Ẩn sau các vụ hack "bom tấn" gần đây là một mối đe dọa tồn tại nhiều năm nay nhưng ít được chú ý đến. Chúng nhằm vào hệ thống mạng riêng ảo (VPN) mà các tổ chức lớn đang sử dụng. Tờ Wired nhận định việc hack VPN có thể xem là một hiểm họa mới của thế giới Internet, đang âm thầm diễn ra với hậu quả khó lường.
Gần đây nhất là cuộc tấn công liên quan đến ứng dụng VPN doanh nghiệp được phát triển bởi Pulse Secure. Vụ tấn công ảnh hưởng đến khoảng 100 công ty, 9 cơ quan liên bang lớn tại Mỹ. Thông qua những lỗ hổng của ứng dụng này, tin tặc được cho đã xâm nhập vào máy tính của nhiều công ty và quan chức chính phủ. Nạn nhân của cuộc tấn công này trải dài trên toàn cầu và nhắm vào những mục tiêu lớn có giá trị như các nhà thầu quốc phòng, tổ chức tài chính và chính phủ.
VPN là một hệ thống mạng riêng ảo có thể kết nối an toàn khi tham gia vào mạng công cộng. Tại các tập đoàn, công ty lớn, cơ sở giáo dục, cơ quan chính phủ đều sử dụng VPN riêng để người dùng kết nối. Do vậy, mỗi người sẽ có một tài khoản xác thực để truy cập vào hệ thống của tổ chức.
“Một khi tin tặc có những thông tin đăng nhập này, họ không còn cần tới những email lừa đảo hoặc các phần mềm độc hại tùy chỉnh để ăn cắp tài khoản”, Sarah Jones, nhà phân tích chính cấp cao tại FireEye cho biết.
FireEye phát hiện những thủ đoạn trên dường như có liên quan tới Trung Quốc và mục tiêu của họ chứa những thông tin nhạy cảm mà các nhóm gián điệp hướng tới. Slowpulse, một trong những phần mềm độc hại được dùng để bỏ qua các tính năng xác thực mặc định.
Ivanti, công ty mẹ của Pulse Secure, quan ngại rằng nếu số người bị ảnh hưởng ngày càng tăng, việc giải quyết triệt để sẽ trở nên khó khăn hơn.
“Để hiểu được các phần mềm độc hại đang làm gì trên hệ thống của Pulse Secure, trước tiên chúng tôi cần phải nắm rõ thông tin của những đoạn mã được tạo bởi kỹ sư của Pulse Secure, điều mà các kẻ tấn công đã tự tìm ra được”, Stephen Eckels, kỹ sư tại FireEye cho biết thêm.
Stephen Eckels cũng cho rằng các doanh nghiệp cần nhanh chóng cải tiến quy trình bảo mật và đón nhận những công nghệ phần cứng mới.
Theo FireEye, các cuộc tấn công VPN này có liên quan tới các lỗ hổng từng được cảnh báo từ năm 2019. Trong thời điểm đó lỗ hổng từ Pulse Secure VPN đã tạo cơ hội cho một nhóm ransomware (mã độc bắt cóc dữ liệu, tống tiền) uy hiếp công ty bảo hiểm du lịch Travelex. Chuyên gia an ninh mạng Troy Mursch cho biết các tổ chức an ninh mạng quốc gia, cơ quan thực thi pháp luật cùng hàng nghìn công ty sẽ có nguy cơ bị tấn công mặc dù được cảnh báo sớm.
Do tính phức tạp của các giao thức bảo mật Internet cùng với xu hướng làm việc từ xa đang gia tăng, các doanh nghiệp càng có nhu cầu dùng VPN để đơn giản hóa việc đăng nhập vào mạng của công ty. Theo Mursch, việc có thêm nhiều lỗ hổng sẽ mở ra nhiều cơ hội cho tin tặc. Tương tự, VPN càng đông người dùng, việc phát hiện kẻ xấu càng khó khăn.
Vijay Sarvepalli, chuyên gia bảo mật cấp cao của CERT, cho rằng VPN mang đến thuận tiện cho các tổ chức lớn. Tuy nhiên, những công ty phát triển VPN chưa xem xét kỹ các rủi ro để chuẩn bị kế hoạch phòng ngừa khi khách hàng của họ bị tấn công.