Tin tặc "mượn tay" các công ty dịch vụ công nghệ tấn công khách hàng

Các chuỗi cung ứng toàn cầu đã phải đối mặt với những thách thức từ mọi khía cạnh trong vài năm qua, do đại dịch COVID trở nên tồi tệ hơn. Vào năm 2022, các công ty tiếp tục phải chịu áp lực ngày càng lớn, khi họ tiếp tục giải quyết tình trạng thiếu hụt, chậm trễ và tăng giá trong chuỗi cung ứng. Trên hết, mối đe dọa mạng ngày càng phát triển đang tác động đến các chuỗi cung ứng ở khắp mọi nơi.

Tấn công chuỗi cung ứng xảy ra khi ai đó xâm nhập vào hệ thống của bạn, thông qua đối tác hoặc nhà cung cấp bên ngoai vốn dĩ có quyền truy cập vào hệ thống và dữ liệu của bạn. Điều này đã thay đổi đáng kể cục diện tấn công ở doanh nghiệp điển hình trong vài năm qua.

Vì vậy, các công ty phải cải thiện công tác quản lý rủi ro mạng giữa các nhà cung cấp để hỗ trợ hiệu quả chuỗi cung ứng và giảm nguy cơ bị tấn công mạng. Dù gì, các cuộc tấn công chuỗi cung ứng là một nguyên nhân nghiêm trọng gây lo ngại trong không gian an ninh mạng vì thiệt hại có thể rất lan rộng, và đây chính là lý do tại sao chúng trở thành một phương thức phổ biến đối với tội phạm mạng.

Ngày nay, chuỗi cung ứng là mạng lưới phức tạp của các doanh nghiệp đang áp dụng nhiều quy trình và công nghệ số hóa hơn, điều đó cũng làm tiền đề để hacker mở rộng phạm vi tấn công. Chỉ cần một lỗ hổng trong hệ thống của nhà cung cấp dịch vụ phần mềm cũng có thể gây ra gián đoạn trên diện rộng và cho phép tin tặc truy cập vào toàn bộ chuỗi tổ chức là khách hàng của công ty đó.

Kể từ cuộc tấn công chuỗi cung ứng lớn nhất đầu tiên tấn công giới truyền thông vào năm 2013 vào cửa hàng Target của Mỹ, chúng ta đã thấy những cuộc tấn công này gia tăng theo cấp số nhân và khoảng 84% các tổ chức hiện tin rằng các cuộc tấn công chuỗi cung ứng phần mềm sẽ là một trong những mối đe dọa mạng lớn nhất đối với các doanh nghiệp trong ba năm tới. 

Có một loạt các phương pháp tấn công chuỗi cung ứng được bọn tội phạm mạng sử dụng nhưng một số phương pháp phổ biến nhất liên quan đến việc "cấy" phần mềm độc hại trong hệ thống của công ty cung cấp dịch vụ trước khi nó được phân phối cho người dùng, tổ chức là khách hàng sử dụng. Đây là trường hợp trong cuộc tấn công SolarWinds nổi tiếng vào năm 2020. Mã độc hại đã được đưa vào bản xây dựng phần mềm của Orion trước khi nó được triển khai cho khoảng 18.000 khách hàng, bao gồm các tập đoàn lớn như MasterCard và PwC cũng như các cơ quan chính phủ.

Thông thường, tin tặc sẽ nhắm mục tiêu vào các công ty nhỏ hơn trong chuỗi cung ứng vì những công ty này ít có khả năng được triển khai các giải pháp bảo mật tiên tiến, do đó dễ tấn công hơn. Nếu công ty đó là nhà cung cấp cho các doanh nghiệp lớn hơn nhiều, thì tin tặc có thể sử dụng chúng như một chỗ đứng để lấy được nhiều dữ liệu có giá trị hơn và các tài nguyên của công ty.

Tác động của một cuộc tấn công chuỗi cung ứng như SolarWinds là rất đáng kể. Tổn thất tài chính có thể tích lũy do nhiều yếu tố bao gồm tiền phạt theo quy định, chi phí điều tra và quản lý danh tiếng. Những sự cố này có thể để lại ấn tượng lâu dài, ảnh hưởng đến lòng tin của người tiêu dùng và hậu quả là doanh thu của công ty. Do đó, điều quan trọng đối với tất cả các tổ chức là giải quyết mối đe dọa từ chuỗi cung ứng, bất kể quy mô hay lĩnh vực nào.

Một cuộc tấn công chuỗi cung ứng khác vào năm 2017, cũng do Nga gây ra, đã xâm nhập phần mềm kế toán của Ukraine như một phần của cuộc tấn công được thiết kế nhằm vào cơ sở hạ tầng của nước này, nhưng phần mềm độc hại này đã lây lan nhanh chóng sang các nước khác. NotPetya gây thiệt hại hơn 10 tỷ USD và làm gián đoạn hoạt động của các tập đoàn đa quốc gia như Maersk, FedEx và Merck.

Steve Zalewski, phó CISO tại Levi Strauss, cho biết vấn đề đang tiếp tục trở nên tồi tệ hơn, với việc các doanh nghiệp ngày càng phụ thuộc nhiều hơn vào các nhà cung cấp bên ngoài, đồng thời cho biết thêm rằng đã đến lúc phải xem xét toàn bộ hệ sinh thái của ngành công nghiệp phần mềm để giải quyết vấn đề này. Ông nói: "Để giải quyết triệt để vấn đề này, những gì chúng ta cần là một chuỗi đáng tin cậy quốc tế, như một hệ thống Public Key Infrastructure (PKI) toàn cầu, nơi tất cả chúng ta có thể thống nhất với nhau về một bộ công cụ và thông lệ toàn cầu".

Public key infrastructure (PKI)- hạ tầng khóa công khai- là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực khoá công khai - hay Public Key Infrastructure.

Thật không may, không có cách nào thực tế để làm điều đó trọn vẹn, đồng bộ. Zalewski nói: "Chúng ta cần một luật pháp, quy định, biện pháp bảo vệ tập thể. Nhưng sẽ mất nhiều năm và nhiều năm để làm được điều này".

Ở một khía cạnh khác, Snyder, người đã thành lập Thistle Technologies Ltd có trụ sở tại San Francisco, cho biết: "Chúng tôi nhận thấy sự khan hiếm thực sự của các biện pháp bảo mật vào năm 2020". Còn Renaud Feil, người sáng lập Synacktiv có trụ sở tại Paris, cho biết công nghệ đã trở nên phức tạp đến mức nhiều tổ chức công ty, doanh nghiệp không biết tất cả phần mềm từ nhà cung cấp thứ ba mà họ đang sử dụng cần gì, khả năng thế nào, chứ chưa nói đến việc nó có an toàn hay không.