KhoGameHub – A Tech & Gaming Forum sharing PC games, console games, retro online titles, and useful software

Amazon vừa xác nhận một chiến dịch tấn công mạng kéo dài nhiều năm, có nguồn gốc liên quan đến Nga, nhắm vào thiết bị của khách hàng sử dụng dịch vụ AWS.

Trong thông báo công khai và các báo cáo truyền thông gần đây, Amazon cho biết họ đã phát hiện và theo dõi một chiến dịch tinh vi kéo dài nhiều năm, tận dụng các thiết bị biên (edge devices) của khách hàng — như router, thiết bị IoT và hệ thống lưu trữ mạng — để thực hiện hoạt động tấn công và che giấu các thao tác độc hại. Công ty nói rằng một số hoạt động có mối liên hệ với địa chỉ IP và các dấu hiệu kỹ thuật được cho là có nguồn gốc từ Nga.

Chi tiết về chiến dịch và phạm vi ảnh hưởng

Amazon không công bố danh sách đầy đủ các khách hàng bị ảnh hưởng hay con số chính xác nhưng mô tả chiến dịch là kéo dài nhiều năm và có cách thức hoạt động phức tạp: các thiết bị biên bị xâm nhập đã được dùng như điểm trung chuyển (proxy) hoặc để duy trì quyền truy cập vào môi trường mạng của khách hàng. AWS cho biết họ đã chủ động phát hiện hành vi bất thường, thực hiện các bước giảm thiểu rủi ro và liên hệ trực tiếp với những khách hàng có thể bị tác động.

Các chuyên gia an ninh mạng nhận định đây không phải là chiến dịch tấn công vào hạ tầng lõi của AWS, mà tập trung vào các thiết bị đầu cuối nằm ngoài phạm vi kiểm soát trực tiếp của nhà cung cấp đám mây — điều làm tăng tính phức tạp khi phân tích và ứng phó. Amazon khuyến nghị khách hàng kiểm tra cấu hình thiết bị, cập nhật firmware, thay đổi mật khẩu mặc định, bật các cơ chế xác thực đa yếu tố và rà soát các luồng lưu lượng đáng ngờ.

Phản ứng của Amazon và hành động khuyến nghị

Theo thông tin được công bố, AWS đã phối hợp nội bộ để cô lập các hoạt động bất thường, đẩy mạnh giám sát và triển khai biện pháp bảo vệ bổ sung cho khách hàng. Amazon cho biết họ đang làm việc với các đối tác an ninh mạng và các cơ quan thực thi pháp luật để điều tra nguồn gốc hoạt động và giảm thiểu ảnh hưởng.

Khuyến nghị dành cho tổ chức và người dùng cá nhân gồm: rà soát danh sách thiết bị kết nối đến hạ tầng đám mây, áp dụng cập nhật bảo mật cho router và thiết bị IoT, thay đổi thông tin đăng nhập định kỳ, triển khai giám sát lưu lượng mạng và phân đoạn mạng để giảm thiểu quyền truy cập ngang (lateral movement). Những biện pháp này là cần thiết vì kẻ tấn công thường lợi dụng lỗ hổng ở thiết bị biên để tiếp cận tài nguyên quan trọng trên đám mây.

Kết luận và những điều cần theo dõi

Sự xác nhận từ Amazon nhấn mạnh một thực tế quan trọng: việc bảo mật môi trường đám mây không chỉ phụ thuộc vào nhà cung cấp dịch vụ mà còn chịu ảnh hưởng lớn từ bảo mật các thiết bị tại biên mạng do khách hàng quản lý. Các tổ chức sử dụng AWS cần xem lại chuỗi an ninh của mình từ thiết bị vật lý tới ứng dụng trên đám mây, đồng thời cập nhật hướng dẫn và quy trình ứng phó sự cố.

Độc giả muốn đọc thêm có thể tham khảo bài viết của Mashable, thông tin tổng quan trên trang an ninh của AWS Security Blog và các bản tin cập nhật từ các hãng tin công nghệ như Reuters để theo dõi diễn biến điều tra và các khuyến cáo bảo mật liên quan.