Khi một trong những "người gác cổng" bảo mật hàng đầu thế giới trở thành nạn nhân của chính những mối đe dọa mà họ chuyên chống lại, câu chuyện trở nên đáng báo động hơn bao giờ hết. Checkmarx - công ty chuyên cung cấp giải pháp bảo mật ứng dụng cho hàng nghìn doanh nghiệp toàn cầu - vừa xác nhận dữ liệu từ GitHub repository của họ đã bị tội phạm mạng công bố trên dark web. Vụ việc này bắt nguồn từ cuộc tấn công chuỗi cung ứng (supply chain attack) diễn ra vào ngày 23 tháng 3 vừa qua. Điều đáng lo ngại là thời gian từ lúc bị tấn công đến khi dữ liệu xuất hiện trên dark web chỉ tính bằng tuần, cho thấy tốc độ khai thác và phát tán thông tin của các nhóm tội phạm mạng ngày càng tinh vi.

Khi "kẻ bảo vệ" trở thành nạn nhân

Theo điều tra sơ bộ của Checkmarx, nhóm tội phạm mạng đã sử dụng cuộc tấn công chuỗi cung ứng ban đầu như một cầu nối để xâm nhập vào GitHub repository của công ty. Supply chain attack là phương thức tấn công gián tiếp, trong đó hacker không tấn công trực tiếp vào mục tiêu chính mà thông qua các nhà cung cấp, đối tác hoặc thành phần phần mềm thứ ba. Checkmarx đang tiến hành điều tra toàn diện để xác định phạm vi thiệt hại cũng như các dữ liệu cụ thể đã bị đánh cắp.

GitHub repository (kho lưu trữ mã nguồn) thường chứa những thông tin nhạy cảm nhất của một công ty công nghệ, bao gồm mã nguồn ứng dụng, tài liệu kỹ thuật nội bộ, API keys và có thể cả thông tin khách hàng. Đối với một công ty bảo mật như Checkmarx, việc mất kiểm soát repository có thể dẫn đến hậu quả nghiêm trọng không chỉ cho chính họ mà còn cho hàng nghìn khách hàng đang sử dụng các sản phẩm của công ty. Chúng tôi cho rằng đây là một trong những vụ vi phạm dữ liệu nghiêm trọng nhất trong ngành bảo mật ứng dụng năm 2024.

Chuỗi tấn công phức tạp từ A đến Z

Supply chain attack đang trở thành xu hướng tấn công được các nhóm tội phạm mạng ưa chuộng do tính hiệu quả cao và khó phát hiện. Thay vì tấn công trực tiếp vào hệ thống được bảo vệ chặt chẽ, hacker tìm cách xâm nhập thông qua "điểm yếu nhất" trong chuỗi cung ứng phần mềm. Trong trường hợp này, kẻ tấn công có thể đã bắt đầu từ một thành phần phần mềm bên thứ ba, một plugin hoặc thậm chí là tài khoản của một nhân viên có quyền truy cập.

Từ điểm xâm nhập ban đầu, hacker đã "leo thang đặc quyền" (privilege escalation) để có được quyền truy cập vào GitHub repository của Checkmarx. Quá trình này có thể mất nhiều tuần hoặc thậm chí tháng để hoàn thành, trong khi hacker âm thầm thu thập thông tin và mở rộng phạm vi kiểm soát. Theo kinh nghiệm của chúng tôi, các cuộc tấn công supply chain thường có thời gian ủ bệnh dài, khiến việc phát hiện và ngăn chặn trở nên cực kỳ khó khăn.

Tác động lan rộng đến hệ sinh thái bảo mật

Checkmarx cung cấp các giải pháp SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) và SCA (Software Composition Analysis) cho hàng nghìn doanh nghiệp trên toàn thế giới, bao gồm nhiều công ty Fortune 500. Việc mã nguồn và dữ liệu nội bộ của Checkmarx bị lộ có thể giúp tội phạm mạng hiểu rõ cách thức hoạt động của các công cụ bảo mật này, từ đó tìm cách vượt qua hoặc vô hiệu hóa chúng.

Tại Việt Nam, nhiều doanh nghiệp lớn trong lĩnh vực ngân hàng, viễn thông và công nghệ cũng đang sử dụng các sản phẩm của Checkmarx để bảo mật ứng dụng. Theo thống kê từ Hiệp hội An ninh mạng Quốc gia, có khoảng 15-20% doanh nghiệp Việt Nam sử dụng các giải pháp SAST/DAST quốc tế, trong đó Checkmarx chiếm thị phần đáng kể. Chúng tôi khuyến cáo các tổ chức này cần đánh giá lại tình trạng bảo mật hiện tại và có kế hoạch ứng phó phù hợp.

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Các doanh nghiệp Việt Nam đang sử dụng sản phẩm của Checkmarx cần thực hiện ngay các bước sau: Đầu tiên, liên hệ trực tiếp với đại diện Checkmarx tại Việt Nam để được thông báo chi tiết về phạm vi ảnh hưởng và các biện pháp khắc phục. Thứ hai, tiến hành kiểm tra toàn diện các hệ thống đã tích hợp với Checkmarx, đặc biệt chú ý đến các API keys, tokens và thông tin xác thực có thể đã bị lộ.

Đồng thời, các CISO (Chief Information Security Officer) cần xem xét việc thay đổi tất cả credentials liên quan đến Checkmarx, cập nhật các chính sách bảo mật nội bộ và tăng cường giám sát các hoạt động bất thường. Về dài hạn, đây là lúc các doanh nghiệp nên đánh giá lại chiến lược đa dạng hóa nhà cung cấp bảo mật, tránh phụ thuộc quá nhiều vào một vendor duy nhất. Theo khuyến nghị của chúng tôi, mỗi doanh nghiệp nên có ít nhất 2-3 giải pháp bảo mật ứng dụng từ các nhà cung cấp khác nhau để giảm thiểu rủi ro từ supply chain attack.