Từ điển hacker: Tấn công chuỗi cung ứng là gì?

Eiindustrial We
07/04/2022 , 03:49
Từ điển hacker: Tấn công chuỗi cung ứng là gì?

Những vụ tấn công nhằm vào NotPetya và SolarWinds gần đây cho thấy thủ đoạn phá hoại chuỗi cung ứng đang ngày càng tinh vi, nguy hiểm và khó phòng bị hơn. 

Sự thật trần trụi về an ninh mạng từ lâu được mô tả qua những từ ngữ đơn giản như: cẩn thận với các file đính kèm email từ những nguồn lạ, và không cung cấp thông tin đăng nhập cho các trang web lừa đảo.

Nhưng ngày càng có nhiều tin tặc (hacker) tinh vi hơn, hủy hoại cảm giác tin cậy cơ bản đó và đặt ra vấn đề gây hoang mang: điều gì sẽ xảy ra nếu phần cứng và phần mềm hợp pháp tạo nên mạng lưới của bạn bị xâm nhập tại nguồn?

Tấn công hệ thống chỉ từ một mắt xích

Hình thức hack ngấm ngầm và ngày càng phổ biến này được gọi là "tấn công chuỗi cung ứng". Đối thủ cạnh tranh sẽ đưa mã độc hoặc thậm chí linh kiện độc hại vào một phần mềm hoặc phần cứng đáng tin cậy. Chỉ cần tấn công một nhà cung cấp duy nhất trong chuỗi cung ứng, bọn gián điệp hoặc kẻ phá hoại có thể chiếm quyền điều khiển toàn bộ hệ thống phân phối. 

Sau đó, chúng có thể biến bất kỳ ứng dụng, bản cập nhật phần mềm hay thậm chí bất kỳ thiết bị vật lý nào mà nhà cung ứng đó giao cho khách hàng thành "con ngựa thành Troy". Nếu được tổ chức tốt, các cuộc tấn công này thể tạo thành bàn đạp để tin tặc xâm nhập toàn bộ mạng lưới khách hàng - đôi khi lên đến hàng trăm hoặc thậm chí hàng nghìn nạn nhân.

Nick Weaver, chuyên viên nghiên cứu bảo mật tại Viện Khoa học Máy tính Quốc tế của Đại học Berkeley, California, cho biết: “Các cuộc tấn công vào chuỗi cung ứng rất đáng sợ bởi vì: chúng thực sự khó đối phó, và bạn rõ ràng là đang tin tưởng toàn bộ hệ sinh thái. Bạn tin tưởng tất cả nhà cung cấp đặt code trên thiết bị của bạn, cũng như tin tất cả nhà cung cấp của nhà cung cấp ấy".  

Mức độ nghiêm trọng của mối đe dọa đến từ chuỗi cung ứng này đã được chứng minh trên quy mô lớn vào tháng 12 năm 2020. Một nhóm hacker - sau đó được xác định là làm việc cho Cơ quan Tình báo Đối ngoại Nga (SVR) - đã tấn công công ty phần mềm SolarWinds và cài mã độc trong công cụ quản lý IT Orion, qua đó truy cập vào 18.000 mạng lưới sử dụng ứng dụng này trên khắp thế giới. 

Từ đó, SVR thâm nhập sâu vào mạng lưới của ít nhất 9 cơ quan liên bang Hoa Kỳ, bao gồm NASA, Bộ Ngoại giao, Bộ Quốc phòng và Bộ Tư pháp. Nhưng còn có một thông tin gây sốc hơn nữa: SolarWinds không phải là trường hợp duy nhất. Trong nhiều năm qua, các cuộc tấn công nghiêm trọng vào chuỗi cung ứng đã làm tổn thương nhiều công ty trên toàn thế giới, cả trước và sau khi chiến dịch táo bạo trên của Nga được đưa ra ánh sáng. 

Tháng 4/2021, có tin hacker đã xâm nhập vào công cụ phát triển phần mềm do một công ty có tên là CodeCov cung cấp, rồi truy cập vào hàng trăm network của nạn nhân. Một nhóm hacker của Trung Quốc có tên Barium đã thực hiện ít nhất 6 cuộc tấn công vào chuỗi cung ứng trong vòng 5 năm qua, giấu mã độc trong phần mềm của nhà sản xuất máy tính Asus và trong ứng dụng dọn dẹp ổ cứng CCleaner. 

Năm 2017, một nhóm tin tặc Nga mang tên Sandworm - thuộc Cơ quan Tình báo Quân sự Nga (GRU) - đã đánh cắp các bản cập nhật phần mềm kế toán MEDoc của Ukraina và sử dụng nó để phát tán một đoạn code phá hoại có khả năng tự lây lan, được gọilà NotPetya. Cuộc tấn công này, cuối cùng gây thiệt hại 10 tỷ USD trên toàn thế giới và được xem là cuộc tấn công mạng tốn kém nhất trong lịch sử.

