa đảo tiếp theo hoặc thu thập tình báo có mục tiêu.

Tài liệu FOIA tiết lộ vụ hack SolarWinds đã làm lộ toàn bộ email Treasury.gov

Các tài liệu thu được từ một vụ kiện theo Đạo luật Tự do Thông tin đã bổ sung thêm một chương đáng lo ngại cho câu chuyện về vụ hack SolarWinds năm 2020. Theo những hồ sơ mới xuất hiện, những kẻ tấn công không chỉ đơn thuần xâm nhập vào một số tài khoản tại Bộ Tài chính Hoa Kỳ. Chúng đã giành được quyền truy cập đủ sâu để có khả năng làm lộ mọi địa chỉ email kết thúc bằng treasury.gov. Hóa ra, toàn bộ phạm vi dữ liệu chính phủ bị lộ trong vụ hack SolarWinds còn rộng hơn những gì các quan chức từng công khai thừa nhận.

Những gì tài liệu FOIA thực sự tiết lộ về quyền truy cập vào Bộ Tài chính

Khi vụ xâm phạm SolarWinds lần đầu được đưa ra ánh sáng vào cuối năm 2020, các tuyên bố của chính phủ đã thừa nhận vụ xâm nhập một cách chung chung, nhưng không nêu chi tiết chính xác mức độ những kẻ tấn công đã đào sâu vào các hệ thống liên bang. Các tài liệu FOIA mới đã thay đổi đáng kể bức tranh đó.

Các hồ sơ chỉ ra rằng những kẻ tấn công, được cho là thuộc Cơ quan Tình báo Đối ngoại Nga (SVR), đã đạt được mức độ truy cập vào hạ tầng email của Bộ Tài chính đến mức cho phép chúng xem hoặc thu thập tất cả các địa chỉ hoạt động dưới tên miền treasury.gov. Điều này vượt xa việc xâm phạm một tập hợp con các hộp thư đến. Nó cho thấy những kẻ tấn công đã có tầm nhìn cấp quản trị vào môi trường email của bộ, nghĩa là chúng có thể xác định mọi tài khoản, và rất có thể cả nội dung của chúng, trên toàn bộ một trong những cơ quan nhạy cảm nhất của chính phủ Hoa Kỳ.

Kiểu truy cập đó có những hệ quả vượt xa việc đánh cắp thư từ. Danh bạ email có thể tiết lộ cấu trúc tổ chức, xác định nhân sự chủ chốt, và đóng vai trò như một bản đồ cho các chiến dịch lừa đảo tiếp theo hoặc thu thập tình báo có mục tiêu.

Tại sao tấn công chuỗi cung ứng lại khác với xâm phạm thông thường

Để hiểu tại sao vụ xâm phạm này lại khó phát hiện và có phạm vi thiệt hại lớn đến vậy, cần phải hiểu phương thức tấn công. Đây không phải là trường hợp tin tặc đoán mật khẩu yếu hay khai thác một máy chủ chưa vá lỗi. Vụ tấn công SolarWinds là một ví dụ điển hình của tấn công chuỗi cung ứng, nghĩa là đối thủ đã xâm phạm một nhà cung cấp phần mềm đáng tin cậy và sử dụng chính cơ chế cập nhật hợp pháp của nhà cung cấp đó để đẩy mã độc trực tiếp đến khách hàng.

SolarWinds đã tạo ra phần mềm quản lý mạng có tên Orion, được sử dụng rộng rãi trong cả các cơ quan liên bang lẫn các công ty khu vực tư nhân. Khi những kẻ tấn công chèn mã độc của chúng vào một bản cập nhật phần mềm Orion thông thường, mọi tổ chức cài đặt bản cập nhật đó về cơ bản đã mời sự xâm nhập vào qua cửa trước. Các công cụ bảo mật vốn thường cảnh báo hoạt động đáng ngờ không có lý do gì để báo động vì mã độc đã đến được bọc trong một gói phần mềm đáng tin cậy, đã được ký.

Đây chính là điều khiến tấn công chuỗi cung ứng trở nên nguy hiểm hơn nhiều so với các vụ xâm phạm thông thường. Chỗ đứng của kẻ tấn công được thiết lập không phải qua một lỗ hổng trong chính hệ thống phòng thủ của mục tiêu, mà qua một bên thứ ba đáng tin cậy mà mục tiêu không có lý do thực tế nào để nghi ngờ.

Các hệ thống chính phủ bị xâm phạm gây rủi ro cho dữ liệu công dân như thế nào

Phản ứng theo bản năng trước một vụ xâm phạm Bộ Tài chính có thể là coi đó như một vấn đề của chính phủ, tách biệt khỏi quyền riêng tư cá nhân hàng ngày. Cách nhìn nhận đó đã đánh giá thấp mức độ lộ lọt.

