Tin tặc Trung Quốc làm điều khó tin về "tạo thoả hiệp chuỗi cung ứng"

Công ty CrowdStrike Falcon hàng đầu thị trường, áp dụng sự kết hợp của máy học tiên tiến (ML), trí tuệ nhân tạo (AI) và phân tích sâu về hàng nghìn tỷ sự kiện bảo mật được ghi lại trong Đám mây bảo mật CrowdStrike, đã xác định một mô hình tấn công chuỗi cung ứng mới trong quá trình cài đặt nền tảng tương tác với khách hàng dựa trên trò chuyện.

Công ty an ninh mạng CrowdStrike của Mỹ cho biết trong một bài đăng trên blog rằng, họ đã phát hiện ra phần mềm độc hại được phân phối bởi Comm100 có trụ sở tại Vancouver, Canada- công ty cung cấp các sản phẩm dịch vụ khách hàng, chẳng hạn như bot trò chuyện và các công cụ quản lý mạng xã hội, cho một loạt khách hàng trên toàn cầu.

Cuộc tấn công chuỗi cung ứng liên quan đến một trình cài đặt trojan cho ứng dụng Comm100 Live Chat đang được triển khai. Phần mềm độc hại được phân phối thông qua trình cài đặt Comm100 có thể được tải xuống từ trang web của công ty vào sáng ngày 26 tháng 9 năm 2022.

Phạm vi và quy mô của vụ hack này hiện không rõ ràng ngay lập tức. Trong một thông báo, Comm100 cho biết họ đã sửa phần mềm và sẽ sớm có thêm thông tin chi tiết. Công ty đã không trả lời ngay lập tức các yêu cầu bình luận nào tiếp theo về sự cố này.

Các nhà nghiên cứu của CrowdStrike tin rằng, phần mềm độc hại đã được lưu hành trong một vài ngày nhưng sẽ không cho biết có bao nhiêu công ty khách hàng của Comm100 đã bị ảnh hưởng, chỉ tiết lộ rằng "các thực thể trong một loạt các ngành" đã bị tấn công. Một người quen thuộc với vấn đề này đã trích dẫn hàng tá nạn nhân đã biết, mặc dù con số thực tế có thể cao hơn nhiều. Comm100 trên trang web của mình cho biết họ có hơn 15.000 khách hàng ở khoảng 80 quốc gia sử dụng sản phẩm dịch vụ.

Giám đốc điều hành CrowdStrike, Adam Meyers, cho biết trong một cuộc phỏng vấn qua điện thoại rằng các tin tặc bị nghi ngờ là người Trung Quốc, với lý do các kiểu hành vi, ngôn ngữ trong mã đặc thù của họ.

Chính phủ Trung Quốc đã bác bỏ cáo buộc này. Trong một email, người phát ngôn Đại sứ quán Trung Quốc Liu Pengyu cho biết các quan chức ở Bắc Kinh "kiên quyết phản đối và trấn áp mọi hình thức tấn công mạng theo quy định của pháp luật" và rằng Hoa Kỳ "đã lớn tiếng tích cực trong việc bịa đặt và lan truyền những lời nói dối về cái gọi là "Tin tặc Trung Quốc".

Trở lại với câu chuyện tạo thỏa hiệp chuỗi cung ứng giả để tấn công - hoạt động bằng cách giả mạo, can thiệp vào phần mềm doanh nghiệp được sử dụng rộng rãi để tấn công khách hàng của công ty nạn nhân - ngày càng được quan tâm kể từ khi các tin tặc Nga đột nhập vào công ty quản lý CNTT SolarWinds Corp của Texas và sử dụng nó làm bàn đạp để tấn công các cơ quan chính phủ và một loạt các công ty tư nhân của Mỹ.

Meyers, công ty nằm trong số những thương hiệu phản ứng với vụ hack SolarWinds, cho biết phát hiện trên sản phẩm của Comm100 là một lời nhắc nhở rằng các quốc gia khác cũng sử dụng các kỹ thuật tương tự.

Ông nói: "Trung Quốc đang tham gia vào các cuộc tấn công chuỗi cung ứng.

"Tạo thỏa hiệp chuỗi cung ứng giả để tấn công" là vũ khí yêu thích mới của hacker, và mối đe dọa ngày càng lớn

Được biết, tạo thỏa hiệp chuỗi cung ứng giả để tấn công là mục tiêu chính của những kẻ tấn công mạng, bởi vì bằng cách giành quyền truy cập vào một công ty cung cấp phần mềm hoặc dịch vụ cho nhiều công ty khác, tội phạm mạng có thể tìm thấy một cách tiềm năng để tấn công vào hàng nghìn mục tiêu cùng một lúc.

Một số sự cố lớn trong thời gian qua đã chứng minh những hậu quả quy mô lớn mà các cuộc tấn công chuỗi cung ứng  có thể gây ra. Trong một trong những sự cố an ninh mạng lớn nhất trong những năm gần đây, những kẻ tấn công mạng làm việc cho cơ quan tình báo nước ngoài của Nga  đã xâm nhập các bản cập nhật từ nhà cung cấp dịch vụ CNTT SolarWinds- vốn đã được 18.000 khách hàng tải xuống, sau đó những kẻ tấn công tiếp tục nhắm mục tiêu khoảng 100 khách hàng trong số đó bao gồm một số cá nhân, tổ chức, cơ quan chính phủ của Mỹ.

Các tội phạm mạng khác cũng đã thực hiện một cuộc tấn công tạo thỏa hiệp chuỗi cung ứng giả bằng cách sử dụng lỗ hổng trong phần mềm từ Kaseya để khởi động một cuộc tấn công ransomware ảnh hưởng đến hàng nghìn khách hàng của công ty này trên khắp thế giới.

Simon Mehdian-Staffell, Giám đốc phụ trách các vấn đề của chính phủ Vương quốc Anh tại Microsoft, phát biểu trong cuộc thảo luận tại Hội nghị Chatham House Cyber 2021: "Vấn đề về mối đe dọa đối với các nhà cung cấp dịch vụ CNTT như một phần của chuỗi cung ứng rõ ràng là một trong những hình thức tấn công mạng tinh vi đa mục tiêu do nhà nước hậu thuẫn". Một số cuộc tấn công này đã được xác định vì chúng đã diễn ra trên quy mô lớn, giống như những cuộc tấn công ở trên.

Với sự thành công của các cuộc tấn công chuỗi cung ứng lớn cho đến nay, chúng sẽ vẫn là một mối đe dọa an ninh mạng trong tương lai gần. "Các cuộc tấn công vào chuỗi cung ứng tiếp tục là một véc tơ hấp dẫn dưới bàn tay của các tác nhân tinh vi và mối đe dọa từ các cuộc tấn công này có khả năng gia tăng nhiều hơn nữa. Đặc biệt là khi chúng tôi dự đoán hình thức tấn công mạng này sẽ ngày càng trở nên phức tạp trong những năm tới", Lindy Cameron, Giám đốc điều hành của Trung tâm An ninh mạng Quốc gia (NCSC) của Mỹ cho biết trong một tuyên bố.