Tin tặc Salt Typhoon khai thác lỗ hổng của Cisco, tấn công mạng viễn thông toàn cầu

Báo cáo mới nhất do công ty an ninh mạng Recorded Future công bố vào tối hôm 12/2 cho thấy, mặc dù đã bị vạch trần vào mùa thu năm ngoái, nhóm tin tặc Trung Quốc “Salt Typhoon” vẫn tiếp tục tấn công vào các mạng viễn thông toàn cầu. Phương pháp tấn công cũng như phạm vi mục tiêu của nhóm này không ngừng mở rộng.

Theo Wired, trước đó tổ chức này đã tấn công vào 9 nhà mạng viễn thông lớn của Hoa Kỳ, và có thể truy cập vào dữ liệu liên lạc của công dân Mỹ theo thời gian thực. Điều này đã gây ra mối lo ngại lớn từ Chính phủ Hoa Kỳ.

Tuy nhiên, việc phơi bày vẫn không thể ngăn cản hoạt động của tổ chức này. Recorded Future đưa tin, chỉ riêng từ tháng 12/2024 – 1/2025, Salt Typhoon đã tấn công vào 5 nhà cung cấp dịch vụ viễn thông và internet trên toàn thế giới, cũng như hơn 10 trường đại học từ bang Utah, Hoa Kỳ đến Việt Nam.

Ông Levi Gundert, người đứng đầu nhóm nghiên cứu tại Recorded Future, cho biết  họ vẫn hoạt động rất tích cực. Mức độ tấn công của họ khiến mạng lưới viễn thông tràn ngập lỗ hổng bị đánh giá thấp nghiêm trọng.

Được biết, các tổ chức bị tấn công bao gồm một nhà cung cấp dịch vụ Internet và công ty viễn thông của Hoa Kỳ, cũng như một công ty con của một công ty viễn thông Anh tại Hoa Kỳ.

Cuộc điều tra mới nhất phát hiện ra rằng tổ chức “Salt Typhoon” chủ yếu thực hiện các cuộc tấn công bằng cách khai thác 2 lỗ hổng trong phần mềm IOS của Cisco. Phần mềm này chạy trên các bộ định tuyến và bộ chuyển mạch của Cisco. Tin tặc có thể khai thác lỗ hổng để chiếm quyền kiểm soát hoàn toàn các thiết bị.

Recorded Future phát hiện ra rằng giao diện mạng của hơn 12.000 thiết bị Cisco đã bị lộ trên Internet. Tin tặc đã tấn công hơn 1.000 thiết bị này, và tập trung vào việc xâm nhập một số mạng viễn thông và trường đại học.

Đáp lại, Cisco cho biết họ đã ban hành thông báo bảo mật liên quan vào năm 2023, và một lần nữa kêu gọi người dùng nâng cấp lên phiên bản phần mềm đã sửa lỗi kịp thời.

Các chuyên gia chỉ ra rằng việc khai thác lỗ hổng trong thiết bị mạng, làm bàn đạp cho hành vi xâm nhập đã trở thành phương thức hoạt động tiêu chuẩn của các nhóm tin tặc Trung Quốc. Những thiết bị như vậy thường thiếu cơ chế bảo vệ an ninh hoàn chỉnh.

Bất chấp một loạt các biện pháp được Chính phủ Hoa Kỳ thực hiện, bao gồm các cảnh báo do Ủy ban Truyền thông Liên bang (FCC) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đưa ra, cũng như các lệnh trừng phạt do Bộ Tài chính áp dụng đối với các cơ quan liên quan, hoạt động của tổ chức Salt Typhoon vẫn không hề giảm sút.

Ngày 17/1 năm nay, Bộ Tài chính Hoa Kỳ vừa áp đặt lệnh trừng phạt đối với Công ty TNHH Công nghệ mạng Tứ Xuyên Juxinhe, bị cáo buộc có liên quan đến tổ chức này.

Cựu giám đốc FBI Christopher Wray từng mô tả các cuộc xâm nhập trước đây của nhóm này là chiến dịch gián điệp mạng lớn nhất trong lịch sử của Trung Quốc.

Để ứng phó với mối đe dọa, thậm chí các cơ quan thực thi pháp luật Hoa Kỳ còn khuyến cáo mọi người sử dụng các ứng dụng liên lạc được mã hóa đầu cuối, nhằm ngăn chặn dữ liệu liên lạc bị đánh cắp.

Ngoài các cơ quan của Hoa Kỳ, các công ty viễn thông ở Nam Phi và Thái Lan và một nhà cung cấp dịch vụ Internet ở Ý cũng trở thành nạn nhân của làn sóng xâm nhập mới nhất này.

Về giáo dục đại học, các mục tiêu bao gồm các trường đại học ở Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Việt Nam và các quốc gia khác, cũng như các trường đại học ở Mỹ như Đại học California, Đại học bang California, Đại học Utah Tech và Đại học Loyola.

Ông Jon Condra, một nhà phân tích tại Recorded Future cảnh báo, họ đang trở nên táo bạo hơn trong các hành động của mình. Quy mô các cuộc tấn công của họ có thể lớn hơn nhiều so với những gì đã được phát hiện cho đến nay.

Công ty đã phát hiện ra các cuộc xâm nhập bằng cách theo dõi cơ sở hạ tầng chỉ huy và kiểm soát của Salt Typhoon, nhưng cho biết có thể có nhiều nạn nhân chưa được phát hiện.

• AT&T và Verizon của Mỹ lần đầu thừa nhận bị tin tặc Trung Quốc tấn công

Cao Vân / Vision Times