Đại diện Microsoft vừa chính thức xác nhận công ty cũng là một trong những nạn nhân của vụ tấn công quy mô lớn nhắm vào phần mềm quản lý Orion của SolarWinds – công cụ đang được hàng nghìn cơ quan, tổ chức sử dụng rộng rãi. Đây có thể là vụ hack lớn nhất trong một thập kỷ qua, đang thu hút sự chú ý của dư luận do phạm vi ảnh hưởng, mức độ tinh vi và cả những tác động của nó.
Vụ vi phạm nhắm vào một số cơ quan chính phủ Hoa Kỳ và được cho là do các nhóm tin tặc được chính phủ Nga hậu thuẫn. Tương tự những nạn nhân khác trong vụ tấn công mạng SolarWinds, tin tặc đã xâm nhập được vào các sản phẩm của Microsoft và sau đó từng bước tấn công những sản phẩm khác. Hiện tại chưa rõ số người dùng bị ảnh hưởng bởi vụ việc.
Đây thực sự là điều đáng lo ngại với Microsoft, hãng đã tăng cường nhiều dịch vụ bảo mật riêng, nhất là bộ phần mềm Office 365. Sau khi sự cố được công khai, cổ phiếu của công ty đã giảm khoảng 0,7%. Đại diện Microsoft cho biết hãng đã lập tức triển khai các bước bảo mật thông tin khách hàng ngay khi SolarWinds xác nhận vụ tấn công. Trước đó, hệ thống của nhiều cơ quan chính phủ Mỹ đã bị xâm nhập, chủ yếu do lỗ hổng trong bản cập nhật phần mềm Orion của SolarWinds. Nhiều cơ quan chính phủ Mỹ, trong đó có Bộ Quốc phòng, đều đang sử dụng công cụ Office 365. Và Microsoft là khách hàng của SolarWinds. Một số nguồn tin cho biết các tin tặc đã sử dụng các dịch vụ đám mây của Microsoft và cố tình tránh cơ sở hạ tầng công ty để đề phòng bị phát hiện.
“Như những khách hàng khác của SolarWinds, chúng tôi đã tích cực tìm các chỉ số của tác nhân này. Hiện tại chúng tôi đã phát hiện các mã nhị phân SolarWinds độc hại trong hệ thống, sau đó lập tức cô lập và xóa bỏ”, Frank Shaw, Phó Chủ tịch công ty phụ trách truyền thông của Microsoft, tiết lộ trong một bài viết đăng trên Twitter. Ông cũng nói thêm rằng hiện chưa tìm thấy bằng chứng cho thấy tin tặc đã tiếp cận các dịch vụ sản xuất hoặc dữ liệu khách hàng của Microsoft.
Trong khi đó, Bộ An ninh Nội địa Mỹ (DHS) lại không tin Microsoft là một con đường lây nhiễm mới. Brad Smith, Chủ tịch Microsoft, vừa chính thức lên tiếng cảnh báo về vụ việc. Ông nói hiện tại chưa có gì chắc chắn về quy mô và tầm nghiêm trọng của vụ tấn công. Ông khẳng định đây là một hành động liều lĩnh, đã tạo ra một lỗ hổng công nghệ nghiêm trọng cho cả Mỹ và thế giới”.
Bộ Năng lượng Hoa Kỳ tuyên bố có bằng chứng cho thấy tin tặc truy cập vào mạng của cơ quan này như một phần của chiến dịch hack. Trước đó Politico đưa tin Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), tổ chức chuyên quản lý kho vũ khí hạt nhân của Mỹ, cũng đã bị tấn công.
Phát ngôn viên của Bộ Năng lượng Mỹ cho biết phần mềm độc hại “chỉ ảnh hưởng các mạng doanh nghiệp” và không ảnh hưởng đến an ninh quốc gia Mỹ, gồm cả Cục quản lý An ninh Hạt nhân Mỹ (NNSA).
Ngoài việc làm hỏng các bản cập nhật của phần mềm quản lý mạng của SolarWinds được hàng trăm nghìn công ty và cơ quan chính phủ sử dụng, tin tặc còn sử dụng nhiều kỹ thuật khác. Cơ quản kiểm định thông tin Mỹ (CISA) kêu gọi các cơ quan, tổ chức đang sử dụng phần mềm SolarWinds không được chủ quan. Tuy nhiên tin tặc cũng sẽ không khai thác toàn bộ hệ thống mạng mà họ có quyền truy cập.
CISA cho biết họ đang tiếp tục phân tích các phương án mà những kẻ tấn công có thể sử dụng. Tính đến hiện tại, tin tặc bị phát hiện theo dõi email và dữ liệu trong các cơ quan trực thuộc Bộ Quốc phòng, Bộ Ngoại giao, Kho bạc, An ninh Nội địa và Thương mại của Mỹ.
Theo SolarWinds, có 18.000 khách hàng sử dụng Orion đã tải xuống các bản cập nhật có chứa back door (cửa hậu). Kể từ khi vụ tấn công bị phát hiện, nhiều công ty phần mềm đã lập tức chặn nguồn liên lạc từ những back door đó tới các hệ thống máy tính do tin tặc quản lý. Tuy nhiên những kẻ tấn công có thể đã cài đặt một số cách bổ sung để duy trì quyền truy cập.
Bộ Tư pháp Mỹ, FBI và Bộ Quốc phòng Mỹ… đã chuyển phương thức giao tiếp thông thường sang các mạng bảo mật được cho là chưa bị xâm phạm. CISA và các doanh nghiệp tư nhân bao gồm FireEye Inc, công ty đầu tiên phát hiện bị tấn công, đã đưa ra một loạt manh mối để các tổ chức kiểm tra liệu họ có bị tấn công hay không. Tuy nhiên, những kẻ tấn công rất cẩn thận và đã xóa nhật ký, các dấu vết và những tập tin chúng từng truy cập. Vì vậy rất khó để các chuyên gia bảo mật có thể điều tra và biết được những dữ liệu nào đã bị xâm nhập. Một số công ty lớn cho biết họ không tìm thấy bằng chứng về việc bị xâm nhập, nhưng có thể là do tin tặc đã xóa toàn bộ dấu vết.