Microsoft hạn chế Trung Quốc tiếp cận dữ liệu nhạy cảm về lỗ hổng an ninh mạng

Điều này diễn ra sau khi giới chuyên gia nghi ngờ phía Trung Quốc có liên quan đến chiến dịch tấn công mạng nhắm vào máy chủ SharePoint của Microsoft hồi tháng 7.

Giới chuyên gia an ninh mạng cho rằng đã có rò rỉ từ Chương trình Bảo vệ Chủ động của Microsoft (MAPP). Đây là chương trình mà Microsoft sử dụng để giúp các công ty an ninh mạng trên toàn cầu, gồm cả từ Trung Quốc, nắm được thông tin về các mối đe dọa trước công chúng, từ đó có thể giúp phòng thủ tốt hơn trước hacker. Cụ thể hơn, MAPP chia sẻ sớm thông tin về các lỗ hổng bảo mật và bản vá trước khi Microsoft công bố công khai.

Các nạn nhân của vụ tấn công lên tới hơn hàng trăm cơ quan chính phủ và tập đoàn trên toàn thế giới, gồm cả Cơ quan An ninh Hạt nhân Quốc gia Mỹ - đơn vị chịu trách nhiệm thiết kế và duy trì kho vũ khí hạt nhân của nước này.

Với một số cuộc tấn công, Microsoft đã đổ lỗi cho ba nhóm hacker Trung Quốc là Linen Typhoon, Violet Typhoon, Storm-2603.

Phía Trung Quốc đã phủ nhận việc có liên quan đến bất kỳ vụ tấn công SharePoint nào.

Cuối tháng 7, ông Quách Gia Khôn, người phát ngôn Bộ Ngoại giao Trung Quốc, tuyên bố nước này phản đối các hành vi tấn công mạng. “An ninh mạng là thách thức chung mà tất cả quốc gia đều phải đối mặt và cần được giải quyết thông qua đối thoại và hợp tác. Trung Quốc phản đối và xử lý các hành vi tấn công mạng theo quy định pháp luật. Ngoài ra, chúng tôi cũng phản đối các hành vi bôi nhọ và tấn công Trung Quốc dưới cái cớ vấn đề an ninh mạng”, ông Quách Gia Khôn nói.

Trước đó, Reuters đưa tin, Microsoft đã thông báo cho các thành viên trong MAPP về các lỗ hổng của SharePoint vào các ngày 24.6, 3.7 và 7.7. Microsoft cho biết lần đầu tiên quan sát thấy các nỗ lực khai thác lỗ hổng SharePoint vào ngày 7.7, khiến một số chuyên gia cho rằng kịch bản hợp lý nhất cho sự bùng nổ đột ngột các vụ tấn công mạng là do một thành viên bất hảo của MAPP đã lạm dụng thông tin.

Microsoft thu hẹp quyền truy cập của một số công ty Trung Quốc vào hệ thống cảnh báo sớm về các lỗ hổng an ninh mạng - Ảnh: Reuters

Mã mô phỏng cách hoạt động của phần mềm độc hại thực sự

Trong thông báo hôm 20.8, Microsoft cho biết một số công ty Trung Quốc sẽ không còn được nhận được proof of concept code - loại mã mô phỏng cách hoạt động của phần mềm độc hại thực sự. Mã này có thể giúp các chuyên gia an ninh mạng nhanh chóng củng cố hệ thống của họ, nhưng cũng có thể bị hacker lợi dụng để đi trước một bước so với bên phòng thủ.

Microsoft tuyên bố hãng ý thức được rằng thông tin cung cấp cho các đối tác có thể bị khai thác, “đó là lý do chúng tôi thực hiện các biện pháp, cả công khai lẫn bí mật, để ngăn chặn việc lạm dụng”.

“Microsoft liên tục xem xét các thành viên tham gia và sẽ đình chỉ hoặc loại bỏ họ nếu phát hiện vi phạm hợp đồng với chúng tôi, gồm cả điều khoản cấm tham gia vào các cuộc tấn công có tính chất chủ động”, gã khổng lồ công nghệ Mỹ cho biết thêm.