Các cơ quan liên bang nắm giữ lượng lớn dữ liệu công dân: hồ sơ thuế, báo cáo tài chính, thông tin việc làm, đơn xin trợ cấp, và nhiều hơn nữa. Khi những kẻ tấn công giành được quyền truy cập cấp quản trị vào môi trường email của một cơ quan như Bộ Tài chính, chúng có thể chặn bắt các thông tin liên lạc nội bộ về kiểm toán, điều tra, và các quyết định chính sách. Chúng có thể xác định những quan chức nào giám sát những chương trình nào, những thông tin có thể được sử dụng để tạo ra các email lừa đảo trực tuyến có chủ đích cực kỳ thuyết phục nhắm vào các cơ quan khác hoặc thậm chí là công dân tư nhân có liên quan đến các vấn đề đang diễn ra của chính phủ.

Ngoài các cuộc tấn công tiếp theo có chủ đích, còn có vấn đề về giá trị tình báo. Biết được ai làm việc tại Bộ Tài chính, họ giám sát những chương trình nào, và ai liên lạc với ai thực sự hữu ích đối với một cơ quan tình báo nước ngoài, và giá trị đó không đòi hỏi những kẻ tấn công phải giải mã dù chỉ một tệp mã hóa nào.

Người dùng quan tâm đến quyền riêng tư có thể và không thể làm gì để tự bảo vệ mình

Đây là lúc vụ lộ dữ liệu chính phủ trong vụ hack SolarWinds đối mặt với người dùng cá nhân bằng một thực tế không mấy dễ chịu. Về cơ bản, không có điều gì một công dân tư nhân có thể làm để ngăn chặn một cơ quan tình báo nước ngoài xâm phạm hạ tầng email nội bộ của một cơ quan liên bang.

Sử dụng VPN bảo vệ lưu lượng truy cập của riêng bạn. Mật khẩu mạnh và xác thực hai yếu tố bảo vệ các tài khoản cá nhân của bạn. Nhắn tin mã hóa đầu cuối bảo vệ các cuộc trò chuyện riêng tư của bạn. Không có biện pháp nào trong số này có ảnh hưởng gì đến việc liệu một nhà cung cấp phần mềm được chính phủ liên bang tin tưởng có bị xâm phạm hay không, hoặc liệu một cơ quan chính phủ nắm giữ hồ sơ về bạn có bị xâm nhập qua kênh cập nhật của nhà cung cấp đó hay không.

Đó không phải là lập luận cho thuyết định mệnh. Đó là lập luận cho sự rõ ràng về những gì các công cụ khác nhau thực sự được thiết kế để làm. Các công cụ bảo mật cá nhân giải quyết các bề mặt tấn công cá nhân. Các lỗ hổng hệ thống trong hạ tầng chính phủ hoặc doanh nghiệp đòi hỏi các phản ứng mang tính hệ thống: kiểm toán bảo mật nhà cung cấp nghiêm ngặt, kiến trúc mạng không tin cậy (zero-trust), thời hạn công bố bắt buộc về xâm phạm, và sự giám sát lập pháp có hiệu lực thực sự.

Đối với cá nhân, phản ứng hữu ích nhất là luôn cập nhật thông tin về những dữ liệu mà các cơ quan chính phủ nắm giữ, chú ý đến các thông báo xâm phạm khi chúng xuất hiện, và đặc biệt hoài nghi đối với các thông tin liên lạc không được yêu cầu có vẻ đến từ các nguồn chính phủ sau bất kỳ vụ xâm phạm nào được báo cáo.

Điều này có ý nghĩa gì với bạn

Phạm vi mới được tiết lộ của vụ xâm phạm Bộ Tài chính là một lời nhắc nhở rằng bảo vệ dữ liệu cá nhân tồn tại trong một hệ sinh thái lớn hơn mà cá nhân không kiểm soát được. Các thực hành bảo mật của riêng bạn rất quan trọng. Nhưng tư thế bảo mật của mọi tổ chức nắm giữ dữ liệu về bạn cũng quan trọng không kém.

Vụ hack SolarWinds không phải là một sự bất thường xảy ra một lần. Nó đã phơi bày một điểm yếu cấu trúc trong cách các chuỗi cung ứng phần mềm được tin tưởng và cách các vụ xâm phạm được công bố. Hiểu được bối cảnh đó là điều thiết yếu đối với bất kỳ ai theo dõi cách các mối đe dọa cấp quốc gia chuyển thành các rủi ro quyền riêng tư trong thế giới thực. Hãy bắt đầu bằng việc xây dựng hiểu biết vững chắc về cách các cuộc tấn công chuỗi cung ứng hoạt động và tại sao chúng lại khó phòng thủ đến vậy ở cấp độ cá nhân. Nền tảng đó sẽ làm sắc bén hơn cách bạn đọc mọi câu chuyện tương tự sau này.