Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành lời khuyên mới hôm thứ Hai về một làn sóng tấn công mạng do các tổ chức nhà nước-quốc gia Trung Quốc thực hiện nhằm vào các cơ quan chính phủ Hoa Kỳ và các tổ chức tư nhân.
“CISA đã quan sát tiếng Trung Quốc [Ministry of State Security]- Các tác nhân đe dọa mạng có liên kết hoạt động từ Cộng hòa Nhân dân Trung Hoa sử dụng các nguồn thông tin thương mại sẵn có và các công cụ khai thác mã nguồn mở để nhắm mục tiêu vào các mạng của cơ quan Chính phủ Hoa Kỳ, “cơ quan an ninh mạng cho biết.
Trong 12 tháng qua, các nạn nhân đã được xác định thông qua các nguồn như Shodan, Các lỗ hổng phổ biến và sự phơi nhiễm (CVE) cơ sở dữ liệu và Cơ sở dữ liệu lỗ hổng quốc gia (NVD), khai thác việc phát hành công khai lỗ hổng để chọn các mục tiêu dễ bị tấn công và động cơ của chúng.
Bằng cách xâm phạm các trang web hợp pháp và tận dụng các email lừa đảo có liên kết độc hại trỏ đến các trang web do kẻ tấn công sở hữu để có được quyền truy cập ban đầu, các tác nhân đe dọa Trung Quốc đã triển khai các công cụ mã nguồn mở như Cobalt Strike, Trung Quốc Chopper Web Shellvà Mimikatz kẻ đánh cắp thông tin xác thực để trích xuất thông tin nhạy cảm từ hệ thống bị nhiễm.
Đó không phải là tất cả. Lợi dụng thực tế là các tổ chức không nhanh chóng giảm thiểu các lỗ hổng phần mềm đã biết, những kẻ tấn công do nhà nước tài trợ đang “nhắm mục tiêu, quét và thăm dò” các mạng của chính phủ Hoa Kỳ để tìm ra các lỗ hổng chưa được vá trong Giao diện Người dùng Quản lý Lưu lượng Big-IP của F5 Networks (CVE-2020-5902), Citrix VPN (CVE-2019-19781), Pulse Secure VPN (CVE-2019-11510) và Máy chủ Microsoft Exchange (CVE-2020-0688) để thỏa hiệp các mục tiêu.
Cơ quan này cho biết: “Các tác nhân đe dọa mạng cũng tiếp tục xác định kho lưu trữ lớn thông tin đăng nhập có sẵn trên internet để kích hoạt các cuộc tấn công bạo lực”. “Mặc dù loại hoạt động này không phải là kết quả trực tiếp của việc khai thác các lỗ hổng bảo mật mới nổi, nhưng nó chứng tỏ rằng các tác nhân đe dọa mạng có thể sử dụng hiệu quả thông tin nguồn mở sẵn có để thực hiện mục tiêu của họ.”
Đây không phải là lần đầu tiên các diễn viên Trung Quốc nhân danh MSS của Trung Quốc để thâm nhập vào các ngành công nghiệp khác nhau trên khắp Hoa Kỳ và các nước khác.
Vào tháng 7, Bộ Tư pháp Hoa Kỳ (DoJ) buộc tội hai công dân Trung Quốc vì bị cáo buộc tham gia vào một cuộc tấn công kéo dài hàng thập kỷ bao gồm sản xuất công nghệ cao, kỹ thuật công nghiệp, quốc phòng, giáo dục, phần mềm chơi game và dược phẩm với mục đích đánh cắp bí mật thương mại và thông tin kinh doanh bí mật.
Nhưng không chỉ có Trung Quốc. Đầu năm nay, công ty bảo mật ClearSky của Israel đã phát hiện ra một chiến dịch gián điệp mạng có tên “Cáo mèo con“đã nhắm mục tiêu vào chính phủ, hàng không, dầu khí và các công ty bảo mật bằng cách khai thác các lỗ hổng VPN chưa được vá để xâm nhập và lấy cắp thông tin từ các công ty mục tiêu, khiến CISA phát hành nhiều cảnh báo bảo mật thúc giục các doanh nghiệp bảo mật môi trường VPN của họ.
Tuyên bố rằng các tác nhân đe dọa mạng tinh vi sẽ tiếp tục sử dụng các tài nguyên và công cụ nguồn mở để loại bỏ các mạng có tình trạng bảo mật thấp, CISA đã khuyến nghị các tổ chức vá lỗi các lỗ hổng được khai thác thường xuyênvà “kiểm tra cấu hình và chương trình quản lý bản vá của chúng để đảm bảo chúng có thể theo dõi và giảm thiểu các mối đe dọa mới xuất hiện.”