Thủ đoạn tấn công ngày càng tinh vi

Trên thực tế, tấn công chuỗi cung ứng diễn ra lần đầu tiên khoảng 4 thập kỷ trước. Ken Thompson, một trong những người sáng tạo ra hệ điều hành Unix, muốn thử xem liệu ông có thể giấu một cửa hậu (backdoor) trong hàm login của Unix hay không.

Thompson không chỉ cài cắm một đoạn mã độc cho phép ông đăng nhập vào bất kỳ hệ thống nào, mà còn xây dựng một trình biên dịch - công cụ biến mã nguồn thành một chương trình thực thi mà máy có thể đọc được. Chương trình này đã bí mật đặt backdoor vào các hàm nó biên dịch. 

Sau đó, ông tiến thêm một bước nữa là phá hủy trình biên dịch, để ngay cả mã nguồn của trình biên dịch cũng không xuất hiện bất kỳ dấu hiệu giả mạo rõ ràng nào. "Đạo lý này quá hiển nhiên. Bạn không thể tin tưởng bất kỳ đoạn mã nào không phải chính tay bạn tạo ra (đặc biệt là mã từ những công ty tuyển dụng người như tôi)" - Thompson giảng giải về cuộc thể nghiệm năm 1984 của mình. 


Thủ đoạn tưởng chừng như chỉ có trong sách vở này - kiểu tấn công kép nhắm đến chuỗi cung ứng, phá hỏng không chỉ một phần mềm thông dụng, mà còn cả công cụ được dùng để tạo ra nó - đã trở thành hiện thực. Vào năm 2015, hacker đã phát tán một phiên bản giả mạo của XCode, công cụ dùng để xây dựng các ứng dụng iOS, nhằm bí mật gieo mã độc vào hàng chục ứng dụng iPhone của Trung Quốc. 

Kỹ thuật này lại tái xuất vào năm 2019, khi nhóm hacker Barium của Trung Quốc phá hỏng một phiên bản của trình biên dịch Microsoft Visual Studio để cài cắm phần mềm độc hại vào một số trò chơi điện tử. Sự gia tăng tấn công vào chuỗi cung ứng một phần là do khả năng phòng thủ trước các cuộc tấn công thô sơ hơn đã được cải thiện. Hacker buộc phải tìm các điểm xâm nhập ít được bảo vệ hơn.

Hơn nữa, các cuộc tấn công chuỗi cung ứng cũng mang lại hiệu quả kinh tế cao hơn, chỉ cần hack một nhà cung cấp phần mềm là bạn đã có thể truy cập vào hàng trăm mạng lưới khác. 

Nick Weaver nói: "Một phần là do tin tặc muốn có nhiều tiền hơn, và một phần vì đột nhập vào chuỗi cung ứng là tấn công gián tiếp. Nếu mục tiêu thực tế của bạn quá khó xâm nhập, đây có thể là điểm yếu nhất mà bạn có thể tiếp cận".

Giải pháp ngăn chặn tấn công chuỗi cung ứng

Việc ngăn chặn các cuộc tấn công chuỗi cung ứng trong tương lai sẽ không dễ dàng. Không có cách thức đơn giản nào để các công ty đảm bảo rằng phần mềm và phần cứng họ mua không bị can thiệp. Các cuộc tấn công từ phần cứng - diễn ra khi đối thủ đặt một mã độc hoặc một linh kiện chứa mã độc bên trong thiết bị - rất khó phát hiện. 

Trong báo cáo chấn động năm 2018, Bloomberg tuyên bố: có những con chip gián điệp tí hon được giấu bên trong bo mạch SuperMicro - bo mạch dùng cho máy chủ tại trung tâm dữ liệu của Amazon và Apple. Tất cả các công ty liên quan đều kịch liệt phủ nhận điều này - bao gồm cả Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). 

Tuy nhiên, thông tin rò rỉ từ Edward Snowden đã tiết lộ: chính NSA đã chiếm đoạt các lô hàng router của Cisco, bí mật can thiệp để phục vụ cho các mục đích gián điệp của mình.  Beau Woods - cố vấn cấp cao của Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ - cho rằng giải pháp cho các cuộc tấn công chuỗi cung ứng, trên cả phần mềm và phần cứng, có lẽ không thuộc về công nghệ, mà chủ yếu thuộc về khâu tổ chức.

