Theo các cơ quan chính phủ Vương Quốc Anh và Hàn Quốc, các cuộc tấn công vào chuỗi cung ứng phần mềm do tin tặc Triều Tiên thực hiện đã tăng vọt trong vài năm qua. Hai trong số những ví dụ gần đây nhất là lỗ hổng MagicLine4NX và 3CX vào tháng 3 năm 2023.

Để nâng cao nhận thức và ngăn chặn lỗ hổng, Trung tâm An ninh mạng Quốc gia Anh (NCSC) và Cơ quan Tình báo Quốc gia Hàn Quốc (NIS) đã đưa ra lời khuyên chung vào ngày 23 tháng 11 mô tả một số chiến thuật, kỹ thuật và quy trình (TTP) của tin tặc Triều Tiên.

Theo NCSC và NIS, những tin tặc đe dọa đang khai thác các lỗ hổng zero-day trong phần mềm của bên thứ ba thường được các cơ quan chính phủ, tổ chức tài chính và tổ chức quốc phòng trên toàn cầu sử dụng.

Chúng cũng dựa vào các lỗ hổng và công cụ mới được công bố, khai thác hàng loạt lỗ hổng để tấn công chính xác một mục tiêu cụ thể.

Hack MagicLine4NX và 3CX được triển khai như thế nào?

Khuyến cáo chung cũng nêu chi tiết các chiến thuật, kỹ thuật và quy trình được sử dụng trong các cuộc tấn công chuỗi cung ứng phần mềm gần đây nhất là các lỗ hổng MagicLine4NX và 3CX.

Cuộc tấn công đầu tiên là chương trình xác thực bảo mật MagicLine4NX. Vào tháng 3 năm 2023, tin tặc đã xâm nhập trang web của một cơ quan truyền thông, triển khai các tập lệnh độc hại vào một bài báo và tạo ra một chiến lược tấn công máy tính.

Tin tặc truy cập trái phép vào mạng nội bộ của tổ chức thông qua một trong các máy tính được kết nối internet của tổ chức, bằng cách sử dụng lỗ hổng zero-day trong phần mềm MagicLine4NX.

Sau khi mã độc được cài đặt, nó có thể lọc dữ liệu báo hiệu ban đầu cũng như tải xuống và thực thi các tải trọng được mã hóa. May mắn thay, mã độc đã bị chặn bởi chính sách bảo mật.

Cùng tháng 3 đó, hai công ty an ninh mạng SentinelOne và Sophos đã báo cáo rằng phần mềm Desktop App do 3CX phân phối đã bị xâm phạm và chứa phần mềm độc hại ảnh hưởng đến cả hệ điều hành macOS và Windows – vụ việc sau đó đã được 3CX xác nhận.

Tội phạm mạng đã thêm mã độc vào file thực thi được gửi trong trình cài đặt đã ký cho phần mềm 3CX.

Sau đó, tải trọng được phân phối cùng với mã độc đã triển khai trình đánh cắp trình duyệt, trích xuất và lấy cắp dữ liệu hệ thống cơ bản của nạn nhân, thông tin tài khoản 3CX của nạn nhân và lịch sử trình duyệt từ các trình duyệt Brave, Chrome, Edge và Firefox.

Các biện pháp bảo mật

Các cơ quan đã cung cấp danh sách các biện pháp bảo mật mà các tổ chức nên thực hiện để giảm thiểu mối đe dọa từ các cuộc tấn công chuỗi cung ứng phần mềm.

Một số biện pháp bảo mật quản lý bao gồm:

  • Nâng cao nhận thức của tổ chức bạn về an ninh mạng trong chuỗi cung ứng và nâng cao hiểu biết về vấn đề này.
  • Cung cấp đào tạo về an ninh mạng một cách thường xuyên để giúp các thành viên trong tổ chức của bạn phát hiện các chiến thuật và cuộc tấn công độc hại và báo cáo chúng.
  • Xác định các mối đe dọa đối với chuỗi cung ứng của tổ chức bạn.
  • Xác định mức độ ưu tiên của mối đe dọa và đánh giá tác động khi hoạt động mạng độc hại xảy ra, nhằm loại bỏ điểm mù.
  • Kiểm tra điểm truy cập vào dữ liệu quan trọng và xác định các thành viên cũng như cung cấp cho các thực thể quyền truy cập để giảm thiểu các đặc quyền truy cập.

Một số hành động bảo mật kỹ thuật mà NCSC và NIS tin rằng các tổ chức nên thực hiện bao gồm:

  • Đảm bảo cài đặt các bản cập nhật bảo mật để duy trì phiên bản phần mềm, hệ điều hành và phần mềm chống vi-rút mới nhất, nhằm giảm thiểu các mối đe dọa từ các lỗ hổng đã biết.
  • Áp dụng xác thực hai yếu tố (2FA) cho chính sách đăng nhập quản trị và vận hành, nhằm ngăn chặn việc đăng nhập trái phép từ người dùng trái phép.
  • Giám sát cơ sở hạ tầng mạng để lưu lượng truy cập từ các ứng dụng phần mềm chuỗi cung ứng được tin cậy nhưng có thể phát hiện bất kỳ lưu lượng truy cập bất thường nào.

Nguồn: Infosecurity Magazine