Microsoft đã cho biết, các tin tặc quốc gia đã dàn dựng cuộc tấn công chuỗi cung ứng SolarWinds đã xâm nhập máy tính của nhân viên Microsoft và sử dụng quyền truy cập để thực hiện các cuộc tấn công có chủ đích nhằm vào khách hàng của công ty.
Nhóm tấn công cũng xâm nhập ba thực thể bằng cách sử dụng kỹ thuật phun mật khẩu và bạo lực, chúng có quyền truy cập trái phép vào tài khoản bằng cách bắn phá các máy chủ đăng nhập với số lượng lớn các phỏng đoán đăng nhập.
“Hoạt động gần đây này hầu như không thành công và phần lớn các mục tiêu không bị xâm phạm thành công – cho đến nay chúng tôi đã biết về ba thực thể bị xâm phạm”, Trung tâm Tình báo Đe dọa của gã khổng lồ công nghệ cho biết. “Tất cả khách hàng bị xâm phạm hoặc bị nhắm mục tiêu đang được liên hệ thông qua quy trình thông báo cấp quốc gia của chúng tôi.”
Làn sóng mới nhất trong một loạt các cuộc xâm nhập được cho là chủ yếu nhắm vào các công ty CNTT, tiếp theo là các cơ quan chính phủ, tổ chức phi chính phủ, các tổ chức tư vấn và dịch vụ tài chính, với 45% các cuộc tấn công nằm ở Mỹ, Anh, Đức và Canada.
Nobelium là tên được Microsoft gán cho đối thủ quốc gia-nhà nước chịu trách nhiệm cho các cuộc tấn công chuỗi cung ứng SolarWinds chưa từng có được đưa ra ánh sáng vào năm ngoái. Nó được theo dõi bởi cộng đồng an ninh mạng rộng lớn hơn dưới các biệt danh APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) và Iron Ritual (Secureworks).
Ngoài ra, Microsoft cho biết họ đã phát hiện phần mềm độc hại đánh cắp thông tin trên một máy thuộc một trong những nhân viên hỗ trợ khách hàng của họ, người có quyền truy cập vào thông tin tài khoản cơ bản của một số ít khách hàng của họ.
Công ty lưu ý rằng thông tin khách hàng bị đánh cắp sau đó đã được sử dụng “trong một số trường hợp” để khởi động các cuộc tấn công nhắm mục tiêu cao như một phần của chiến dịch rộng lớn hơn, công ty lưu ý và cho biết thêm rằng nó đã di chuyển nhanh chóng để bảo mật thiết bị. Cuộc điều tra về vụ việc vẫn đang được tiếp tục.
Tiết lộ rằng các tin tặc đã thiết lập một nhánh mới của chiến dịch được đưa ra một tháng sau khi Nobelium nhắm mục tiêu vào hơn 150 tổ chức khác nhau ở 24 quốc gia bằng cách tận dụng tài khoản USAID bị xâm nhập tại một công ty tiếp thị qua email hàng loạt có tên Constant Contact để gửi email lừa đảo. nhóm để triển khai các cửa hậu có khả năng đánh cắp thông tin có giá trị.
Sự phát triển này cũng đánh dấu lần thứ hai kẻ đe dọa chỉ ra Microsoft sau khi công ty tiết lộ rằng những kẻ tấn công đã tìm cách xâm nhập mạng của họ để xem mã nguồn liên quan đến các sản phẩm và dịch vụ của họ, bao gồm Azure, Intune và Exchange.
Hơn nữa, tiết lộ được đưa ra khi Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) mở cuộc điều tra về vụ vi phạm SolarWinds để xem xét liệu một số nạn nhân của vụ hack đã không công khai sự kiện bảo mật hay không, theo Reuters.
Fanpage: Trí Việt JSC ( Theo thehackernews )