Tin tặc Trung Quốc qua lỗ hổng zero-day xâm nhập các cơ quan chính quyền địa phương Mỹ

Thu Sinh
•
Thứ Tư, 28/05/2025

Trong thời gian gần đây, một tổ chức tin tặc Trung Quốc đã lợi dụng một lỗ hổng “zero-day” (còn gọi là lỗ hổng thời gian bằng 0) đã được vá trong phần mềm Cityworks của công ty Trimble để xâm nhập vào nhiều cơ quan chính quyền địa phương của Mỹ.

Hacker Trung Quoc — (Ảnh minh họa: Shutterstock)

Cityworks là phần mềm quản lý tài sản và đơn đặt hàng công việc dựa trên Hệ thống Thông tin Địa lý (Geographic Information System, GIS), do công ty Trimble sở hữu. Phần mềm này chủ yếu được sử dụng bởi các chính quyền địa phương, các tổ chức công ích và công trình công cộng nhằm giúp quản lý tài sản công, xử lý giấy phép, bằng cấp và đơn đặt hàng công việc.

Tổ chức tin tặc Trung Quốc có tên UAT-6382 đã lợi dụng lỗ hổng zero-day trong phần mềm Cityworks – được công ty Trimble vá vào đầu tháng Hai năm 2025, với mã CVE-2025-0994. Đây là một lỗ hổng nghiêm trọng liên quan đến việc giải mã dữ liệu (deserialization), cho phép kẻ tấn công đã xác thực có thể thực thi mã từ xa trên máy chủ Dịch vụ thông tin Internet (Internet Information Services, IIS) của Microsoft.

Diễn biến sự việc

Nhóm nghiên cứu tình báo an ninh mạng Talos của Cisco cho biết các cuộc tấn công này bắt đầu từ tháng 1/2025, khi nhóm lần đầu phát hiện dấu hiệu hoạt động do thám trong mạng của các tổ chức bị tấn công.

Các nhà nghiên cứu bảo mật Asheer Malhotra và Brandon White của Cisco Talos cho biết: “Talos đã phát hiện hành vi xâm nhập trong mạng doanh nghiệp của chính quyền địa phương Hoa Kỳ, bắt đầu từ tháng 01/2025. Sau khi giành được quyền truy cập, nhóm UAT-6382 cho thấy rõ ràng sự quan tâm đặc biệt đến các hệ thống liên quan đến quản lý công ích.”

Sau khi do thám, nhóm tin tặc nhanh chóng triển khai một loạt Web Shell và một công cụ tải mã độc do chúng tự phát triển bằng ngôn ngữ Rust có tên TetraLoader, nhằm phục vụ hoạt động dài hạn.

Hai chuyên gia cho biết: “Các công cụ backdoor dạng Web Shell mà tin tặc sử dụng bao gồm AntSword, chinatso/Chopper và các công cụ tải lên tệp thông dụng, tất cả đều chứa thông tin bằng tiếng Trung giản thể. Công cụ tùy chỉnh TetraLoader được phát triển bằng bộ công cụ mã độc có tên ‘MaLoader cũng được viết bằng tiếng Trung giản thể.”

Web Shell thường là các đoạn mã độc ngắn được viết bằng các ngôn ngữ lập trình phổ biến, được cài vào máy chủ web để kẻ tấn công có thể truy cập và điều khiển máy chủ từ xa, đánh cắp dữ liệu hoặc biến máy chủ thành bàn đạp cho các cuộc tấn công khác. Thông qua công cụ TetraLoader, tin tặc đã triển khai các phần mềm độc hại như Cobalt Strike beacon và VSHell, cài đặt cửa hậu trên các hệ thống bị nhiễm để duy trì quyền truy cập lâu dài.

Cảnh báo liên bang yêu cầu khẩn cấp vá lỗ hổng

Khi Trimble phát hành bản cập nhật vá lỗ hổng CVE-2025-0994 vào đầu tháng Hai, công ty cảnh báo rằng kẻ tấn công đã cố gắng khai thác lỗ hổng này để xâm nhập vào một số hệ thống triển khai phần mềm Cityworks.

Ngày 7/2, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã đưa CVE-2025-0994 vào danh sách “lỗ hổng đã biết bị khai thác” (Known Exploited Vulnerabilities – KEV) và theo “Hướng dẫn vận hành ràng buộc số 22-01” (BOD 22-01 (Binding Operational Directive 22-01，BOD 22-01) ban hành từ tháng 11/2021, yêu cầu tất cả các cơ quan liên bang phải hoàn tất việc vá lỗi trong vòng 3 tuần.

CISA cảnh báo: “Các lỗ hổng kiểu này là phương tiện tấn công phổ biến của tin tặc mạng độc hại, đặt ra rủi ro nghiêm trọng cho các tổ chức liên bang.”

Chỉ vài ngày sau, ngày 11/2, CISA đã phát hành một khuyến cáo bổ sung, yêu cầu các tổ chức trong các lĩnh vực như xử lý nước và nước thải, năng lượng, giao thông, dịch vụ và cơ sở chính phủ, cũng như ngành truyền thông “phải cài đặt phiên bản cập nhật ngay lập tức”.

Do mức độ nghiêm trọng của các cuộc tấn công, vụ việc đã thu hút sự chú ý đáng kể sau khi lỗ hổng bị phát hiện, và gần đây các chi tiết sâu hơn đã được công bố.

Truy tố và trừng phạt tin tặc Trung Quốc

Những tin tặc Trung Quốc bị cáo buộc đe dọa an ninh mạng Mỹ đã bị truy tố và trừng phạt trong nhiều vụ việc gần đây. Các tin tặc này được cho là thuộc các tổ chức mạng độc hại có hậu thuẫn của chính quyền Đảng Cộng sản Trung Quốc (ĐCSTQ).

Ngày 5/3, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Mỹ (OFAC) tuyên bố trừng phạt Zhou Shuai và công ty của ông là Shanghai Heiying Information Technology. Zhou Shuai đã hợp tác với một tin tặc khác từng bị Mỹ trừng phạt là Yin Kechen để chiếm đoạt và bán dữ liệu nhạy cảm từ hệ thống hạ tầng trọng yếu của Mỹ.

Cùng ngày, tòa án liên bang Mỹ đã truy tố 12 công dân Trung Quốc vì tham gia vào các hoạt động tấn công mạng độc hại, thực hiện nhiều vụ tấn công quy mô lớn nhắm vào các doanh nghiệp và cá nhân – trong đó có cả Tập đoàn Truyền thông Epoch Times.

Theo cáo trạng do Bộ Tư pháp Mỹ công bố, từ năm 2016 đến 2023, 8 nhân viên của công ty i-Soon và 2 quan chức Bộ Công an ĐCSTQ đã tiến hành các vụ xâm nhập quy mô lớn vào tài khoản email, điện thoại, máy chủ và trang web ở nước ngoài để thu thập thông tin nhạy cảm, cung cấp cho chính quyền Trung Quốc và thu lợi nhuận hàng triệu USD. Thông tin cho thấy i-Soon đã thu về hàng chục triệu đô từ các hoạt động này.

Ngoài ra, hai thành viên của nhóm tin tặc APT-27 cũng bị cáo buộc kể từ năm 2013 đã lợi dụng lỗ hổng mạng để cài mã độc như trojan PlugX và liên tục lấy cắp dữ liệu, sau đó bán cho Bộ An ninh Quốc gia và Bộ Công an ĐCSTQ thông qua công ty i-Soon.