Đầu tuần này, tin tặc Trung Quốc đã tích cực nhắm mục tiêu vào các máy chủ Microsoft Exchange. Một nhóm tin tặc được gọi là Hafnium đã đột nhập vào nhiều máy chủ mà chúng có thể tìm thấy trên Internet toàn cầu, dùng các cửa hậu - backdoor để quay lại sau đó.
Nhóm tin tặc Hafnium hiện đã khai thác lỗ hổng zero-day trong Outlook Web Access của máy chủ Exchange của hãng Microsoft - để xâm phạm hơn hàng chục nghìn máy chủ email, theo các nguồn tin cung cấp cho tờ Wired.
Các cuộc xâm nhập, lần đầu tiên được phát hiện bởi công ty bảo mật Volexity - bắt đầu sớm nhất là vào ngày 6 tháng 1 và tăng đột biến vào đầu tuần này. Các tin tặc dường như đã phản ứng với “bản vá” của Microsoft - được phát hành hôm thứ Ba (ngày 2/3) bằng cách tăng cường và tự động hóa chiến dịch hack của họ.
Một nhà nghiên cứu bảo mật tham gia vào cuộc điều tra cho biết rằng số lượng máy chủ Exchange bị tấn công là hơn 30.000 máy chủ - chỉ riêng ở Hoa Kỳ, và hàng trăm nghìn máy chủ khác trên toàn thế giới; tất cả đều do cùng một nhóm hack, trích dẫn các nguồn báo cáo cho các quan chức an ninh quốc gia.
Một cựu quan chức an ninh quốc gia cho biết: "Vụ việc rất lớn… Chúng tôi đang nói về hàng nghìn máy chủ bị xâm phạm mỗi giờ, trên toàn cầu".
‘Đó là một quả bom hẹn giờ đang đếm’
Trong cuộc họp báo chiều thứ Sáu (ngày 5/3), thư ký báo chí Nhà Trắng Jen Psaki đã cảnh báo rằng bất kỳ ai đang chạy các máy chủ Exchange phải thực hiện “bản vá lỗ hổng bảo mật” của Microsoft ngay lập tức.
"Chúng tôi lo ngại rằng có một số lượng lớn nạn nhân, và chúng tôi đang làm việc với các đối tác của mình để tìm hiểu về phạm vi của việc này", bà Psaki cho biết, trong một trường hợp hiếm hoi khi Thư ký báo chí Nhà Trắng bình luận về các lỗ hổng an ninh mạng cụ thể.
"Chủ sở hữu mạng cũng cần phải xét xem liệu họ đã bị xâm nhập hay chưa và ngay lập tức nên thực hiện các bước thích hợp", lời khuyên của Nhà Trắng được lặp lại một dòng tweet từ cựu giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng Chris Krebs vào tối thứ Năm (ngày 4/3) - khuyên bất kỳ ai có máy chủ Exchange bị lộ nên "giả định thỏa hiệp" và bắt đầu các biện pháp ứng phó để xóa quyền truy cập của tin tặc.
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs) March 5, 2021
Các mạng của các tổ chức vừa và nhỏ có thể bị ảnh hưởng nhiều hơn là các doanh nghiệp lớn - có xu hướng sử dụng hệ thống email dựa trên đám mây. Các tin tặc đã tạo ra một trang mạng giả "web shell" - có thể truy cập từ xa, dựa trên các máy chủ Exchange mà chúng khai thác, cho phép chúng thực hiện việc do thám trên các máy mục tiêu và có khả năng di chuyển đến các máy tính khác trong mạng.
Điều đó có nghĩa là chỉ một số nhỏ trong số hàng trăm nghìn máy chủ bị tấn công trên khắp thế giới - có khả năng bị tin tặc Trung Quốc nhắm mục tiêu, theo Steven Adair, người sáng lập Volexity cho biết.
Tuy nhiên, bất kỳ tổ chức nào không xóa backdoor của tin tặc sẽ vẫn bị xâm nhập, và tin tặc có thể xâm nhập vào mạng của họ để đánh cắp dữ liệu hoặc gây ra tình trạng lộn xộn cho đến khi trang web đó được gỡ bỏ.
