Mỹ đã tâng bốc Nga khi đổ tội về vụ SolarWinds

Giám đốc Cơ quan Tình báo Đối ngoại của Nga (SVR) Sergei Naryshkin trong lần trả lời phỏng vấn đài truyền hình nhà nước Anh BBC đã nói ông kinh ngạc về các cáo buộc mà Anh và Mỹ đưa ra về tin tặc Nga tiến hành các hoạt động tấn công mạng trên thế giới, trong đó bao gồm vụ tấn công mạng quy mô chưa từng thấy lợi dụng phần mềm của SolarWinds nhằm vào các cơ quan chính phủ Mỹ.

Giám đốc Cơ quan Tình báo Đối ngoại Nga Sergey Naryshkin nói Mỹ buộc tội cho Nga về vụ SolarWinds là đánh giá quá cao. Ảnh: RIA Novosti

Theo đó, ông Naryshkin nói rằng, Nga hoàn toàn không dính líu đến vụ hack SolarWinds năm 2020 và tất cả những tuyên bố cáo buộc về Nga "giống như một cuốn tiểu thuyết tội phạm tồi tệ".

Thậm chí, ông này còn cho rằng, coi Nga đứng sau vụ hack SolarWinds là cách nói "tâng bốc" cho cơ quan tình báo Nga. Giám đốc tình báo Nga còn nói với giọng bông đùa rằng, ông không thể "nhận công lao của người khác".

Ông Naryshkin cũng bác bỏ các cáo buộc cho rằng tình báo Nga đứng sau vụ đầu độc chất độc thần kinh Novichok hay can thiệp bầu cử ở quốc gia nào đó. Giám đốc tình báo Nga coi những buộc này là "vô lý" và "thảm hại".

Vụ tấn công SolarWinds vào năm 2020 được cho là vụ tấn công mạng lớn nhất lịch sử Mỹ nhằm lấy cắp một lượng lớn dữ liệu gồm email và các tài liệu khác. Mỹ đang buộc Moscow phải chịu trách nhiệm vụ việc này và đã áp đặt các biện pháp trừng phạt.

Tuy nhiên, theo người lãnh đạo SVR, cuộc tấn công này có thể xuất phát từ bất cứ quốc gia nào, có thể là từ những đồng minh của Mỹ hoặc thậm chí là trong chính nội bộ Mỹ. Củng cố cho quan điểm này, ông Naryshkin lưu ý đến thông tin bị rò rỉ bởi cựu cố vấn tình báo Mỹ Edward Snowden, tiết lộ rằng các cơ quan tình báo phương Tây sử dụng quan hệ đối tác bí mật với các công ty công nghệ hàng đầu để chèn lỗ hổng vào phần mềm thương mại.

“Tôi không muốn khẳng định rằng cuộc tấn công mạng này được thực hiện bởi một cơ quan Mỹ, nhưng các chiến thuật là tương tự" - ông Naryshkin nói.

Như đã đưa tin trước đó, nửa đầu năm 2020, các khách hàng sử dụng phần mềm Orion, một công cụ quản trị hệ thống mạng rất phổ biến tại Mỹ do SolarWinds phát triển đã nhận được thông báo cập nhật hệ thống và từ đó, các cuộc tấn công mạng đã diễn ra.

Bản cập nhật phần mềm đã được cài mã độc và các tin tặc sau đó sử dụng đoạn mã gián điệp này để tiến hành một cuộc tấn công mạng quy mô lớn nhắm vào các mục tiêu trọng yếu.

Sự tinh vi của tin tặc nằm ở chỗ chúng đã "tráo vỏ" đoạn mã của Orion được đưa ra từ tháng 9/2019 và chờ đợi trong 5 tháng mới ra tay.

Đoạn mã này không có tác dụng gì khác ngoại trừ kiểm tra xem máy tính của nạn nhân đang sử dụng bộ xử lý 32-bit hay 64-bit rồi trả về số 0 hoặc 1 tương ứng. Đoạn mã thực chất chỉ làm phép thử mà nhóm hacker dùng để kiểm chứng liệu mã nguồn đã bị can thiệp có thể đến tay người dùng cuối được hay không.

