Tin tặc Trung Quốc làm điều khó tin về việc “thỏa hiệp chuỗi cung ứng”
CrowdStrike Falcon dẫn đầu thị trường, áp dụng sự kết hợp của máy học tiên tiến (ML), trí tuệ nhân tạo (AI) và phân tích sâu hàng nghìn tỷ sự kiện bảo mật được đăng nhập trong Đám mây bảo mật CrowdStrike, đã xác định một dạng tấn công chuỗi cung ứng mới trong quá trình cài đặt trò chuyện- dựa trên nền tảng tương tác của khách hàng.
Công ty an ninh mạng của Mỹ CrowdStrike cho biết trong một bài đăng trên blog rằng họ đã phát hiện ra phần mềm độc hại được phân phối bởi Comm100 có trụ sở tại Vancouver, Canada, công ty cung cấp các sản phẩm dịch vụ khách hàng. các sản phẩm, chẳng hạn như bot trò chuyện và các công cụ quản lý mạng xã hội, cho nhiều khách hàng trên toàn cầu.
Cuộc tấn công chuỗi cung ứng liên quan đến một trình cài đặt trojan cho ứng dụng Comm100 Live Chat đang được triển khai. Phần mềm độc hại được phân phối thông qua trình cài đặt Comm100 có thể được tải xuống từ trang web của công ty vào sáng ngày 26 tháng 9 năm 2022.
Công ty an ninh mạng của Mỹ CrowdStrike cho biết trong một bài đăng trên blog rằng họ đã phát hiện ra phần mềm độc hại được phân phối bởi Comm100 có trụ sở tại Vancouver, công ty cung cấp các sản phẩm dịch vụ khách hàng. Ảnh: @AFP.
Phạm vi và quy mô của vụ hack này không rõ ràng ngay lập tức. Trong một tuyên bố, Comm100 cho biết họ đã sửa phần mềm này và sẽ sớm có thêm thông tin chi tiết. Công ty đã không trả lời ngay lập tức các yêu cầu bình luận liên quan đến vụ việc.
Các nhà nghiên cứu của CrowdStrike tin rằng phần mềm độc hại đã lưu hành được vài ngày nhưng không cho biết có bao nhiêu công ty khách hàng của Comm100 bị ảnh hưởng, chỉ tiết lộ rằng “các thực thể trong một loạt ngành” đã bị tấn công. Một người quen thuộc với vấn đề này đã trích dẫn hàng chục nạn nhân đã biết, mặc dù con số thực tế có thể cao hơn nhiều. Comm100 trên trang web của mình cho biết họ có hơn 15.000 khách hàng ở khoảng 80 quốc gia sử dụng các sản phẩm và dịch vụ của mình.
“Tạo ra các thỏa hiệp chuỗi cung ứng giả để tấn công” là vũ khí yêu thích mới của hacker, và mối đe dọa đang ngày càng gia tăng. Ảnh: @AFP.
Giám đốc điều hành CrowdStrike, Adam Meyers, cho biết trong một cuộc phỏng vấn qua điện thoại rằng những tin tặc bị nghi ngờ là người Trung Quốc, với lý do ngôn ngữ và các mẫu hành vi trong mã duy nhất của họ.
Chính phủ Trung Quốc đã bác bỏ cáo buộc này. Trong một email, phát ngôn viên Đại sứ quán Trung Quốc Liu Pengyu cho biết các quan chức ở Bắc Kinh “kiên quyết phản đối và trấn áp mọi hình thức tấn công mạng theo quy định của pháp luật” và rằng Hoa Kỳ “đã tích cực gây dựng và phát tán những lời nói dối về cái gọi là” Tin tặc Trung Quốc ”.
Quay trở lại câu chuyện tạo ra các thỏa hiệp chuỗi cung ứng giả để tấn công – hoạt động bằng cách giả mạo phần mềm doanh nghiệp được sử dụng rộng rãi để tấn công khách hàng của công ty nạn nhân – đang ngày càng trở nên quan trọng. sự quan tâm kể từ khi tin tặc Nga đột nhập vào công ty quản lý CNTT SolarWinds Corp của Texas và sử dụng nó làm bàn đạp để tấn công các cơ quan chính phủ và hàng loạt công ty tư nhân của Mỹ.
