Nhóm hacker Trung Quốc bị tố là thủ phạm vụ hack 'thảm họa' vào F5
Vụ hack được xem là 'thảm họa' đã xảy ra với một công ty an ninh mạng lớn của Mỹ và giới chức cho rằng thủ phạm là nhóm hacker Trung Quốc, theo hãng tin Bloomberg.
F5 tiết lộ hôm 16.10 trong một hồ sơ pháp lý rằng nhóm hacker đã xâm nhập vào mạng lưới của công ty và giành được "quyền truy cập lâu dài, liên tục" một số hệ thống.
Những kẻ xâm nhập đã đánh cắp nhiều file, gồm cả một phần mã nguồn từ bộ dịch vụ ứng dụng BIG-IP của F5, vốn được sử dụng rộng rãi bởi các công ty trong danh sách Fortune 500 và các cơ quan chính phủ Mỹ.
Ngoài ra, nhóm hacker còn chiếm được thông tin về một số lỗ hổng có thể được khai thác để tấn công khách hàng của F5.
Fortune 500 là bảng xếp hạng thường niên do tạp chí Fortune (Mỹ) công bố, liệt kê 500 doanh nghiệp lớn nhất nước Mỹ tính theo doanh thu hằng năm. Danh sách này được xem là thước đo uy tín và tầm ảnh hưởng kinh tế của các tập đoàn hàng đầu trong nhiều lĩnh vực, từ công nghệ, năng lượng, tài chính, đến sản xuất và bán lẻ. Những cái tên quen thuộc thường góp mặt trong bảng xếp hạng này gồm Apple, Microsoft, Amazon, ExxonMobil, Walmart, JPMorgan Chase... Việc được xếp hạng trong Fortune 500 không chỉ thể hiện quy mô tài chính và sức mạnh thị trường, mà còn giúp doanh nghiệp khẳng định vị thế trong giới kinh doanh toàn cầu.
Ngoài ra, tạp chí Fortune còn có danh sách Global 500, gồm 500 công ty lớn nhất thế giới, mở rộng phạm vi ra ngoài nước Mỹ.
Đại diện F5 thông báo với khách hàng rằng hacker đã ở trong mạng lưới của công ty ít nhất 12 tháng, theo nguồn tin của Bloomberg.
Hãng tin Bloomberg cho biết François Locoh-Donou (Giám đốc điều hành F5) đích thân thông báo cho khách hàng về tiến trình và các hacker có liên quan đến Trung Quốc.
Bộ Ngoại giao Trung Quốc và Đại sứ quán Trung Quốc tại Washington đã không trả lời ngay lập tức về chuyện này.
Các sản phẩm BIG-IP của F5 là một phần không thể thiếu trong hệ thống CNTT của nhiều tổ chức lớn, thực hiện chức năng như cân bằng tải và cung cấp các lớp bảo mật như tường lửa hoặc cơ chế kiểm soát truy cập nhằm ngăn hacker xâm nhập.
Các chuyên gia an ninh mạng cảnh báo rằng việc mã nguồn của BIG-IP bị đánh cắp có thể giúp hacker phát hiện ra cách xâm nhập những hệ thống đó để theo dõi, thao túng và truy cập dữ liệu nhạy cảm của khách hàng mà rất khó bị phát hiện.
Hôm 16.10, F5 đã gửi cho khách hàng hướng dẫn săn tìm mối đe dọa liên quan đến phần mềm độc hại Brickstorm, được sử dụng bởi một nhóm hacker Trung Quốc, theo Bloomberg.
Theo Mandiant - bộ phận tình báo mối đe dọa của Google, các hacker đứng sau Brickstorm nổi tiếng với việc đánh cắp mã nguồn của các nhà cung cấp công nghệ phổ biến để tìm lỗi phần mềm. Sau đó, chúng khai thác những lỗi này để xâm nhập vào máy khách hàng của nhà cung cấp công nghệ, theo báo cáo của Mandiant về chiến dịch mạng này.
Mandiant mô tả các hacker đứng sau Brickstorm là UNC5221, "tác nhân gián điệp liên quan đến Trung Quốc" mà họ quan sát thấy nhắm mục tiêu vào các tổ chức kể từ năm 2023.
Mandiant được thành lập vào năm 2004 bởi Kevin Mandia. Hiện Mandiant thuộc Google, sau khi được mua lại vào tháng 9.2022 với giá 5,4 tỉ USD.
