Trung tâm An ninh Mạng thuộc Cơ quan Thiết lập An ninh Thông tin Canada (CSE) hồi cuối tuần vừa rồi đã miêu tả mối đe dọa nói trên là “nghiêm trọng và khẩn cấp” đồng thời đã cùng với các đồng minh quốc tế lên tiếng kêu gọi các tổ chức nhanh chóng hành động, vá lỗ hổng sau khi hãng bảo mật công nghệ Cisco bị tấn công diện rộng.

Ảnh minh họa

Công nghệ bị ảnh hưởng là một phần quan trọng được nhiều tổ chức sử dụng để thiết lập mạng riêng ảo (VPN) - một công cụ thiết yếu cho nhiều người làm việc từ xa.

CSE nhấn mạnh mức độ nghiêm trọng của vụ việc, cho biết hướng dẫn lần này nhắm đến các lĩnh vực hạ tầng trọng yếu, bao gồm: chính quyền địa phương, cấp tỉnh và vùng lãnh thổ, giới học thuật và các cơ sở nghiên cứu.

“Đây là thời điểm then chốt đối với các tổ chức tại Canada. Các tác nhân đe dọa đang nhắm vào các hệ thống cũ với trình độ ngày càng tinh vi,” ông Rajiv Gupta, người đứng đầu Trung tâm An ninh Mạng Canada, cho biết như vậy.

“Tôi kêu gọi tất cả các lĩnh vực hạ tầng trọng yếu hãy hành động nhanh chóng”, ông Gupta cho hay.

Trong thông cáo riêng, Cisco cho biết họ lần đầu tiên phát hiện cuộc tấn công vào tháng 5, ảnh hưởng đến các thiết bị Adaptive Security Appliances (ASA) của mình. Công ty cho biết các tác nhân đe dọa đã khai thác các lỗ hổng mới trong thiết bị ASA để: cài phần mềm độc hại (malware); thực thi lệnh từ xa; và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập.

Cisco cho biết họ “tin chắc với độ tin cậy cao” rằng thủ phạm là cùng một nhóm tấn công đứng sau chiến dịch có tên ArcaneDoor - được xác định là một tác nhân do nhà nước bảo trợ, chuyên thực hiện các chiến dịch gián điệp mạng.

Phía CSE từ chối bình luận về việc ai đứng sau cuộc tấn công và cho biết vẫn đang điều tra mức độ ảnh hưởng tại Canada. “Hãy xem xét một cách nghiêm túc cảnh báo của chúng tôi,” một người phát ngôn của CSE trả lời CBC News qua email.

Ông Mike Gropp, cố vấn an ninh mạng cấp cao tại Rogers Cybersecure Catalyst thuộc Đại học Toronto Metropolitan, mô tả vụ việc này “giống như việc phá vỡ cánh cửa chính của các thiết bị đang bảo vệ mạng lưới của các tập đoàn và cơ quan chính phủ.”

Ông Gropp cho biết các thiết bị tường lửa của Cisco “đang nằm ở tuyến đầu của hàng nghìn tổ chức tại Canada,” bao gồm ngân hàng, bệnh viện, cơ sở hạ tầng tiện ích và các cơ quan công quyền.

“Khi những thiết bị này bị xâm nhập, kẻ tấn công có thể âm thầm theo dõi, đánh cắp hoặc chuyển hướng toàn bộ lưu lượng dữ liệu đi qua đó,” chuyên gia Gropp nói.

“Một cuộc tấn công thành công có thể làm lộ thông tin như hồ sơ bệnh nhân, dữ liệu tài chính, thậm chí là thông tin liên lạc của chính phủ, và có thể làm gián đoạn các dịch vụ thiết yếu”, ông Gropp nói thêm.

Cũng theo cố vấn an ninh mạng cấp cao tại Rogers Cybersecure Catalyst, kỹ thuật trong cuộc tấn công mới này tương đồng với cách thức hoạt động của các nhóm tấn công được nhà nước tài trợ.

“Họ có thể thu thập thông tin, nắm được cấu trúc mạng, cách hệ thống được bảo mật, phần mềm đang sử dụng, ai đang điều hành,... và đến thời điểm then chốt - như khi có chiến tranh hoặc trong đàm phán thương mại - họ có thể làm gián đoạn hệ thống để giành thêm đòn bẩy trong tình huống chiến lược đó,” ông Gropp giải thích.

Cảnh báo toàn cầu được ban hành

Cuộc tấn công đã khiến nhiều cơ quan chính phủ trên toàn thế giới phải phát cảnh báo khẩn cấp.

Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ (CISA) hôm 25/9 đã ban hành chỉ thị khẩn cấp hiếm hoi, yêu cầu tất cả cơ quan dân sự liên bang phải vá các lỗ hổng bảo mật trước nửa đêm thứ Sáu (26/9).

“Hoạt động này gây rủi ro đáng kể cho các mạng lưới nạn nhân,” chỉ thị của Mỹ cho biết.

Cơ quan An ninh mạng Quốc gia Vương quốc Anh (NCSC) cũng đưa ra cảnh báo tương tự, cho rằng phần mềm độc hại được sử dụng trong cuộc tấn công lần này thể hiện “một bước tiến đáng kể” cả về mức độ tinh vi lẫn khả năng né tránh phát hiện của hacker.

CSE cho biết họ đang hợp tác chặt chẽ với Cisco và liên minh tình báo Five Eyes để hỗ trợ các nỗ lực phản ứng và điều tra.

Nguyễn Yến (theo CBC)