Meyers, một trong số các thương hiệu đã phản ứng với vụ hack SolarWinds, cho biết việc phát hiện ra sản phẩm của Comm100 là một lời nhắc nhở rằng các quốc gia khác đang sử dụng các kỹ thuật tương tự.
Ông nói: “Trung Quốc đang tham gia vào các cuộc tấn công chuỗi cung ứng.
“Tạo ra các thỏa hiệp chuỗi cung ứng giả để tấn công” là vũ khí yêu thích mới của hacker và là mối đe dọa ngày càng tăng
Được biết, việc tạo ra các thỏa hiệp chuỗi cung ứng giả để tấn công là mục tiêu chính của những kẻ tấn công mạng, bởi vì bằng cách giành quyền truy cập vào một công ty cung cấp phần mềm hoặc dịch vụ cho nhiều công ty khác, tội phạm mạng có thể tìm ra cách tiềm năng để tấn công hàng nghìn mục tiêu cùng một lúc. .
Một số sự cố lớn trong thời gian gần đây đã chứng minh những hậu quả quy mô lớn mà các cuộc tấn công chuỗi cung ứng có thể gây ra. Trong một trong những sự cố an ninh mạng lớn nhất trong những năm gần đây, những kẻ tấn công mạng làm việc cho cơ quan tình báo nước ngoài của Nga đã tấn công vào các bản cập nhật từ nhà cung cấp dịch vụ CNTT SolarWinds- đã được tải xuống bởi 18.000 khách hàng, sau đó những kẻ tấn công tiếp tục nhắm mục tiêu khoảng 100 khách hàng, trong đó bao gồm một số lượng cá nhân, tổ chức và cơ quan chính phủ Hoa Kỳ.
Các cuộc tấn công vào chuỗi cung ứng tiếp tục là một véc tơ hấp dẫn trong tay các tác nhân tinh vi và mối đe dọa từ các cuộc tấn công này có khả năng còn tăng lên nhiều hơn nữa. Ảnh: @AFP.
Các tội phạm mạng khác cũng thực hiện một cuộc tấn công thỏa hiệp chuỗi cung ứng giả mạo bằng cách sử dụng lỗ hổng trong phần mềm từ Kaseya để khởi động một cuộc tấn công ransomware ảnh hưởng đến hàng nghìn khách hàng của công ty. trên toàn thế giới.
Simon Mehdian-Staffell, Giám đốc phụ trách các vấn đề của Chính phủ Vương quốc Anh tại Microsoft, cho biết trong một cuộc thảo luận tại Hội nghị mạng Chatham House 2021: “Vấn đề về các mối đe dọa đối với các nhà cung cấp dịch vụ CNTT như một phần của chuỗi cung ứng rõ ràng là một trong những hình thức phức tạp nhất về các cuộc tấn công mạng đa mục tiêu do nhà nước hậu thuẫn. ” Một số cuộc tấn công đã được xác định vì chúng diễn ra trên quy mô lớn, giống như những cuộc tấn công ở trên.
Với sự thành công của các cuộc tấn công chuỗi cung ứng lớn cho đến nay, chúng sẽ vẫn là một mối đe dọa an ninh mạng trong tương lai gần. “Các cuộc tấn công vào chuỗi cung ứng tiếp tục là một véc tơ hấp dẫn trong tay các tác nhân tinh vi và mối đe dọa do những cuộc tấn công này gây ra có thể sẽ còn gia tăng hơn nữa. Đặc biệt là khi chúng xảy ra. Tôi dự đoán hình thức tấn công mạng này sẽ ngày càng trở nên tinh vi hơn trong thời gian tới “Lindy Cameron, Giám đốc Điều hành của Trung tâm An ninh Mạng Quốc gia (NCSC) cho biết trong một tuyên bố.