Microsoft hồi cuối tuần vừa rồi đã phát đi cảnh báo về “các cuộc tấn công đang diễn ra” nhằm vào các máy chủ SharePoint tự triển khai (SharePoint Server) – nền tảng được sử dụng rộng rãi để chia sẻ tài liệu và cộng tác nội bộ. Các phiên bản SharePoint chạy trên nền tảng đám mây của Microsoft không bị ảnh hưởng.

Cuộc tấn công này được gọi là "zero-day" do khai thác một lỗ hổng chưa từng được tiết lộ trước đó. Tin tặc có thể sử dụng điểm yếu này để xâm nhập vào các máy chủ dễ tổn thương và cài đặt cửa hậu, từ đó duy trì quyền truy cập lâu dài vào hệ thống của tổ chức nạn nhân.

Ông Vaisha Bernard, chuyên gia trưởng về an ninh mạng tại Eye Security – một công ty an ninh mạng có trụ sở tại Hà Lan – cho biết họ phát hiện chiến dịch tấn công này hôm 18/7 khi điều tra sự cố của một khách hàng. Một cuộc quét internet do Eye Security phối hợp với Tổ chức Shadowserver thực hiện đã phát hiện gần 100 nạn nhân – và đó là trước khi phương thức tấn công được công khai rộng rãi.

“Chuyện này quá rõ ràng,” ông Bernard nói. “Ai mà biết các nhóm tin tặc khác đã làm gì thêm kể từ đó để cài thêm cửa hậu vào hệ thống.”

Ông Bernard từ chối tiết lộ danh tính các tổ chức bị ảnh hưởng, cho biết các cơ quan chức năng quốc gia liên quan đã được thông báo.

Tổ chức Shadowserver xác nhận con số 100 nạn nhân, chủ yếu nằm ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ.

Một nhà nghiên cứu khác cho rằng, cho đến nay, các hoạt động gián điệp dường như là do một tin tặc đơn lẻ hoặc một nhóm tin tặc thực hiện.

“Điều này hoàn toàn có thể sẽ thay đổi nhanh chóng,” ông Rafe Pilling, Giám đốc Tình báo Mối đe dọa tại công ty an ninh mạng Anh Sophos, nhận định.

Phát ngôn viên Microsoft cho biết công ty đã “cung cấp các bản cập nhật bảo mật và khuyến khích khách hàng cài đặt ngay lập tức.”

Hiện chưa rõ ai là người đứng sau các vụ tấn công này, nhưng Google (thuộc Alphabet), với khả năng giám sát một phần lớn lưu lượng truy cập internet, cho biết một số vụ tấn công có liên quan đến “một nhóm đe dọa có liên hệ với Trung Quốc.”

Đại sứ quán Trung Quốc tại Washington chưa phản hồi yêu cầu bình luận; Bắc Kinh thường xuyên phủ nhận việc tiến hành các chiến dịch tấn công mạng.

FBI hồi cuối tuần vừa rồi đã lên tiếng cho rằng họ đã nhận được thông tin về các cuộc tấn công và đang làm việc chặt chẽ với các đối tác liên bang và khu vực tư nhân, nhưng không cung cấp thêm chi tiết. Trung tâm An ninh mạng Quốc gia của Anh cũng ra thông báo cho biết họ ghi nhận “một số lượng hạn chế” các mục tiêu tại Vương quốc Anh.

Một nhà nghiên cứu theo dõi chiến dịch này cho biết các mục tiêu dường như ban đầu nhằm chủ yếu là các tổ chức chính phủ hoặc có liên quan đến chính phủ.

Số lượng mục tiêu tiềm năng vẫn rất lớn. Theo dữ liệu từ Shodan – công cụ tìm kiếm các thiết bị được kết nối internet – có hơn 8.000 máy chủ trực tuyến có thể đã bị xâm nhập. Shadowserver đưa ra con số hơn 9.000, nhưng nhấn mạnh đây chỉ là con số tối thiểu.

Những máy chủ này bao gồm cả các công ty công nghiệp lớn, ngân hàng, công ty kiểm toán, cơ sở y tế, cũng như một số cơ quan chính quyền cấp bang ở Mỹ và các tổ chức chính phủ quốc tế.

“Vụ việc liên quan đến SharePoint dường như đã gây ra mức độ xâm nhập trên diện rộng đối với nhiều máy chủ trên toàn cầu,” Daniel Card, chuyên gia tại công ty an ninh mạng Anh PwnDefend, cho biết.

“Áp dụng phương pháp giả định đã bị xâm nhập là điều khôn ngoan, và cũng cần hiểu rằng chỉ cập nhật bản vá thôi là chưa đủ.”

Nguyễn  Yến  (theo Reuters)