Công ty Redmond, Washington là người dùng của Orion, phần mềm quản lý mạng được triển khai rộng rãi từ SolarWinds Corp, được sử dụng trong các cuộc tấn công nghi ngờ của Nga vào các cơ quan quan trọng của Hoa Kỳ và những nơi khác.
“Giống như các khách hàng khác của SolarWinds, chúng tôi đã tích cực tìm kiếm các chỉ số của nhân tố này và có thể xác nhận rằng chúng tôi đã phát hiện thấy các mã nhị phân Solar Winds độc hại trong môi trường của chúng tôi, chúng tôi đã cô lập và xóa bỏ”, phát ngôn viên của Microsoft nói và cho biết thêm rằng công ty đã phát hiện “hệ thống của chúng tôi đã được sử dụng để tấn công người khác. "
Một trong những người quen thuộc với cuộc tấn công cho biết các tin tặc đã sử dụng các dịch vụ đám mây của Microsoft trong khi tránh cơ sở hạ tầng công ty của Microsoft.
Tuy nhiên, một người khác quen thuộc với vấn đề này cho biết Bộ An ninh Nội địa (DHS) không tin rằng Microsoft là một con đường lây nhiễm mới.
Cả Microsoft và DHS, trước đó vào thứ Năm cho biết tin tặc đã sử dụng nhiều phương pháp xâm nhập, đang tiếp tục điều tra.
FBI và các cơ quan khác đã lên lịch một cuộc họp mật cho các thành viên của Quốc hội vào thứ Sáu 18/12 (giờ Mỹ).
Bộ Năng lượng Hoa Kỳ cũng cho biết họ có bằng chứng tin tặc đã truy cập vào mạng của họ như một phần của chiến dịch hack.
Politico trước đó đã đưa tin Cơ quan Quản lý An ninh Hạt nhân Quốc gia (NNSA), cơ quan quản lý kho vũ khí hạt nhân của Mỹ, đã bị nhắm mục tiêu.
Một phát ngôn viên của Bộ Năng lượng cho biết phần mềm độc hại “chỉ ảnh hưởng các mạng doanh nghiệp” và không ảnh hưởng đến an ninh quốc gia của Hoa Kỳ, bao gồm cả NNSA.
DHS cho biết trong một bản tin hôm thứ Năm, các tin tặc đã sử dụng các kỹ thuật khác ngoài việc làm hỏng các bản cập nhật của phần mềm quản lý mạng của SolarWinds được hàng trăm nghìn công ty và cơ quan chính phủ sử dụng.
CISA kêu gọi các nhà điều tra không nên cho rằng tổ chức của họ an toàn nếu họ không sử dụng các phiên bản gần đây của phần mềm SolarWinds, đồng thời chỉ ra rằng tin tặc cũng không khai thác mọi mạng mà họ có quyền truy cập.
CISA cho biết họ đang tiếp tục phân tích các con đường khác được những kẻ tấn công sử dụng. Cho đến nay, các tin tặc được biết là ít nhất đã theo dõi email hoặc dữ liệu khác trong các Bộ Quốc phòng, Bộ Ngoại giao, Kho bạc, An ninh Nội địa và Thương mại Hoa Kỳ.
Theo SolarWinds, có tới 18.000 khách hàng của Orion đã tải xuống các bản cập nhật có cửa sau. Kể từ khi chiến dịch bị phát hiện, các công ty phần mềm đã cắt đứt liên lạc từ những cửa sau đó tới các máy tính do tin tặc duy trì.
Nhưng những kẻ tấn công có thể đã cài đặt các cách bổ sung để duy trì quyền truy cập, CISA cho biết. Đây có thể là vụ hack lớn nhất trong một thập kỷ.
Bộ Tư pháp, FBI và Bộ Quốc phòng, trong số những người khác, đã chuyển giao tiếp thông thường sang các mạng bảo mật được cho là không bị xâm phạm.
CISA và các công ty tư nhân bao gồm FireEye Inc, công ty đầu tiên phát hiện và tiết lộ rằng nó đã bị tấn công, đã đưa ra một loạt manh mối để các tổ chức tìm kiếm xem liệu họ có bị tấn công hay không.
Tuy nhiên, những kẻ tấn công rất cẩn thận và đã xóa nhật ký, hoặc dấu chân điện tử hoặc tệp nào chúng đã truy cập, các chuyên gia bảo mật cho biết. Điều đó khiến các nhà điều tra khó biết những gì đã được lấy đi.
Một số công ty lớn cho biết họ “không có bằng chứng” cho thấy họ đã bị xâm nhập, nhưng trong một số trường hợp, đó có thể chỉ là do bằng chứng đã bị xóa.
Trong hầu hết các mạng, những kẻ tấn công cũng có thể tạo dữ liệu giả, nhưng cho đến nay có vẻ như chúng chỉ quan tâm đến việc lấy dữ liệu thực, những người theo dõi cho biết.
Trong khi đó, các thành viên Quốc hội đang yêu cầu thêm thông tin về những gì có thể đã được thực hiện và cách thức của chúng, cùng với những người đứng sau vụ hack.
Ủy ban An ninh Nội địa và Ủy ban Giám sát Hạ viện Mỹ đã công bố một cuộc điều tra hôm thứ Năm, trong khi các thượng nghị sĩ buộc phải tìm hiểu liệu thông tin thuế cá nhân có bị thu thập hay không.
Trong một tuyên bố, Tổng thống đắc cử Joe Biden cho biết ông sẽ "nâng cao an ninh mạng như một mệnh lệnh của chính phủ" và "phá vỡ và ngăn chặn các đối thủ của chúng ta" khỏi việc thực hiện các vụ hack lớn như vậy.