Doanh nghiệp và cơ quan chính phủ cần biết rõ nhà cung cấp phần mềm và phần cứng cho mìnhlà ai, kiểm tra chặt chẽ và buộc họ tuân thủ các tiêu chuẩn nhất định. Ông so sánh sự thay đổi đó với cách mà các công ty như Toyota đã kiểm soát và giới hạn chuỗi cung ứng của họ để đảm bảo độ tin cậy.

Các công ty khác cũng nên thực hiện quy trình tương tự để đảm bảo an ninh mạng. "Họ phải tìm cách hợp lý hóa chuỗi cung ứng: ít nhà cung cấp hơn và linh kiện chất lượng cao hơn. Sự phát triển của các phần mềm và quy trình IT, theo một cách nào đó, đang tái xác lập các nguyên tắc của chuỗi cung ứng" - Woods cho biết. tấn công, chuỗi cung ứng

Có hay không giải pháp hữu hiệu ngăn chặn tấn công chuỗi cung ứng?

Doanh nghiệp phải xây dựng tiêu chuẩn mới về bảo mật tối thiểu cho riêng mình và áp dụng nghiêm túc với bất kỳ công ty nào muốn bán phần mềm cho họ - thay vì ngồi yên hy vọng những cuộc tấn công chuỗi cung ứng đang tràn lan này sớm kết thúc. 

Ken Thompson có thể đã đúng vào năm 1984 khi kết luận rằng bạn không thể đặt trọn niềm tin vào bất kỳ đoạn mã nào mà bạn không tự mình tạo nên. Nhưng bạn có thể phần nào tin tưởng những đoạn mã mà nhà cung cấp đáng tin cậy - và đã được kiểm định - viết ra.

Nguồn: Wired

0 Lượt thích
0 Bình luận

Trong nước

Xem tất cả
Xuân Mai
07/10/2022 , 06:41

Ban hành quy định xây dựng công nghệ sản xuất năng lượng và các bậc định giá cho các nhà máy điện gió và điện mặt trời chuyển tiếp

Lãnh đạo của Bộ Công Thương đã ký và ban hành Thông tư số 15/2022/TT-BCT ngày 3 tháng 10 năm 2022 quy định quy trình xây dựng cơ cấu giá đối với năng lượng tạo ra từ các cơ sở điện mặt trời và điện gió chuyển tiếp.

Xuân Mai
07/10/2022 , 06:33

MTA 2022 - Triển lãm về máy công cụ, cơ khí chính xác và gia công kim loại

Các công ty Việt Nam nên nghĩ đến việc triển khai sản xuất thông minh trên dây chuyền sản xuất để tăng cạnh tranh với khách hàng để tránh bị tụt hậu trong cuộc đua hội nhập và tham gia chuỗi cung ứng toàn cầu.

Xuân Mai
07/10/2022 , 04:32

Công ty sản xuất dầu mỡ động thực vật KIDO được thành lập

Công ty TNHH KIDO Long An với vốn điều lệ 250 tỷ đồng vừa được thành lập, tọa lạc tại Lô B2, Đường số 3, Khu công nghiệp Đông Nam Á Long An, xã Tân Tập, Cần Giuộc, Long An, theo theo thông báo mới đây của Công ty Cổ phần Tập đoàn KIDO (HoSE: KDC).

Xuân Mai
07/10/2022 , 04:12

Cụm công nghiệp Tân Sỏi được thành lập tại huyện Yên Thế, Bắc Giang

Việc thành lập Cụm công nghiệp Tân Sỏi, huyện Yên Thế vừa được UBND tỉnh Bắc Giang phê duyệt.

Xuân Mai
07/10/2022 , 04:10

Bình Dương xây dựng 300 căn nhà ở xã hội liền kề

Ngày 6/10, dự án nhà ở xã hội 300 căn tại thị xã Bến Cát được khởi công xây dựng. Mỗi căn hộ rộng 60 m2, cao 2 tầng, giá ước tính khoảng 1,6 tỷ đồng mỗi căn.

Xuân Mai
07/10/2022 , 04:06

Phát triển khu công nghiệp xanh cần những tiêu chí nào?

Khu công nghiệp xanh rất khác biệt so với các khu công nghiệp thông thường. Được xây dựng theo cách tiết kiệm và có trách nhiệm với môi trường...

Xuân Mai
07/10/2022 , 01:52

Chủ động nguồn cung ứng để đón làn sóng FDI

Sau đại dịch COVID-19, Việt Nam đang chứng kiến một làn sóng đầu tư mới sẽ tạo cơ hội cho các doanh nghiệp trong lĩnh vực hỗ trợ tham gia vào chuỗi cung ứng toàn cầu.

