Khi những người bảo vệ trở thành mục tiêu, ai sẽ bảo vệ họ? Câu hỏi này trở nên cấp bách khi nhóm hacker RansomHouse vừa công khai tuyên bố đã xâm nhập thành công vào kho lưu trữ mã nguồn (source code repository) của Trellix - một trong những công ty an ninh mạng hàng đầu thế giới. Để chứng minh lời tuyên bố này không phải "khoe khoang rỗng tuếch", nhóm hacker đã tung ra loạt ảnh chụp màn hình chi tiết từ bên trong hệ thống của Trellix. Sự kiện này một lần nữa đặt ra dấu hỏi lớn về khả năng tự bảo vệ của chính những "người gác cổng" trong thế giới số.

Cuộc tấn công vào "pháo đài" an ninh mạng

Trellix, được hình thành từ việc sáp nhập McAfee Enterprise và FireEye vào năm 2021, đang quản lý hệ thống bảo mật cho hàng triệu thiết bị trên toàn cầu. Source code repository hay kho lưu trữ mã nguồn chính là "bộ não" của mọi công ty công nghệ - nơi chứa toàn bộ thuật toán, logic xử lý và thậm chí cả các lỗ hổng chưa được vá của sản phẩm. Việc mất kiểm soát kho mã nguồn không khác gì việc trao chìa khóa nhà cho kẻ trộm.

RansomHouse - nhóm ransomware (mã độc mã hóa dữ liệu đòi tiền chuộc) nổi tiếng với chiến thuật "leak trước, đòi tiền sau" đã không ngần ngại khoe chiến tích mới nhất. Thay vì im lặng khai thác thông tin, họ chủ động công khai để tạo áp lực tâm lý lên nạn nhân. Chúng tôi cho rằng đây là chiến thuật tâm lý hiệu quả, buộc các công ty phải nhanh chóng đưa ra phản ứng công khai và có thể dẫn đến những quyết định vội vàng trong đàm phán.

Phẫn tích kỹ thuật: Khi "lá chắn" bị thủng lỗ

Source code repository thường được bảo vệ bằng nhiều lớp bảo mật từ xác thực đa yếu tố (Multi-Factor Authentication) đến kiểm soát truy cập dựa trên vai trò (Role-Based Access Control). Việc RansomHouse có thể xâm nhập cho thấy một trong những khâu này đã bị compromise (bị xâm phạm). Theo kinh nghiệm của chúng tôi, phần lớn các cuộc tấn công vào kho mã nguồn bắt đầu từ credential stuffing (tấn công bằng cách sử dụng thông tin đăng nhập bị rò rỉ từ các vụ hack khác) hoặc spear phishing (lừa đảo có mục tiêu cụ thể) nhằm vào các developer có quyền truy cập cao.

Đáng chú ý, RansomHouse không sử dụng mã hóa ransomware truyền thống mà theo đuổi mô hình "extortion without encryption" - tống tiền không mã hóa. Thay vì khóa hệ thống, họ đánh cắp dữ liệu nhạy cảm và đe dọa công khai nếu không được trả tiền. Phương thức này nguy hiểm hơn vì dữ liệu đã rời khỏi tầm kiểm soát của nạn nhân, dù có trả tiền cũng không đảm bảo thông tin sẽ được xóa hoàn toàn.

Tác động domino từ một cuộc tấn công

Mã nguồn của Trellix chứa các thuật toán phát hiện malware, cơ chế hoạt động của firewall và có thể cả các zero-day vulnerability (lỗ hổng chưa được biết đến) mà công ty đang nghiên cứu. Nếu thông tin này rơi vào tay cybercriminal, họ có thể phát triển malware "miễn dịch" với các sản phẩm Trellix hoặc tìm cách khai thác các lỗ hổng để tấn công khách hàng của công ty này. Theo thống kê của Cybersecurity Ventures, thiệt hại trung bình từ một vụ rò rỉ mã nguồn có thể lên đến 4.45 triệu USD.

Tại Việt Nam, nhiều doanh nghiệp lớn và cơ quan chính phủ đang sử dụng giải pháp bảo mật của Trellix. Nếu mã nguồn bị lộ hoàn toàn, các hệ thống này có thể trở thành mục tiêu dễ dàng cho các cuộc tấn công có chủ đích. Cục An toàn thông tin - Bộ TT&TT cần khẩn trương đánh giá lại tình trạng bảo mật của các hệ thống quan trọng đang sử dụng sản phẩm Trellix.

Khuyến nghị bảo vệ khẩn cấp

Các tổ chức đang sử dụng sản phẩm Trellix cần ngay lập tức cập nhật lên phiên bản mới nhất và kích hoạt chế độ Enhanced Monitoring (giám sát nâng cao) để phát hiện các hoạt động bất thường. Đồng thời, cần xem xét triển khai giải pháp Defense in Depth (phòng thủ nhiều lớp) bằng cách kết hợp với các sản phẩm bảo mật từ nhà cung cấp khác để tránh single point of failure (điểm thất bại duy nhất).

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên thực hiện penetration testing (kiểm tra thâm nhập) định kỳ cho hệ thống, đặc biệt tập trung vào các kịch bản tấn công mà kẻ xấu có thể sử dụng nếu nắm được thông tin về cơ chế hoạt động của giải pháp bảo mật. Việc đầu tư vào Threat Intelligence (thông tin tình báo mối đe dọa) cũng trở nên cấp thiết hơn bao giờ hết để có thể chủ động ứng phó với các mối đe dọa mới xuất hiện từ vụ rò rỉ này.