FireEye: Nhóm tin tặc có liên kết với chính quyền TQ tấn công nhiều mục tiêu của Mỹ

Nhóm an ninh mạng FireEye cho biết hôm 4/3 vừa qua rằng họ đã phát hiện ra bằng chứng cho thấy tin tặc có liên hệ với chính quyền Trung Quốc đã khai thác một lỗ hổng trong ứng dụng email của Microsoft để truy lùng một số mục tiêu của Mỹ, bao gồm một trường đại học và các chính quyền địa phương.

Các nhà phân tích của FireEye đã viết trong một bài đăng trên blog rằng công ty đã xây dựng “khả năng phát hiện với độ chính xác cao hơn” và khởi động nhiều chiến dịch săn lùng mối đe dọa sau khi Microsoft xác nhận vào đầu tuần này rằng một nhóm tin tặc do nhà nước Trung Quốc tài trợ có tên “Hafnium” đã khai thác lỗ hổng trong chương trình Máy chủ thư Exchange của Microsoft.

Bằng cách sử dụng một loạt các phương pháp và công cụ phát hiện của mình, FireEye đã phát hiện rằng “hoạt động do Microsoft báo cáo phù hợp với quan sát của chúng tôi” và cho biết nhóm tin tặc Hafnium đã nhắm mục tiêu vào một loạt nạn nhân, bao gồm “các nhà bán lẻ có trụ sở tại Mỹ, các chính quyền địa phương, một trường đại học và một công ty kỹ thuật,” cũng như một chính phủ Đông Nam Á và một công ty viễn thông Trung Á.

FireEye cho hay rằng nhóm tin tặc Hafnium trước đó đã nhắm mục tiêu vào các trường đại học có trụ sở tại Mỹ, các nhà thầu quốc phòng và nhà nghiên cứu về bệnh truyền nhiễm .

Các nhà phân tích cho biết FireEye hiện đang theo dõi hoạt động độc hại trong 3 nhóm trên, nhưng cảnh báo rằng họ mong đợi sẽ tìm thấy các nhóm khác khi đối phó với các cuộc xâm nhập.

Những nhà phân tích tại FireEye cho biết: “Chúng tôi khuyên bạn nên làm theo hướng dẫn của Microsoft và vá lỗ hổng trong Máy chủ Exchange ngay lập tức để giảm thiểu hoạt động gây hại này.”

Các nhà phân tích cho biết: “Trong các cuộc điều tra của chúng tôi cho đến nay, các web shell (một dạng mã độc) đặt trên Máy chủ Exchange đã được đặt những tên khác nhau trong mỗi lần xâm nhập và do đó, chỉ mình tên tệp không phải là một dấu hiệu có độ chính xác cao cho thấy việc xâm nhập.”

Vụ việc trên diễn ra chỉ vài ngày sau khi Microsoft cho hay trong một bài đăng trên blog rằng chiến dịch tấn công liên kết với chính quyền Trung Quốc đã sử dụng 4 lỗ hổng chưa được phát hiện trước đó trong các phiên bản khác nhau của phần mềm Máy chủ Exchange.

Bộ sản phẩm của Microsoft đã rơi vào tầm ngắm kể từ vụ hack SolarWinds, công ty phần mềm có trụ sở tại Texas, từng là bàn đạp cho một số cuộc xâm nhập giữa chính phủ và khu vực tư nhân. Trong các trường hợp khác, tin tặc đã lợi dụng cách khách hàng cài đặt các dịch vụ của Microsoft để tấn công các mục tiêu hoặc đào sâu hơn vào các mạng bị ảnh hưởng.

Các tin tặc còn đột nhập vào Microsoft, truy cập và tải xuống mã nguồn – bao gồm các thành phần liên quan đến Exchange, email và sản phẩm lịch của công ty.

Trước thông báo của Microsoft, những động thái ngày một hung hăng của các tin tặc bắt đầu thu hút được sự chú ý của cộng đồng an ninh mạng.

Mike McLellan, giám đốc tình báo của Dell Technologies Inc’s Secureworks, cho biết rằng ông đã nhận thấy sự gia tăng đột biến trong hành vi tấn công vào các máy chủ Exchange diễn ra trong đêm ngày 28/2, với khoảng 10 khách hàng của công ty đã bị ảnh hưởng trong vụ việc này.

McLellan cho biết hiện tại, theo quan sát của mình, cuộc tấn công dường như đang tập trung vào việc phát tán phần mềm độc hại, từ đó tạo tiền đề nhằm xâm nhập sâu hơn, thay vì trực tiếp vào hệ thống mạng ngay lập tức.

“Chúng tôi chưa thấy bất kỳ hoạt động tiếp theo nào,” McLellan nói. “Chúng tôi nghĩ rằng nhiều công ty sẽ bị ảnh hưởng nhưng một số ít các công ty nhỏ đã thực sự bị khai thác.”

Microsoft cho biết các mục tiêu tấn công của tin tặc bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, viện chính sách và tổ chức phi chính phủ.

Theo The Epoch Times,

Phan Anh

Xem thêm: