Trung tâm An ninh mạng Canada đã đưa ra một lời khuyên chung với FBI và các cơ quan khác của Hoa Kỳ về việc gia tăng các cuộc tấn công từ phần mềm độc hại "Truebot."

Theo cảnh báo ngày 6 tháng 7, tin tặc đang sử dụng lỗ hổng trong phần mềm bảo mật để truy cập mạng máy tính tại các tổ chức ở Canada và Hoa Kỳ nhằm đánh cắp dữ liệu nhạy cảm để thu lợi tài chính. Công ty đứng sau phần mềm bị xâm nhập cho biết hơn 7.000 tổ chức dựa vào Netwrix Auditor, bao gồm các khách hàng từ các lĩnh vực bảo hiểm, tài chính, y tế và pháp lý.

Anil Somayaji, phó giáo sư khoa học máy tính tại Đại học Carleton ở Ottawa, nói với CTVNews.ca qua điện thoại vào thứ Năm: “Một chương trình bảo mật, để nó hoạt động, đòi hỏi mức độ truy cập cao, vì vậy nếu nó bị xâm phạm… thì những kẻ tấn công đã thắng. Đó là loại lỗ hổng tồi tệ nhất trong phần mềm rất nhạy cảm được triển khai chính xác ở những nơi họ quan tâm đến bảo mật."

Netwrix có trụ sở tại Texas đang kêu gọi khách hàng nâng cấp phần mềm và đảm bảo rằng các hệ thống đang chạy nó bị ngắt kết nối với internet.

“Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống Netwrix Auditor tiếp xúc với internet, trái với các phương pháp triển khai tốt nhất,” giám đốc an ninh của Netwrix Gerrit Lansing cho biết trong một tuyên bố với CTVNews.ca. "Đổi lại, kẻ tấn công sẽ có thể thực hiện các cuộc tấn công liệt kê và thực hiện các nỗ lực leo thang đặc quyền trong một mạng bị xâm nhập. Cả hai hoạt động - liệt kê và leo thang đặc quyền - đều là cốt lõi của bất kỳ cuộc tấn công mạng nào."

Netwrix Auditor được bán trên thị trường như một công cụ kỹ thuật số mà các tổ chức có thể sử dụng để "phát hiện các mối đe dọa bảo mật, chứng minh sự tuân thủ và tăng hiệu quả của nhóm CNTT."

"Giảm thiểu rủi ro CNTT và chủ động phát hiện các mối đe dọa," trang web Netwrix Auditor quảng cáo. "Giảm rủi ro đối với các tài sản quan trọng của bạn bằng cách xác định các lỗ hổng bảo mật cơ sở hạ tầng và dữ liệu hàng đầu của bạn và các quyền lỏng lẻo."

Somayaji nói rằng bản chất của phần mềm và cuộc tấn công, được gọi là thực thi mã từ xa, có thể cho phép tin tặc truy cập vào toàn bộ hệ thống máy tính và loại dữ liệu nhạy cảm mà Netrix Auditor được thiết kế để bảo vệ.

Somayaji, người có sở thích nghiên cứu bao gồm bảo mật máy tính và phát hiện xâm nhập, cho biết: “Một khi chúng bị nhiễm, về cơ bản chúng có quyền kiểm soát các hệ thống này và sau đó chúng có thể… mã hóa tất cả dữ liệu của bạn để bây giờ chỉ kẻ tấn công mới có thể giải mã được. Đó là ý tưởng của ransomware: Tôi đã mã hóa dữ liệu của bạn, nếu bạn muốn lấy lại, bạn phải trả tiền cho tôi để lấy chìa khóa, nếu không, bạn sẽ không bao giờ có thể khôi phục được."

Trung tâm An ninh mạng Canada là một phần của Cơ quan An ninh Truyền thông (CSE), là cơ quan tình báo kỹ thuật số và an ninh mạng của Canada. Nó đã đưa ra cảnh báo chung về mối đe dọa mạng mới cùng với Cục Điều tra Liên bang (FBI), Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) và Trung tâm Phân tích và Chia sẻ Thông tin Đa Bang (MS-ISAC) ở Hoa Kỳ.

Somayaji nói: “Bất cứ khi nào bạn thấy những thứ này xuất hiện, nó giống như phần nổi của tảng băng trôi. Thực tế là Trung tâm An ninh mạng Canada, CISA, FBI, tất cả họ đều đưa ra thông cáo báo chí này, điều này khiến tôi nghĩ rằng một số công ty  lớn đang sử dụng công cụ này."

Lần đầu tiên được xác định vào năm 2017, các nhà nghiên cứu bảo mật tư nhân cho biết họ đã truy vết phần mềm độc hại Truebot đến các tin tặc Silence Group nói tiếng Nga, nhóm này đã nhắm mục tiêu vào các tổ chức tài chính ở các quốc gia thuộc Liên Xô cũ và các tổ chức khác trên toàn thế giới. Người phát ngôn của CSE cho biết họ "không ở vị trí để xác thực những phát hiện đó."

Người phát ngôn của CSE giải thích: “Các phiên bản trước của phần mềm độc hại Trubot dựa vào các email lừa đảo độc hại để xâm nhập vào hệ thống bằng cách lừa người nhận nhấp vào một siêu liên kết để thực thi phần mềm độc hại. Gần đây, các tác nhân đe dọa mạng đã thêm một chiến thuật mới và đang khai thác lỗ hổng thực thi mã từ xa – được gọi là CVE-2022-31199 – trong phần mềm Netwrix Auditor để khởi chạy phần mềm độc hại, về cơ bản loại bỏ lỗi do con người gây ra cần thiết để một cuộc tấn công lừa đảo thành công."

CSE ở Canada đang kêu gọi các nhà khai thác CNTT bị ảnh hưởng đọc cảnh báo kỹ thuật và tư vấn an ninh mạng để biết thêm thông tin và giải pháp.

Somayaji cho biết Netwrix không phải là công ty phần mềm bảo mật đầu tiên đối mặt với một vụ rò rỉ như thế này.

Somayaji nói: “Nếu bạn nhìn vào quá khứ, nhiều sản phẩm bảo mật đã có những lỗ hổng nghiêm trọng. Một số có thể chỉ là những người đang cố gắng kiếm tiền, một số có thể là các tổ chức tình báo, một số có thể chỉ là những cá nhân ngẫu nhiên muốn mài giũa."

© 2023 CTV News.ca

Bản tiếng Việt của The Canada Life