Tấn công chuỗi cung ứng phần mềm của các tổ chức đang trở thành một xu hướng ngày càng phổ biến giúp tin tặc có quyền truy cập vào các thông tin có giá trị và để lại tác động lớn. Một nghiên cứu của Gartner dự đoán rằng vào năm 2025 sẽ có 45% công ty sẽ phải trải qua một cuộc tấn công chuỗi cung ứng.
Các cuộc tấn công chuỗi cung ứng có thể xảy ra theo nhiều cách khác nhau, có thể do mã độc được tiêm vào phần mềm hoặc các lỗ hổng trong phần mềm mà công ty đang sử dụng. Để giảm thiểu rủi ro này, các công ty phải tìm hiểu về các phương pháp được sử dụng để thực hiện các cuộc tấn công và hiểu rõ các điểm mù của công ty họ.
Bài viết này sẽ đánh giá 5 cuộc tấn công chuỗi cung ứng phần mềm gần đây và cách các đối tác bên thứ ba có thể gây ra rủi ro bảo mật cho một công ty. Từ đó đưa ra các đề xuất về cách bảo vệ trước các cuộc tấn công vào chuỗi cung ứng và cách phát hiện sớm để ứng phó với các mối đe dọa trước khi tin tặc đạt được mục đích.
Tấn công chuỗi cung ứng phần mềm là gì?
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) định nghĩa cuộc tấn công chuỗi cung ứng phần mềm là một cuộc tấn công “xảy ra khi một tác nhân đe dọa mạng xâm nhập vào mạng của nhà cung cấp phần mềm và sử dụng mã độc được cài vào phần mềm trước khi nhà cung cấp gửi nó cho khách hàng của họ. Sau đó, khi phần mềm được cung cấp đến khách hàng thì tin tặc sẽ xâm nhập vào dữ liệu hoặc hệ thống của người dùng”.
Chuỗi cung ứng phần mềm bao gồm bất kỳ các phần mềm và mã nguồn mở nào được cung cấp bởi các công ty và các kho lưu trữ công cộng, từ đó các nhà phát triển phần mềm sử dụng để lấy mã. Nó cũng bao gồm bất kỳ tổ chức dịch vụ nào có quyền truy cập vào dữ liệu của người dùng. Nhìn chung, tất cả các nhà cung cấp dịch vụ khác nhau này đều làm tăng phạm vi của một cuộc tấn công tiềm ẩn theo cấp số nhân.
Các cuộc tấn công vào chuỗi cung ứng phần mềm đặc biệt nguy hiểm vì chuỗi cung ứng phần mềm hoạt động như một bộ khuếch đại cho tin tặc. Điều này có nghĩa là khi một nhà cung cấp bị ảnh hưởng, tin tặc có thể tiếp cận bất kỳ khách hàng nào của họ, mang lại cho chúng phạm vi tiếp cận lớn hơn so với khi thực hiện nhắm mục tiêu tấn công vào một công ty duy nhất.
Theo CISA, hai lý do chính góp phần dẫn đến các cuộc tấn công cung ứng phần mềm đó là: Các sản phẩm phần mềm của bên thứ ba thường yêu cầu quyền truy cập đặc quyền; yêu cầu kết nối giữa mạng riêng của nhà cung cấp và phần mềm của nhà cung cấp trên mạng của khách hàng.
Chính vì vậy, tin tặc sẽ tận dụng quyền truy cập đặc quyền và kênh truy cập mạng đặc quyền làm điểm truy cập đầu tiên của chúng. Tùy thuộc vào mức độ truy cập có sẵn, tin tặc có thể dễ dàng nhắm mục tiêu vào nhiều thiết bị và cấp độ của một công ty. Một số ngành như chăm sóc sức khỏe, có tính dễ bị tổn thương đặc biệt vì chúng sở hữu khối lượng lớn dữ liệu bệnh nhân tuân theo các quy định và luật tuân thủ nghiêm ngặt.
5 cuộc tấn công chuỗi cung ứng điển hình
Gần đây các cuộc tấn công chuỗi cung ứng phần mềm đã thu hút sự chú ý lớn của công chúng bởi tác động nghiêm trọng mà nó để lại. Chẳng hạn như lỗ hổng Log4j đã cho thấy các công ty dễ bị tổn thương như thế nào khi dựa vào phần mềm của bên thứ ba. Các cuộc tấn công nổi tiếng khác như SolarWinds SUNBURST và cuộc tấn công Kaseya VSA (REvil) cũng đưa ra những lời nhắc nhở sâu sắc về mức độ thiệt hại của các cuộc tấn công chuỗi cung ứng.
Cửa hậu SolarWinds SUNBURST
Vào ngày 13/12/2020, cửa hậu SUNBURST lần đầu tiên được tiết lộ. Cuộc tấn công đã sử dụng bộ quản lý và giám sát công nghệ thông tin SolarWinds Orion phổ biến để phát triển một bản cập nhật trojan độc hại. Chúng nhắm mục tiêu vào các dịch vụ chạy phần mềm Orion và Bộ Tài chính Thương mại Hoa Kỳ. Fortune 500, các công ty viễn thông, cơ quan chính phủ khác và các trường đại học cũng có khả năng bị ảnh hưởng.
Trong trường hợp này, điểm mù chính của các công ty là máy chủ ứng dụng và đường dẫn cập nhật phần mềm của họ. Các chuyên gia cho rằng cách tốt nhất để chống lại kiểu tấn công này là giám sát thiết bị nghiêm ngặt.
Các báo cáo về cuộc tấn công Solarwinds chỉ ra rằng, tên miền avsvmcloud[.]com kiểm soát lệnh (C