Microsoft từ chối tiết lộ tình trạng điều tra vụ tấn công nhắm vào SharePoin cũng như không đi sâu vào chi tiết về những công ty nào đã bị hạn chế.

Cuối tháng 7, trang web Microsoft cho thấy có ít nhất 12 công ty Trung Quốc tham gia MAPP - chương trình đã hoạt động được 17 năm. Các thành viên trong MAPP phải chứng minh là nhà cung cấp dịch vụ an ninh mạng và không phát triển những công cụ tấn công, chẳng hạn phần mềm kiểm thử thâm nhập.

Họ sẽ nhận được thông tin về các bản vá lỗ hổng mới 24 giờ trước khi Microsoft công bố công khai nếu ký thỏa thuận không tiết lộ.

Theo trang web của MAPP, một nhóm nhỏ người dùng đã trải qua khâu kiểm duyệt kỹ lưỡng hơn sẽ nhận được thông báo về bản vá sắp phát hành sớm hơn 5 ngày.

Dustin Childs, trưởng bộ phận nhận diện mối đe dọa thuộc chương trình Zero Day Initiative của hãng an ninh mạng Trend Micro (Nhật Bản), hồi cuối tháng 7 cho biết Microsoft từng cảnh báo thành viên MAPP về các lỗ hổng dẫn đến các cuộc tấn công vào SharePoint. Trend Micro là một thành viên MAPP.

“Microsoft chia sẻ trước thông tin về hai lỗ hổng này cho các thành viên MAPP, trước khi công bố ra công chúng. Khả năng rò rỉ chắc chắn nằm trong suy nghĩ của chúng tôi”, Dustin Childs thổ lộ.

Ông nói thêm rằng một rò rỉ như vậy sẽ là mối đe dọa nghiêm trọng với MAPP, “dù tôi vẫn nghĩ rằng chương trình này có giá trị rất lớn”.

Các thành viên MAPP không được phép sản xuất phần mềm kiểm thử xâm nhập là điều khoản quan trọng. Việc đó nhằm đảm bảo rằng các đối tác tham gia chương trình không lợi dụng thông tin nhạy cảm về lỗ hổng để tạo ra hoặc cung cấp những công cụ có thể bị lạm dụng cho mục đích tấn công, gây hại.

Phần mềm kiểm thử xâm nhập là công cụ máy tính được sử dụng bởi các chuyên gia bảo mật để mô phỏng cuộc tấn công mạng vào một hệ thống máy tính, mạng, ứng dụng web hoặc bất kỳ mục tiêu nào khác để tìm kiếm các lỗ hổng bảo mật.

Một điểm đáng chú ý là sự kiện ghi nhận từ chuyên gia Đinh Hồ Anh Khoa, nhà nghiên cứu của công ty an ninh mạng Vietttel thuộc tập đoàn Viettel, đã phát hiện lỗ hổng zero-day nghiêm trọng trong SharePoint tại hội nghị Pwn2Own Berlin do Trend Micro tổ chức hồi tháng 5. Với lỗ hổng mang tên ToolShell, Khoa đã trình diễn trực tiếp cách khai thác và nhận giải thưởng 100.000 USD từ chương trình.

Sau buổi trình diễn, Đinh Hồ Anh Khoa đã cùng Dustin Childs và đại diện Microsoft vào phòng riêng để bàn giao báo cáo kỹ thuật chi tiết. Microsoft ngay lập tức đã xác minh lỗ hổng và bắt đầu phát triển bản vá. Theo Zero Day Initiative, quá trình vá lỗi mất khoảng 60 ngày. Song vào hôm 7.7, chỉ một ngày trước khi bản vá được công bố, các máy chủ SharePoint đã bị tấn công.

