Microsoft: Tin tặc do Trung Quốc hậu thuẫn khai thác lỗ hổng SharePoint

Bình Minh
•
Thứ Tư, 23/07/2025

Microsoft cáo buộc các nhóm tin tặc được Đảng cộng sản Trung Quốc (ĐCSTQ) hậu thuẫn đã khai thác lỗ hổng trong phần mềm quản lý tài liệu SharePoint của hãng, để tiến hành các cuộc tấn công mạng nhắm vào doanh nghiệp và cơ quan chính phủ trên toàn cầu.

shutterstock 2187868561 — (Ảnh minh họa: Billion Photos/Shutterstock)

Hôm thứ Ba (22/7), Microsoft cho biết họ đã phát cảnh báo bảo mật khẩn cấp, cảnh báo rằng các máy chủ SharePoint, vốn được sử dụng rộng rãi để cộng tác tài liệu và dự án trong các tổ chức chính phủ và doanh nghiệp, đang bị tấn công quy mô lớn.

Ngày 21/7, Microsoft tung ra bản cập nhật bảo mật khẩn cấp nhằm khắc phục hai lỗ hổng zero-day nguy hiểm mới, CVE-2025-53770 và CVE-2025-53771.

Đây là những lỗ hổng cho phép tin tặc thực hiện tấn công thực thi mã từ xa (Remote Code Execution – RCE) trên các máy chủ SharePoint – nền tảng cộng tác doanh nghiệp phổ biến của hãng.

Các tin tặc hiện đang khai thác những lỗ hổng chưa được vá để xâm nhập vào các cơ quan chính phủ và cơ sở hạ tầng trọng yếu trên toàn thế giới, khiến FBI và Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phải vào cuộc khẩn cấp.

Theo các chuyên gia bảo mật, hơn 54 tổ chức đã bị ảnh hưởng trực tiếp và con số này được dự báo sẽ tiếp tục tăng mạnh. Công ty an ninh mạng Censys (Mỹ) ước tính trên 10.000 máy chủ SharePoint trên toàn cầu đang tiềm ẩn nguy cơ bị xâm nhập, đặc biệt tại Mỹ, Hà Lan, Anh và Canada – những quốc gia có số lượng máy chủ lớn nhất.

Microsoft khẳng định các nhóm tin tặc do ĐCSTQ hậu thuẫn tham gia vào hoạt động xâm nhập. Họ cho biết đã theo dõi 2 nhóm “Linen Typhoon” và “Violet Typhoon” lợi dụng lỗ hổng SharePoint để tấn công. Ngoài ra, một nhóm tin tặc khác có mã định danh Storm-2603 cũng bị phát hiện khai thác các lỗ hổng này.

Gã khổng lồ công nghệ Mỹ này nhấn mạnh họ tiếp tục điều tra các nhóm tin tặc khác, đồng thời tin chắc rằng các lỗ hổng vẫn sẽ tiếp tục bị khai thác.

Theo tờ Washington Post, các nhân viên phòng thủ mạng xử lý các vụ xâm nhập của tin tặc cũng xác nhận trong các cuộc phỏng vấn rằng ít nhất một số cuộc tấn công mạng được thực hiện bởi tin tặc có liên hệ với chính phủ Trung Quốc.

Charles Carmakal, Giám đốc Công nghệ của công ty tư vấn an ninh mạng Mandiant (thuộc Google), đánh giá rằng trong số những tin tặc khai thác lỗ hổng sớm nhất, có ít nhất một kẻ có liên quan đến ĐCSTQ.

Một nhà nghiên cứu khác cho biết, điều tra viên liên bang đã có bằng chứng rằng các máy chủ Mỹ bị xâm nhập qua SharePoint đã kết nối với địa chỉ IP tại Trung Quốc vào cuối tuần trước. Hai chuyên gia ứng phó an ninh mạng hợp tác với chính phủ Mỹ cũng xác nhận phát hiện các đợt tấn công sớm từ Trung Quốc.

Cuộc tấn công mới nhất có đặc điểm tương tự như các cuộc tấn công trước đây của tin tặc Trung Quốc.

Ông Michael Sikorski, Giám đốc Công nghệ của công ty an ninh mạng Palo Alto Networks, cho hay tin tặc sau khi xâm nhập hệ thống sẽ cài đặt cửa hậu duy trì quyền truy cập, đánh cắp dữ liệu nhạy cảm và khóa mã, từ đó dễ dàng quay lại hệ thống trong tương lai.

Ông nhấn mạnh điều đáng lo ngại là SharePoint tích hợp chặt chẽ với các nền tảng của Microsoft. Khi bị xâm nhập, việc kiểm soát rất khó khăn, nó mở toang cánh cửa tới toàn bộ mạng lưới.

Đến ngày 21/7, Microsoft đã phát hành bản vá cuối cùng cho tất cả các phiên bản bị ảnh hưởng. Tuy nhiên, công ty cảnh báo rằng ngoài việc cài đặt bản vá, khách hàng còn cần thay đổi khóa mã, triển khai các công cụ chống phần mềm độc hại và rà soát các xâm nhập đã xảy ra.

Washington Post cho biết một số mục tiêu ban đầu của đợt tấn công này là các tổ chức mà chính quyền ĐCSTQ quan tâm. Các nhóm tin tặc cũng cố gắng đánh cắp bí mật doanh nghiệp hoặc cài đặt phần mềm tống tiền để mã hóa dữ liệu quan trọng cho đến khi nạn nhân trả tiền.

Piet Kerkhofs, Giám đốc Công nghệ và đồng sáng lập công ty an ninh mạng Eye Security của châu Âu, nhận xét các vụ khai thác lỗ hổng SharePoint có những đặc điểm tương đồng với các cuộc tấn công trước đây bị quy cho tin tặc Trung Quốc.

Ông dẫn chứng việc các nhóm tin tặc mới đây cũng khai thác một lỗ hổng trong nền tảng ảo hóa NetScaler của Citrix để tiến hành tấn công.

Một số nhà nghiên cứu đã phát hiện ra rằng lỗ hổng này đang bị tin tặc Trung Quốc khai thác. Cuộc tấn công này tương tự như vụ tấn công SharePoint ở chỗ nó biến một lỗ hổng mới được phát hiện thành một phương pháp tấn công hoặc “vũ khí” với tốc độ cực nhanh – vài giờ đến vài ngày.

Các công ty an ninh mạng và giới chức chính phủ cho biết chiến dịch tấn công này đã ảnh hưởng đến các cơ quan và doanh nghiệp trên toàn cầu, bao gồm chính phủ liên bang và tiểu bang Mỹ, công ty năng lượng, trường đại học, hệ thống y tế, cũng như các tổ chức ở châu Âu và châu Á.

Từ khóa hacker microsoft tin tặc Trung Quốc