Ngày 2/3/2021,ỗtrợkhắcphụcviệcExchangeServerbịtintặctấncôlịch thi đấu bóng hôm nay và ngày mai Microsoft công bố các chiến dịch tấn công vào máy chủ của khách hàng sử dụng Exchange Server thông qua các lỗ hổng bảo mật chưa từng được công bố (lỗ hổng zero-day) mà sau đó được đặt tên là CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065, ảnh hưởng tới các phiên bản MS Exchange Server 2013, 2016 và 2019.

Ngay tiếp đó, Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) đánh giá đợt tấn công này là rất nghiêm trọng vì sau khi chiếm quyền điều khiển hệ thống email Exchange, tin tặc có thể xâm nhập sâu vào hệ thống máy chủ bên trong để khai thác, gây nguy hại, thậm chí đánh cắp dữ liệu.

Trong thông cáo báo chí ngày 13/3/2021, Công ty cổ phần Thương mại và dịch vụ Công nghệ GTSC Việt Nam (GTSC) cho biết, Trung tâm giám sát an ninh mạng (SOC) của GTSC ghi nhận, trước khi Microsoft công bố thông tin về lỗ hổng nêu trên, tại Việt Nam đã xuất hiện những hành vi bất thường trên hệ thống Exchange Server của hàng loạt tổ chức, doanh nghiệp. Đội ngũ chuyên gia phòng thủ không gian mạng của GTSC đã tập trung điều tra, làm rõ luồng tấn công, phân tích cụ thể các hành vi bất thường, từ đó sớm nhận định đây là cuộc tấn công có chủ đích (APT) nhưng với cách thức và kỹ thuật hoàn toàn mới, không giống với bất kỳ cuộc tấn công nào đã được công bố trên thế giới trước đó mà dựa vào khai thác lỗ hổng zero-day. Nhờ kinh nghiệm trong việc đối mặt với hàng loạt cuộc tấn công APT của các nhóm tin tặc, chuyên gia của GTSC đã nhanh chóng hỗ trợ nhiều tổ chức, doanh nghiệp cô lập, loại trừ,sau đó giải mã cuộc tấn công trước khi các thông tin chính thức được công bố tại Mỹ.

Nhận thấy mức độ nguy hiểm cao, nguy cơ ảnh hưởng rất nghiêm trọng tới hệ thống CNTT nhiều tổ chức, cơ quan tại Việt Nam, GTSC đã lập tức công bố chi tiết những thông tin về dấu hiệu nhận diện, kỹ thuật tấn công để các tổ chức,cơ quan đang sử dụng hệ thống Exchange Server tự kiểm tra, đồng thời cập nhật thông tin cho các hệ thống giám sát và phòng thủ chiều sâu.

 “Đến nay, sau hơn một tuần được công bố, Trung tâm SOC của GTSC tiếp tục ghi nhận tin tặc vẫn tìm cách khai thác các lỗ hổng bảo mật nêu trên để tấn công vào các hệ thống CNTT của khách hàng GTSC. Từ đó chúng tôi tin rằng nhiều đơn vị, tổ chức khác đã, đang và sẽ nằm trong tầm ngắm của các tổ chức tấn công mà chưa biết.” - đại diện GTSC cho biết.

Theo GTSC, lỗ hổng zero-day thường khó bị phát hiện bởi các giải pháp bảo mật truyền thống không được trang bị dấu hiệu nhận diện tấn công. Tuy nhiên mục tiêu cuối cùng của các cuộc tấn công là vào sâu, chiếm quyền điều khiển nên sẽ có những hành vi bất thường xảy ra trên hệ thống mà nếu được giám sát liên tục bởi các các chuyên gia giàu kinh nghiệm thì có thể được phát hiện, cô lập từ rất sớm. Việc làm sao thoát khỏi “mắt thần” của đội ngũ giám sát chất lượng là một thách thức rất lớn đối với các nhóm tấn công.

Để hỗ trợ cộng đồng trong vụ việc nghiêm trọng này, GTSC sẽ hỗ trợ miễn phí đánh giá hệ thống Exchange Server để xác định đã bị xâm nhập hay chưa, đến mức nào, có bị gài mã độc hay không; đồng thời hướng dẫn khắc phục nếu việc xâm nhập đã diễn ra.

Thế Định