Ông Adair nói: "Đó là một quả bom hẹn giờ có thể được sử dụng để chống lại chúng bất cứ lúc nào".
Mặc dù phần lớn các vụ xâm nhập dường như chỉ bao gồm các web shell đó, quy mô "khổng lồ" của các vụ xâm nhập toàn cầu là điều đặc biệt đáng lo ngại, một nhà nghiên cứu bảo mật cho biết.
Các tổ chức quy mô vừa và nhỏ bị xâm nhập bao gồm các cơ quan thuộc chính quyền địa phương, cảnh sát, bệnh viện, lực lượng phản ứng Covid, năng lượng, giao thông vận tải, sân bay và nhà tù.
"Trung Quốc vừa làm chủ thế giới, hoặc ít nhất là với tất cả những nạn nhân dùng Outlook Web Access. Lần cuối cùng có ai đó dám bạo gan đến mức tấn công bất kỳ ai là khi nào vậy?”, nhà nghiên cứu Adair nói.
Nhóm tin tặc ‘được nhà nước bảo trợ và hoạt động bên ngoài Trung Quốc’
Trên thực tế, chiến dịch xâm nhập hàng loạt gần đây nhất được đưa ra ánh sáng là vào tháng 12/2020, với tiết lộ rằng tin tặc Nga đã xâm nhập các công cụ quản lý công nghệ thông tin từ Solar Winds - vốn được 18.000 tổ chức sử dụng. Chiến dịch hack đó đã xâm phạm thành công ít nhất 5 cơ quan liên bang của Hoa Kỳ. Trong khi chiến dịch hack Hafnium Exchange này được cho là chiến dịch hack thứ hai ở quy mô đó, chỉ vài tháng sau chiến dịch đầu tiên.
-
- Bộ Năng lượng (DOE) cho biết họ đã bị tấn công bởi một phần mềm độc hại xâm nhập vào mạng của họ sau khi cập nhật SolarWinds. (Ảnh minh họa. Getty Images)
Cuộc tấn công khai thác Exchange của tin tặc Trung Quốc dường như chỉ mới bắt đầu vài tháng trước, trái ngược với chiến dịch gián điệp SolarWinds âm thầm kéo dài hơn một năm của Nga. Và danh sách nạn nhân của Hafnium dường như hạn chế hơn - chủ yếu là các tổ chức vừa và nhỏ, trong khi SolarWinds tấn công các cơ quan chính phủ lớn của Hoa Kỳ.
Các nhà điều tra vẫn chưa xác định được chính xác động cơ của chúng, hoặc ai là tin tặc Hafnium - ngoài sự khẳng định của Microsoft rằng chúng được nhà nước bảo trợ và hoạt động bên ngoài Trung Quốc.
Một cựu quan chức an ninh quốc gia Hoa Kỳ đã đề cập đến Bộ An ninh Quốc gia Trung Quốc, nói rằng: "Đây là một nhà thầu hay một nhóm ủy nhiệm, hay là một nhóm tội phạm mạng của Trung Quốc? Có phải chúng là một nhóm diễn viên bất hảo ở Trung Quốc đã đi quá xa?"
Mặc dù chiến dịch hack có thể nhằm tạo ra một mạng lưới rộng lớn, trước khi lọc ra các mục tiêu cho hoạt động gián điệp, nhà nghiên cứu bảo mật đã cảnh báo rằng nó có thể gây ra những tác động gián đoạn. Ông nói: “Nếu họ đẩy virus mã hóa ransomware đến mức này, chúng ta sẽ có một ngày tồi tệ nhất từ trước đến nay”.
Nhưng không giống như sự cố SolarWinds, nhà nghiên cứu chỉ ra rằng chiến dịch hack Exchange đã bị phát hiện sớm - có thể giúp nạn nhân có cơ hội “vá lại” hệ thống của họ và loại bỏ tin tặc trước khi chúng có thể tận dụng chỗ đứng của mình.
Thiện Nhân
Theo Wired
