SonicWall đã chính thức xác định các tác nhân đe dọa do nhà nước hậu thuẫn đứng sau vụ vi phạm an ninh vào tháng 9, dẫn đến việc lộ trái phép các tệp sao lưu cấu hình firewall.
"Hoạt động độc hại – được thực hiện bởi một tác nhân đe dọa do nhà nước hậu thuẫn – chỉ giới hạn ở việc truy cập trái phép các tệp sao lưu đám mây từ một môi trường đám mây cụ thể bằng cách sử dụng một cuộc gọi API," công ty cho biết trong một tuyên bố phát hành tuần này. "Sự cố này không liên quan đến các cuộc tấn công ransomware Akira toàn cầu đang diễn ra nhắm vào firewall và các thiết bị biên khác."
Tiết lộ này được đưa ra gần một tháng sau khi công ty cho biết một bên không được ủy quyền đã truy cập các tệp sao lưu cấu hình firewall của tất cả khách hàng đã sử dụng dịch vụ sao lưu đám mây. Vào tháng 9, họ tuyên bố rằng các tác nhân đe dọa đã truy cập các tệp sao lưu được lưu trữ trên đám mây của dưới 5% số khách hàng của mình.
SonicWall, công ty đã thuê Mandiant thuộc Google để điều tra vụ vi phạm, cho biết sự cố này không ảnh hưởng đến các sản phẩm hoặc firmware của họ, cũng như bất kỳ hệ thống nào khác. Công ty cũng cho biết đã áp dụng nhiều biện pháp khắc phục được Mandiant khuyến nghị để củng cố mạng lưới và cơ sở hạ tầng đám mây của mình, đồng thời sẽ tiếp tục cải thiện tư thế bảo mật.
“Khi các tác nhân đe dọa được nhà nước hậu thuẫn ngày càng nhắm mục tiêu vào các nhà cung cấp bảo mật biên, đặc biệt là những nhà cung cấp phục vụ SMB và môi trường phân tán, SonicWall cam kết củng cố vị thế dẫn đầu của mình đối với các đối tác và khách hàng SMB của họ trên tuyến đầu của sự leo thang này,” công ty nói thêm.
Khách hàng của SonicWall được khuyến nghị đăng nhập vào MySonicWall.com và kiểm tra các thiết bị của họ, đồng thời đặt lại các credentials cho các dịch vụ bị ảnh hưởng, nếu có. Công ty cũng đã phát hành một Online Analysis Tool và Credentials Reset Tool để xác định các dịch vụ cần khắc phục và thực hiện các tác vụ bảo mật liên quan đến credentials, tương ứng.
