Mới nhất
Tiêu điểm
Bình luận
Share
Email
Nhóm an ninh mạng cho biết các tin tặc có liên kết với Trung Cộng tấn công nhiều mục tiêu của Hoa Kỳ
Hôm thứ Năm (04/03), nhóm an ninh mạng FireEye cho biết họ đã tìm thấy bằng chứng cho thấy các tin tặc có liên kết với Trung Cộng đã khai thác một lỗ hổng trong một ứng dụng email của Microsoft để truy lùng một số mục tiêu ở Hoa Kỳ, bao gồm cả một trường đại học và các chính quyền địa phương.
Các nhà phân tích của FireEye viết trong một bài đăng trên blog rằng công ty này đã xây dựng “các khả năng phát hiện có độ tin cậy cao hơn” và đã khởi động nhiều chiến dịch săn lùng các mối đe dọa sau khi đầu tuần trước Microsoft xác nhận rằng một nhóm tin tặc do nhà nước Trung Quốc tài trợ có tên “Hafnium” đã khai thác các lỗ hổng trong chương trình email Exchange Server của Microsoft.
Bằng cách sử dụng một loạt các phương pháp và công cụ dò tìm của mình, FireEye phát hiện thấy “hoạt động do Microsoft báo cáo phù hợp với những quan sát của chúng tôi” và nói rằng nhóm tin tặc Hafnium đã nhắm mục tiêu vào một loạt nạn nhân, bao gồm cả “các nhà bán lẻ có trụ sở tại Hoa Kỳ, các chính quyền địa phương, một trường đại học, và một công ty tư vấn kỹ thuật,” cũng như một chính phủ Đông Nam Á và một công ty viễn thông Trung Á.
FireEye cho biết nhóm tin tặc Hafnium trước đó đã nhắm mục tiêu vào các trường đại học, nhà thầu quốc phòng, và các nhà nghiên cứu bệnh truyền nhiễm có trụ sở tại Hoa Kỳ.
Các nhà phân tích cho biết FireEye hiện đang truy vết hoạt động độc hại ở ba cụm, nhưng cảnh báo rằng họ dự kiến sẽ tìm thấy thêm các cụm khác khi những cụm này phản ứng với các cuộc xâm nhập.
Các nhà phân tích nói trên cho biết, “Chúng tôi khuyến nghị làm theo hướng dẫn của Microsoft và vá Exchange Server ngay lập tức để giảm thiểu hoạt động [phá hoại] này.”
Đối với những người đang tìm kiếm bằng chứng xâm phạm tiềm tàng, FireEye khuyến nghị nên kiểm tra các tệp được ghi vào hệ thống bằng w3wp.exe hoặc UMWorkerProcess.exe, các nguồn không tồn tại, và các Tác nhân-Người dùng HTTP (HTTP User-Agents) đáng ngờ hoặc giả mạo.
“Trong các cuộc điều tra của chúng tôi cho đến nay, các vỏ web (web shell) này được đặt trên các máy chủ Exchange Servers đã được đặt tên khác nhau trong mỗi lần xâm nhập, và do đó, chỉ riêng tên tệp không phải là một chỉ báo xâm nhập có độ tin cậy cao,” các nhà phân tích cho biết.
Sự kiện nói trên diễn ra vài ngày sau khi Microsoft cho biết trong một bài đăng trên blog rằng chiến dịch đánh cắp có liên kết với Trung Cộng này đã sử dụng bốn lỗ hổng chưa được phát hiện trước đó trong các phiên bản khác nhau của phần mềm máy chủ Exchange Server.
Bộ sản phẩm của Microsoft đã bị giám sát chặt chẽ kể từ vụ đánh cắp SolarWinds, công ty phần mềm có trụ sở tại Texas từng là bàn đạp cho một số cuộc xâm nhập khắp các cơ quan chính phủ và khu vực tư nhân. Trong các trường hợp khác, tin tặc lợi dụng cách khách hàng vốn đã thiết lập các dịch vụ Microsoft để xâm nhập vào các mục tiêu của họ hoặc thâm nhập sâu hơn vào các mạng lưới đã bị ảnh hưởng.
Các tin tặc vốn lùng theo SolarWinds cũng đã xâm nhập vào chính Microsoft, truy cập và tải xuống mã nguồn—bao gồm cả các hợp phần của Exchange, email của công ty này, và sản phẩm lịch.
Trước khi có thông báo của Microsoft, các hoạt động ngày càng xông xáo của tin tặc đã bắt đầu thu hút sự chú ý của cộng đồng an ninh mạng.
Ông Mike McLellan, giám đốc tình báo cho Secureworks của Công ty Công nghệ đa quốc gia Dell (Dell Technologies Inc), cho biết trước khi có thông báo của Microsoft rằng ông đã nhận thấy sự gia tăng đột biến trong hoạt động liên quan đến các máy chủ Exchange suốt đêm hôm Chủ Nhật, với khoảng 10 khách hàng bị nhiễm tại công ty của ông.
Ông McLellan nói rằng hiện tại, hoạt động đánh cắp mà ông đã thấy dường như tập trung vào việc gieo mầm phần mềm độc hại và tạo tiền đề cho khả năng xảy ra một cuộc xâm nhập sâu hơn, hơn là việc ngay lập tức di chuyển hung hăng vào các mạng lưới.
“Chúng tôi chưa thấy bất kỳ hoạt động tiếp theo nào,” ông nói. “Chúng tôi đang phát hiện ra nhiều công ty đã bị nhiễm nhưng chỉ có một số ít hơn các công ty đã thực sự bị khai thác.”
Microsoft cho biết các mục tiêu bao gồm các nhà nghiên cứu bệnh truyền nhiễm, các công ty luật, các cơ sở giáo dục đại học, các nhà thầu quốc phòng, các tổ chức tư vấn chính sách, và các nhóm phi chính phủ.
Do Tom Ozimek thực hiện
Với sự đóng góp của Reuters
Trường Lê biên dịch
Xem thêm:
