email HỖ TRỢ marketing@mkgroup.com.vn
Hotline Hà Nội (+84) 903 481 456
Hotline TP.HCM (+84) 988 476 756
0

Rò rĩ dữ liệu từ Accellion: “Từ tấn công đánh cắp dữ liệu và tống tiền đến an toàn thông tin doanh nghiệp”

13/05/2021 10:03

Công ty phần mềm Accellion và Mandiant đã vá thành công 4 lỗ hổng bảo mật. Dưới đây là danh sách tên các file dữ liệu của các doanh nghiệp nổi tiếng bị đánh cắp và phát tán:

Một số nạn nhân của Accellion sau khi bị đánh cắp dữ liệu đã bị đe dọa tống tiền, và do không trả tiền chuộc nên những dữ liệu này đã bị một tổ chức có tên là Clop phát tán trên website của chúng. Công ty phần mềm Accelion đã công bố những cơ sở đầu tiên liên quan đến sự cố an toàn thông tin là do một số khách hàng đang sử dụng các thiết bị truyền dữ liệu lạc hậu đến 20 năm. Gần 100 khách hàng bị tấn công từ 4 lỗ hổng trong FTA, trong đó 25 doanh nghiệp đã phải gánh chịu hậu quả năng nề từ việc mất mát dữ liệu.

Joel York, giám đốc Marketing của Accellion chia sẻ với ISMG rằng, sau khi đối tượng tấn công tìm được một lỗ hổng trong FTA hồi tháng 12/2020, nhiều lỗ hổng khác đã xuất hiện vào tháng 1/2021.

Một vài khách hàng của Accellion phải nhận liên tiếp 2 trái đắng: đầu tiên là họ bị mất dữ liệu, và sau đó nhận được email của các đối tượng từ nhóm Clop yêu cầu trả tiền chuộc để thông tin không bị phát tán lên mạng. Singtel, tập đoàn viễn thông lớn nhất của Singapore và Hãng luật Jones Day không chấp nhận trả tiền chuộc nên đã bị phát tán dữ liệu nhạy cảm lên mạng.

Từ tháng 12, một số nạn nhân khác của Accellion FTA đã thông báo sự cố tương tự như Ngân hàng Dự trữ New Zealand, Asic, Cục Điều phối Tài chính Australia, Văn phòng Kiểm toán liên bang Washington, Đại học Colorado, Viện Nghiên cứu QIMR Berghofer Australia, và gần đây nhất là chuỗi bán buôn Kroger.

Đơn vị tư pháp FireEye's Mandiant, sau khi được Accelion cảnh báo, đã thực hiện nhiều bài kiểm tra xâm nhập và đánh giá coding của FTA, song không còn phát hiện các lỗ hổng nguy hại.

Do có nhiều cuộc tấn công xảy ra, Accelions đã đẩy nhanh tiến độ chấm dứt vòng đời sản phẩm cũ vào tháng 4 và khuyến khích các khách hàng FTA từ bỏ sản phẩm này để chuyển sang sản phẩm mới mang tên Kiteworks an toàn hơn.

CÁCH THỨC XÂM NHẬP CỦA KẺ GIAN?

Mandiant đã công bố blog post mô tả những sự cố ghi nhận được. Accellion cho biết sẽ công bố toàn bộ báo cáo do Mandiant thực hiện trong các tuần tiếp theo. Mandiant gọi nhóm tấn công Accelion là UNC2546 - được xếp vào danh sách “tội phạm chưa xếp loại” do không thuộc nhóm tội phạm thông thường. Theo Mandiant, vào giữa tháng 12, UNC2546 đã bắt đầu khai thác lỗ hổng SQL injection trong FTA của Accelion. UNC2546 lợi dụng lỗ hổng này để cài đặt một mã độc lên web mà Mandiant gọi là DEWMODE.

Chưa rõ bằng cách nào mà đối tượng tấn công có thể ghi được DEWMODE lên ổ đĩa, song mã độc đã trích xuất danh mục file dữ liệu và nội dung toàn bộ các file này từ kho dữ liệu MySQL của FTA. Khi đối tượng tấn công đánh cắp thông tin, những yêu cầu phản hồi và lưu trên log, tuy nhiên, Mandiant cho hay hầu hết các lệnh đều được mã hóa và việc giải mã là khá phức tạp.

Vào tháng 3, Clop đã lập ra website, trên đó chúng tung ra thông tin của các nạn nhân từ chối trả tiền. Dường như có sự trùng lặp giữa Clop, UNC2582 và một nhóm khác tên là FIN11 - chuyên thực hiện những chiến dịch giả mạo. UNC2582 theo sát diễn tiến để tung dữ liệu lên website của Clop. Mandiant cũng xác nhận một số email tống tiền của UNC2582 đến từ địa chỉ IP hoặc tài khoản được FIN11 khởi tạo trước đó.

Tuy vậy, Mandiant cho rằng vẫn còn khó có thể đưa ra được kết luận cuối cùng. Sự chồng chéo giữa FIN11, UNC2546 và UNC2582 là khá thuyết phục, nhưng chúng ta cần tiếp tục truy vết các bằng chứng một cách riêng biệt, song song với tiến trình đánh giá bản chất của mối liên hệ giữa chúng.

BƯC TƯỜNG THÀNH CUỐI CÙNG: MÃ HÓA DỮ LIỆU

Những báo cáo trên cho thấy, nhiều doanh nghiệp đang triển khai các biện pháp phòng vệ chủ động thông qua phân tích, thiết lập các hàng rào bảo vệ chống lại những cuộc tấn công từ bên ngoài. Tuy nhiên, khi các chiến tuyến này bị xuyên thủng, tin tặc sẽ dễ dàng đánh cắp thông tin hoặc dùng mã độc phá hoại rồi đòi tiền chuộc. Một giải pháp hữu hiệu được nhiều tổ chức doanh nghiệp quốc tế ưa dùng là xây dựng một mội trường làm việc an toàn thông qua phương pháp Mã hóa. Mặc dù đối tượng tấn công lấy được dữ liệu hoặc thông tin vô tình lộ lọt do lỗi nhân viên thì dữ liệu đó cũng không thể đọc được. Tất cả file dữ liệu trên máy người dùng, lưu trữ trên các thiết bị, trên Cloud, lưu chuyển qua thư điện tử hoặc các thiết bị lưu trữ rời đều được tự động mã hóa, qua đó nâng cao cấp độ bảo mật.

Xuất phát từ nhu cầu thực tế, MK Group mang tới giải pháp bảo mật thông tin, mã hóa dữ liệu Prim’X của Pháp, cùng sự hỗ trợ của đội ngũ kỹ sư nhiều kinh nghiệm. Điều này sẽ giúp các tổ chức và doanh nghiệp Việt Nam làm việc trong một môi trường an toàn, đảm bảo sự sống còn và uy tín của họ./.

- MK Group tổng hợp -