1. SolarWinds

Tháng 12/2020, công ty phần mềm quản lý mạng SolarWinds bị tấn công, gây ảnh hưởng đến hơn 18.000 khách hàng đến từ nhiều cơ quan chính phủ và công ty tư nhân. Đây là cuộc tấn công chuỗi cung ứng lợi dụng các bản cập nhật phần mềm SolarWinds Orion, minh chứng cho tầm quan trọng của các bản cập nhật phần mềm an toàn trong chuỗi cung ứng.

2. Equifax

Năm 2017, công ty báo cáo tín dụng Equifax đã phải chịu một vụ vi phạm dữ liệu lớn ảnh hưởng đến 147 triệu khách hàng. Vụ vi phạm sau đó được cho là do lỗ hổng không được vá trong phần mềm trên trang web của Equifax. Trường hợp này nêu bật tầm quan trọng của việc quản lý bản vá phù hợp trong chuỗi cung ứng phần mềm.

3. CCleaner

Năm 2017, công cụ tối ưu hóa hệ thống phổ biến CCleaner đã bị tấn công và được sử dụng để phân phối phần mềm độc hại. Những kẻ tấn công đã đưa mã độc vào chuỗi cung ứng phần mềm của CCleaner, chứng minh tầm quan trọng của quy trình xác minh và ký mã an toàn.

4. Apple XCodeGhost

Năm 2015, tin tặc nhắm mục tiêu vào các nhà phát triển iOS Trung Quốc bằng cách xâm nhập công cụ phát triển XCode được sử dụng để tạo ứng dụng iOS. Công cụ này đã bị chèn mã độc, tích hợp vào một số ứng dụng iOS trên App Store. Trường hợp này làm nổi bật tầm quan trọng của các công cụ phát triển an toàn và nhu cầu sàng lọc kỹ lưỡng các thành phần của bên thứ ba trong chuỗi cung ứng phần mềm.

5. Not Petya

Cuộc tấn công phần mềm độc hại năm 2017 Not Petya nhắm vào chính phủ và cơ sở hạ tầng của Ukraine và lan sang các quốc gia khác thông qua một cuộc tấn công chuỗi cung ứng vào công ty phần mềm MeDoc. Not Petya được phân phối thông qua bản cập nhật cho MeDoc, một chương trình kế toán thuế được các công ty Ukraine sử dụng rộng rãi. Phần mềm độc hại này khai thác lỗ hổng EternalBlue.

6. Tập đoàn sản xuất chất bán dẫn Đài Loan

Năm 2018, phần mềm độc hại đã lây lan qua hệ thống cập nhật phần mềm của Tập đoàn sản xuất chất bán dẫn Đài Loan (TSMC), khi một nhà cung cấp cài đặt phần mềm bị nhiễm vào một số máy của công ty mà không thực thi quét phần mềm diệt virus. Cuộc tấn công đã ảnh hưởng đến hơn 10.000 thiết bị tại một số cơ sở tiên tiến nhất của TSMC.

7. Panasonic

Tháng 11/2021, vụ vi phạm vào Panasonic đã được tiết lộ. Đây là một cuộc tấn công chuỗi cung ứng điển hình gây ảnh hưởng đến dữ liệu mà các doanh nghiệp chia sẻ như một phần của hoạt động chuỗi cung ứng do bên thứ ba truy cập trái phép vào máy chủ của Panasonic.

8. Wipro

Vụ tấn công nhắm vào nhà cung cấp dịch vụ công nghệ thông tin của Ấn Độ Wipro trong cuộc tấn công năm 2020. Tin tặc đã sử dụng một cuộc tấn công chuỗi cung ứng để truy cập vào mạng của công ty và đánh cắp dữ liệu nhạy cảm của khách hàng. Trong trường hợp này, tin tặc đã sử dụng hệ thống của Wipro để phát động các cuộc tấn công lừa đảo nhằm vào khách hàng. Các cuộc tấn công lừa đảo đã biến Wipro thành một nền tảng để tấn công một số khách hàng và làm nổi bật các rủi ro của bên thứ ba từ các nhà cung cấp dịch vụ.

9. Codecov

Năm 2020, công ty phần mềm Codecov (Hoa Kỳ) đã bị tin tặc truy cập trái phép vào các công cụ phát triển phần mềm và đánh cắp dữ liệu nhạy cảm của khách hàng. Những kẻ tấn công đã khai thác lỗi trong cách Codecov tạo hình ảnh docker. Quá trình này cho phép những kẻ tấn công trích xuất thông tin xác thực từ hình ảnh Docker.

10. Dragonfly 2.0

Vào năm 2014, chiến dịch gián điệp mạng cực kỳ tinh vi Dragonfly 2.0 đã sử dụng các bản cập nhật phần mềm bị xâm phạm để truy cập vào các tổ chức trong ngành năng lượng tại Hoa Kỳ và Châu Âu. Dragonfly 2.0 sử dụng nhiều phương thức lây nhiễm khác nhau để truy cập vào mạng của nạn nhân, bao gồm email độc hại, tấn công Watering hole và phần mềm Trojan. Đáng lưu ý, hãng bảo mật Symantec đã quan sát thấy nhóm Dragonfly xâm phạm phần mềm hợp pháp để phân phối phần mềm độc hại cho nạn nhân.

Mỗi cuộc tấn công chuỗi cung ứng phần mềm đều mang đến những cảnh báo và rút ra bài học quý giá cho ngành công nghệ. Các doanh nghiệp và tổ chức cần xem xét và học hỏi bài học từ những sự cố này, áp dụng các biện pháp bảo vệ thích hợp để giảm thiểu rủi ro và đảm bảo an toàn cho hệ thống của mình.