Các nhà nghiên cứu nghi ngờ nhóm gián điệp Trung Quốc Spiral đã thực hiện hai cuộc xâm nhập vào năm 2020 vào một máy chủ SolarWinds Orion đã được tham gia với hầu hết các máy chủ khác chứ không phải vụ tấn công khét tiếng SolarWinds do Nga gây ra.
Trong một trang web, Secureworks Counter Threat Device (CTU) đã ghi lại rằng Spiral đã khai thác một hệ thống giao dịch internet với máy chủ SolarWinds để triển khai web shell của Supernova.
Các nhà khoa học giải thích rằng tác nhân nguy hiểm đã khai thác lỗ hổng bỏ qua xác thực API SolarWinds Orion (CVE-2020-10148) để thực thi một tập lệnh do thám và sau đó tạo vỏ web Supernova vào đĩa. Lỗ hổng này có thể cho phép kẻ tấn công ở xa bỏ qua xác thực và thực thi các lệnh API, điều này có thể dẫn đến sự xâm phạm trong dịp SolarWinds.
Trong cuộc tham gia IR, nó cũng đã phát hiện ra bắt đầu bằng cuộc tấn công, trên cùng một mạng trước đó vào năm 2020. Cuộc tấn công thứ hai diễn ra vào cuối năm 2020.
Phân tích từ nhóm Secureworks CTU cho thấy rằng cả hai cuộc tấn công này của Spiral đều không liên quan đến cuộc tấn công chuỗi cung ứng Sunburst đã đưa Trojan vào các bản cập nhật ứng dụng của công ty SolarWinds Orion.
Chủ yếu dựa trên những phát triển đang diễn ra và vụ hack SolarWinds hiện đại, việc quan sát một máy chủ SolarWinds trên internet triển khai web shell Supernova không gây sốc, Michael Isbitski, nhà truyền giáo kỹ thuật tại Salt Security, tuyên bố.
“Chúng tôi có thể sẽ tiến hành để xem các chiến lược và các cuộc tấn công song song chỉ liên quan đến cái này, nhằm tối ưu hóa các API chưa được vá để bỏ qua xác thực,” Isbitski đề cập.
“Kiểu tấn công đa dạng này nằm trong mối nguy hiểm của OWASP API Security Prime 10, nơi xác thực API chưa được vá hoặc định cấu hình sai cho phép những kẻ tấn công xâm phạm mã thông báo xác thực hoặc khai thác các lỗ hổng triển khai để đạt được và thỏa hiệp một quy trình.”
Isbitski đã báo cáo rằng những kết luận này cần phải đóng vai trò như một lời nhắc nhở về tầm quan trọng to lớn của việc vá lỗi. Ông tuyên bố rằng các doanh nghiệp không thể trì hoãn kéo dài việc vá các lỗ hổng nghiêm trọng, được coi là chủ yếu vì các vấn đề quá tải, ảnh hưởng đến người tiêu dùng sáng tạo hoặc mất giám sát quy trình.
Isbitski đề cập: “Các phương pháp chưa được khắc phục đang khiến các yếu tố quan trọng của ngăn xếp CNTT dễ bị tổn thương, đặc biệt là các API, mà những kẻ tấn công ngày càng tập trung nhiều hơn vào những thời điểm này vì họ định hướng khách truy cập trang web ngay lập tức đến các sự kiện và dịch vụ đáng giá.”
Loại hoạt động này dường như là một dấu hiệu mới nổi của nhóm hướng dẫn cuộc tấn công này, vì vậy các công ty cần phải ngày càng cảnh giác với loại lỗ hổng này”.
Source: Thecybersecurity
Fanpage: Trí Việt JSC