Sau khi chứng minh khả năng tấn công là có, nhóm tin tặc này không vội ra tay ngay; trái lại, họ không có động thái gì thêm trong suốt 5 tháng tiếp theo. Sự kiên nhẫn và thận trọng này được cho là hiếm thấy với tội phạm công nghệ cao.

Đến tháng 2/2020, những kẻ tấn công đã mở một “cửa hậu” (backdoor) - phương thức giúp chúng đột nhập và cài cắm vào phần mềm đoạn mã độc ngay trước khi bản cập nhật được “đóng gói” và gửi đến người dùng một thông báo yêu cầu cập nhật phần mềm.

Điều tinh vi bắt đầu thể hiện rõ: Vì lý do bảo mật, phần mềm thành phẩm ngày nay được “niêm phong” bằng con dấu kỹ thuật số trước khi đến tay khách hàng. Nếu niêm phong này có dấu hiệu bị phá hoại, đó là cơ sở đầu tiên cảnh báo cho người dùng rằng nội dung bên trong có thể đã bị thay đổi - có thể tạm hình dung như một gói hàng không còn "nguyên tem".

Nhóm hacker đã khai thác một lỗ hổng trong quy trình bảo mật này bằng cách thay thế file gốc của phần mềm bằng file chứa mã độc ngay trước bước đóng gói cuối cùng - tức là sau khi những thay đổi trong mã nguồn đã được kiểm tra và phê duyệt. Bằng cách này, hệ thống hoàn toàn bị đánh lừa rằng file giả mạo kia là hàng thật, và cũng không còn ai kiểm tra lại lần nữa trước khi phần mềm chứa mã độc xuất xưởng.

Đến lúc này, sản phẩm được đóng gói, niêm phong đúng quy trình, nhưng nội dung đã khác.

Vụ sử dụng phần mềm của SolarWinds, tin tặc đã thâm nhập được vào các cơ quan trọng yếu của Mỹ.

Ông Alex Stamos - cựu Giám đốc an ninh của Facebook nhận định, đây là một trong những chiến dịch gián điệp mạng hiệu quả nhất mọi thời đại. Các hacker không chỉ thể hiện sự nhạy bén về kỹ thuật, mà cách họ tiến hành vụ tấn công chứng tỏ rằng họ hiểu cách các công ty công nghệ và công ty phần mềm vận hành.

Ông Adam Meyers, Phó chủ tịch Công ty an ninh mạng CrowdStrike và là người đứng đầu nhóm chuyên gia Mỹ phụ trách điều tra vụ tấn công, cũng phải thốt lên rằng “tuyệt kỹ” mà nhóm tin tặc sử dụng là “phi thường” và là “thứ điên rồ nhất mà tôi từng chứng kiến”.

Đây là nhận xét có trọng lượng, đến từ người đã điều tra nhiều vụ hack đình đám khác như vụ đột nhập máy chủ Hãng phim Sony Pictures năm 2014 hay sự cố rò rỉ email của Đảng Dân chủ trước thềm cuộc bầu cử Tổng thống Mỹ năm 2016.

Theo ông Sudhakar Ramakrishna, Chủ tịch kiêm CEO SolarWinds nói: “Chúng tôi ước tính khoảng 18.000 (khách hàng) đã tải bản cập nhập có chứa đoạn mã này từ tháng 3- 6/2020.”

Tuy nhiên, Ramakrishna cho rằng nhóm tin tặc chỉ mới xâm nhập thành công vào hệ thống của khoảng... 100 công ty và tầm chục cơ quan chính phủ có sử dụng phần mềm Orion. Danh sách bao gồm các tên tuổi như Microsoft, Intel, Cisco, Bộ Tài chính, Bộ Tư pháp và năng lượng, và Lầu Năm Góc.

Đến cả Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa, đơn vị có nhiệm vụ bảo vệ các hệ thống mạng máy tính liên bang khỏi các cuộc tấn công mạng, cũng trở thành nạn nhân trong vụ hack lịch sử.

Hải Lâm