Kevin Mandia không chỉ là một nhà lãnh đạo doanh nghiệp thành công mà còn là chuyên gia có kiến thức sâu rộng, thường xuyên chia sẻ quan điểm và phân tích về các vấn đề an ninh mạng trên các phương tiện truyền thông lớn và các diễn đàn chuyên ngành. Ông được công nhận là một trong những người tiên phong trong việc nhấn mạnh tầm quan trọng của ứng phó sự cố trong ngành an ninh thông tin.
Cơ quan chức năng ở Mỹ và Vương quốc Anh đưa ra cảnh báo
Vụ xâm nhập F5 đã khiến các cơ quan chức năng ở Mỹ và Vương quốc Anh phải đưa ra cảnh báo.
Hôm 15.10, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) đã ban hành một chỉ thị khẩn cấp, mô tả đây là một "mối đe dọa mạng đáng kể nhắm vào các mạng lưới liên bang sử dụng một số thiết bị và phần mềm F5 nhất định". CISA cảnh báo tất cả cơ quan liên bang phải cập nhật phần mềm của F5 trước ngày 22.10.
CISA cảnh báo rằng hacker có thể khai thác các lỗ hổng trong sản phẩm F5 để truy cập vào thông tin đăng nhập và công cụ cho phép chúng di chuyển qua mạng lưới công ty, đánh cắp dữ liệu nhạy cảm và xâm phạm toàn bộ hệ thống thông tin.
Madhu Gottumukkala, Quyền giám đốc CISA, cho biết trong một tuyên bố: “Mức độ dễ dàng báo động mà những lỗ hổng này có thể bị khai thác bởi tác nhân độc hại đòi hỏi tất cả cơ quan liên bang Mỹ phải hành động ngay lập tức và quyết đoán. Những rủi ro tương tự này cũng có thể xảy ra với bất kỳ tổ chức nào sử dụng công nghệ này, có khả năng dẫn đến sự xâm phạm nghiêm trọng với các hệ thống thông tin quan trọng”.
Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) cũng đưa ra cảnh báo về vụ xâm nhập này, cảnh báo rằng hacker có thể sử dụng quyền truy cập vào hệ thống F5 để khai thác công nghệ của công ty và phát hiện thêm các lỗ hổng bảo mật.
Vương quốc Anh đã kêu gọi khách hàng xác định tất cả sản phẩm F5, đánh giá xem liệu các thiết bị đó có bị xâm nhập hay không, thông báo cho NCSC về các vụ xâm phạm tiềm ẩn và cài đặt những bản cập nhật bảo mật mới nhất.
Thông tin chi tiết về F5 và BIG-IP
F5 là hãng công nghệ có trụ sở tại thành phố Seattle (bang Seattle, Mỹ), chuyên cung cấp các giải pháp về an ninh mạng, quản lý lưu lượng và tối ưu hiệu suất ứng dụng cho doanh nghiệp. Thành lập từ năm 1996, F5 được xem là một trong những nhà cung cấp hạ tầng mạng quan trọng của thế giới, phục vụ hàng nghìn khách hàng, gồm nhiều tập đoàn trong danh sách Fortune 500 và các cơ quan chính phủ.
Sản phẩm nổi bật nhất của công ty là BIG-IP, bộ phần mềm và thiết bị chuyên dụng được tích hợp trong hạ tầng công nghệ thông tin của nhiều tổ chức lớn. BIG-IP đảm nhận nhiều chức năng quan trọng như:
- Cân bằng tải: Phân phối lưu lượng truy cập internet đến nhiều máy chủ khác nhau, giúp ứng dụng và website hoạt động mượt mà, ổn định.
- Bảo mật hệ thống: Cung cấp tường lửa, kiểm soát truy cập, mã hóa và phát hiện tấn công nhằm bảo vệ dữ liệu người dùng và doanh nghiệp.
- Tối ưu hiệu năng: Giúp tăng tốc độ phản hồi của các dịch vụ trực tuyến và giảm thiểu tình trạng gián đoạn hệ thống.
Do mức độ phổ biến và vai trò trọng yếu trong hạ tầng mạng toàn cầu, F5 và các sản phẩm BIG-IP được xem là “xương sống” của nhiều hệ thống công nghệ doanh nghiệp. Vì vậy, bất kỳ cuộc tấn công mạng nào vào F5 đều có thể gây ảnh hưởng dây chuyền, đe dọa an ninh dữ liệu của hàng loạt tổ chức phụ thuộc vào công nghệ này.