Xuân Mai
07/10/2022 , 01:29

Có nhiều quan điểm khác nhau về việc bổ sung một khu công nghiệp có diện tích hơn 1.000ha tại Đồng Nai

Điều chỉnh quy hoạch sử dụng đất cấp huyện giai đoạn 2021-2030 bao gồm Khu công nghiệp (KCN) Xuân Hòa trên địa bàn 2 xã Xuân Hòa và Xuân Hưng. Tuy nhiên, có nhiều quan điểm khác nhau về cách quy hoạch khu công nghiệp nói trên.

Life style

Xem tất cả
Hoài Hà
08/05/2022 , 06:59

Doanh thu thị trường nhà thông minh tại Việt Nam dự kiến đạt hơn 453 triệu USD vào năm 2026

Theo Báo cáo Nhà thông minh Việt Nam năm 2022 được công bố tại Hội thảo ngành Internet Vạn vật (IoT) và Nhà thông minh (smartphone) tại Việt Nam, doanh thu của thị trường nhà thông minh tại Việt Nam dự kiến đạt gần 240 triệu USD trong năm 2022 và hơn 453 triệu USD vào năm 2026.

Hùng Lê
08/05/2022 , 06:24

Kinh nghiệm cho Startup: Muốn mở rộng quy mô doanh nghiệp nhỏ hãy cân nhắc trao quyền sở hữu cho nhân viên

Bạn đang startup thành công và muốn mở rộng quy mô doanh nghiệp nhỏ của bạn? Hãy cân nhắc trao quyền sở hữu cho nhân viên của bạn nhất là trong bối cảnh khủng hoảng lao động hiện nay nếu như bạn muốn nhân viên của mình tận tâm với công việc và không bị doanh nghiệp khác lôi kéo.

Eiindustrial We
07/04/2022 , 04:10

Hoạt động thu mua thay đổi Trách nhiệm xã hội của doanh nghiệp?

Trước khó khăn khi đại dịch Covid 19 bủa vây, bộ phận thu mua không những giúp các công ty tiết kiệm chi phí mà còn chủ động tìm cách hợp tác với các nhà cung cấp để tránh rủi ro cho chuỗi cung ứng sau đại dịch COVID-19.

Nguyễn Liên
01/04/2022 , 01:29

4 thách thức công nghệ ngành Bất động sản sẽ phải đối mặt năm 2022

Bất động sản là một ngành được hưởng lợi đáng kể từ tác động của công nghệ hiện đại, tuy nhiên những công nghệ mới này cũng có những cảnh báo và cạm bẫy cần được xem xét. Dưới đây là một số trở ngại chính mà các tổ chức và chuyên gia bất động sản vẫn cần phải vượt qua vào năm 2022, và những hướng giải quyết trong bài viết này có thể giúp ngành bất động sản lường trước được tác động của những trở ngại này.

Nguyễn Liên
17/03/2022 , 10:39

Gojek hợp tác chiến lược với ví điện tử MoMo, tăng cường trong cuộc chiến với đối thủ Grab tại Việt Nam

Các chuyên gia cho rằng thương vụ giữa Gojek và MoMo là một bước tiến sáng suốt khi nó làm tăng các lựa chọn trên các phương thức thanh toán vốn trước đây chỉ chấp nhận tiền mặt và thẻ ngân hàng tại Việt Nam.

Trang Vũ
16/03/2022 , 16:22

Sau đại dịch, khách hàng mong đợi gì ở các thương hiệu?

Cheetah Digital mới đây công bố chỉ số xu hướng tiêu dùng kỹ thuật số của mình. Chỉ số này đã tiết lộ năm xu hướng chính định hình tiếp thị mối quan hệ (relationship marketing) trong năm tới.

Nguyễn Liên
16/03/2022 , 14:46

5 lĩnh vực nên đầu tư vào R&D cho ngành công nghiệp

“Chế độ sinh tồn” đã là đặc điểm nổi bật của ngành công nghiệp toàn cầu trong 2 năm qua do đại dịch, chuỗi cung ứng và những thách thức liên quan đến lao động. Tuy nhiên, đối với đầu tư vào nghiên cứu và phát triển (R&D), đại dịch đã đẩy nhanh chi tiêu trong lĩnh vực này.

Lan Anh
14/03/2022 , 18:00

Các doanh nghiệp Việt Nam kêu gọi mở rộng quan hệ với các nhà đầu tư Nhật Bản trong bối cảnh xu hướng mới

Tiến sĩ Võ Trí Thành, Viện trưởng Viện Chiến lược Thương hiệu và Cạnh tranh khuyến nghị các doanh nghiệp trong nước nên xem xét mở rộng quan hệ đối tác với Nhật Bản trong các lĩnh vực mới như thành phố thông minh và ươm tạo khởi nghiệp.