Ngày thứ Ba (31/3) vừa qua, Google cùng các chuyên gia an ninh mạng độc lập đã phát đi cảnh báo về một lỗ hổng nghiêm trọng trong chuỗi cung ứng phần mềm. Các tin tặc đã xâm nhập thành công vào Axios, một công cụ mã nguồn mở chuyên kết nối các ứng dụng và dịch vụ web.

Khác với các cuộc tấn công thông thường yêu cầu người dùng phải nhấp vào đường link lạ, vụ việc này nguy hiểm hơn nhiều bởi nó nhắm trực tiếp vào bản cập nhật chính thức của phần mềm phát hành hôm thứ Hai (30/3). Việc cài mã độc vào bản cập nhật đã giúp tin tặc biến một công cụ đáng tin cậy thành “kẻ mở đường” giúp chúng bí mật xâm nhập vào máy tính của bạn mà không ai nghi ngờ".

Ông Tom Hegel, nhà nghiên cứu cấp cao tại SentinelOne, nhấn mạnh tầm quan trọng của phần mềm này: “Mỗi khi bạn tải một trang web, kiểm tra số dư ngân hàng hay mở một ứng dụng trên điện thoại, rất có thể Axios đang chạy ngầm ở đâu đó để vận hành các thao tác này”. Điều này đồng nghĩa với việc phạm vi ảnh hưởng của vụ tấn công là cực kỳ rộng lớn.

Theo phân tích của Google, mã độc được chèn vào Axios có khả năng cho phép tin tặc truy cập sâu vào dữ liệu máy tính cá nhân và doanh nghiệp. Mục tiêu cốt lõi của chúng là lấy trộm các “thông tin xác thực” (như tên đăng nhập và mật khẩu). Những dữ liệu này sau đó sẽ trở thành chìa khóa để nhóm này thực hiện các vụ trộm dữ liệu quy mô lớn hơn hoặc các hình thức tấn công phá hoại khác.

Thủ phạm đứng sau vụ việc được Google xác định là nhóm tin tặc mã hiệu UNC1069. Báo cáo cho thấy nhóm này đã hoạt động liên tục từ năm 2018, chuyên nhắm vào các tổ chức tài chính và thị trường tiền điện tử.

Ông John Hultquist, trưởng bộ phận phân tích thuộc nhóm tình báo mối đe dọa của Google, nhận định: “Các tin tặc Triều Tiên có kinh nghiệm dày dạn trong các cuộc tấn công chuỗi cung ứng, phương thức vốn được chúng sử dụng chủ yếu để đánh cắp tiền điện tử”. Theo Chính phủ Hoa Kỳ, nguồn tiền điện tử đánh cắp được thường được dùng để tài trợ cho các chương trình vũ khí và lách các lệnh trừng phạt quốc tế.

Phân tích từ công ty an ninh mạng Elastic Security cho thấy sự chuẩn bị kỹ lưỡng của nhóm hacker này. Chúng đã tạo ra nhiều phiên bản mã độc khác nhau để có thể lây nhiễm trên tất cả các hệ điều hành phổ biến nhất hiện nay, bao gồm macOS, Windows và Linux.

Elastic cảnh báo rằng, thông qua việc thao túng Axios, kẻ tấn công đã sở hữu một cơ chế phát tán có tiềm năng tiếp cận đến hàng triệu môi trường mạng khác nhau. Mặc dù mã độc đã nhanh chóng được gỡ bỏ sau khi bị phát hiện vào sáng sớm ngày 31/3, nhưng hiện vẫn chưa thể thống kê chính xác đã có bao nhiêu lượt tải xuống bản cập nhật chứa mã độc này.

Vụ tấn công này một lần nữa gióng lên hồi chuông cảnh báo về tính bảo mật của các phần mềm mã nguồn mở - vốn là “xương sống” của Internet hiện đại nhưng lại dễ trở thành mắt xích yếu nhất trong chuỗi cung ứng an ninh mạng toàn cầu. Như ông Tom Hegel đã cảnh báo: “Bạn không cần phải nhấp vào bất cứ thứ gì hay mắc một sai lầm nào cả. Chính phần mềm mà bạn vốn tin dùng đã thực hiện điều đó thay cho kẻ tấn công”.

Lệ Thanh (Theo Reuters)