Zero Day Initiative thuộc Trend Micro hôm 16.5 công bố Đinh Hồ Anh Khoa nhận giải thưởng 100.000 USD vì phát hiện lỗ hổng trong SharePoint - Ảnh: X

Dustin Childs cho rằng có thể hacker tự phát hiện ra lỗ hổng và bắt đầu khai thác trùng hợp với thời điểm Microsoft chia sẻ thông tin đó với các thành viên MAPP. Tuy nhiên, ông nói thêm rằng nếu đúng như vậy thì thật là một sự trùng hợp khó tin. Khả năng rõ ràng hơn là ai đó đã chia sẻ thông tin với kẻ tấn công.

Microsoft từng tố công ty Trung Quốc rò rỉ thông tin về lỗ hổng nghiêm trọng từ MAPP

Việc rò rỉ tin tức về bản vá đang chờ xử lý sẽ là một lỗi bảo mật nghiêm trọng, nhưng “chuyện này từng xảy ra rồi”, theo Jim Walter - nhà nghiên cứu mối đe dọa cao cấp tại hãng an ninh mạng SentinelOne (Mỹ).

Năm 2012, Microsoft cáo buộc Hangzhou DPtech Technologies (hãng an ninh mạng Trung Quốc từng là thành viên MAPP) tiết lộ thông tin làm lộ ra một lỗ hổng nghiêm trọng trong hệ điều hành Windows.

Hangzhou DPtech Technologies sau đó bị loại khỏi MAPP. Khi đó, đại diện của Microsoft tuyên bố đã “tăng cường các biện pháp kiểm soát hiện có và thực hiện những hành động nhằm bảo vệ tốt hơn thông tin của chúng tôi”.

Năm 2021, Microsoft nghi ngờ ít nhất hai thành viên MAPP khác tại Trung Quốc đã rò rỉ thông tin về các lỗ hổng trong máy chủ Exchange, dẫn đến một chiến dịch tấn công mạng toàn cầu mà công ty Mỹ quy trách nhiệm cho nhóm gián điệp mạng Hafnium (Trung Quốc). Đây là một trong những vụ xâm phạm tồi tệ nhất với Microsoft khi hàng chục nghìn máy chủ Exchange bị tấn công, gồm cả Cơ quan Ngân hàng châu Âu và Quốc hội Na Uy.

Exchange là hệ thống máy chủ email doanh nghiệp do Microsoft phát triển, dùng để gửi/nhận email, quản lý lịch làm việc, danh bạ và tác vụ cho các tổ chức.

Sau sự cố năm 2021, Microsoft cân nhắc cải tổ MAPP, theo Bloomberg.

Theo tổ chức tư vấn chiến lược phi lợi nhuận Atlantic Council (Mỹ), luật Trung Quốc ban hành năm 2021 yêu cầu bất kỳ công ty hoặc nhà nghiên cứu nào phát hiện ra lỗ hổng bảo mật phải báo cáo trong vòng 48 giờ cho Bộ Công nghiệp và Công nghệ Thông tin (MIIT).

Một số công ty Trung Quốc trước đó vẫn tham gia MAPP, chẳng hạn Beijing CyberKunlun Technology, song đồng thời cũng là thành viên Chương trình Cơ sở dữ liệu Lỗ hổng Quốc gia Trung Quốc (China National Vulnerability Database) do Bộ An ninh Quốc gia nước này vận hành.

Ông Eugenio Benincasa, nhà nghiên cứu tại Trung tâm Nghiên cứu An ninh của Viện Công nghệ Liên bang Thụy Sĩ, cho rằng thiếu sự minh bạch về cách các công ty Trung Quốc cân bằng giữa cam kết giữ kín những lỗ hổng được Microsoft chia sẻ với nghĩa vụ phải cung cấp thông tin đó cho chính phủ quốc gia châu Á này.

“Chúng tôi biết rằng một số công ty Trung Quốc có hợp tác với các cơ quan an ninh nhà nước, và hệ thống quản lý lỗ hổng bảo mật ở quốc gia này được tổ chức rất tập trung (quyền kiểm soát thông tin nằm trong tay một cơ quan thay vì phân tán - PV). Đây chắc chắn là lĩnh vực cần được giám sát chặt chẽ hơn”, Eugenio Benincasa bình luận.

Sơn Vân