-
09/04/2020
-
116
-
1.210 bài viết
Salt Typhoon: Chiến dịch APT quy mô toàn cầu và lời cảnh báo từ Bkav
Salt Typhoon, nhóm APT tấn công toàn cầu vừa triển khai một chiến dịch cực kỳ tinh vi khi khai thác lỗ hổng trên các thiết bị biên như Citrix, Ivanti, Fortinet và Cisco để xâm nhập hạ tầng mục tiêu. Sau đó ẩn mã độc dưới vỏ bọc phần mềm hợp pháp, chạy kèm tiến trình của các phần mềm bảo mật, khiến hoạt động gần như không thể bị phát hiện. Thủ đoạn này không chỉ giúp nhóm né tránh các biện pháp phát hiện thông thường mà còn đẩy nguy cơ rò rỉ dữ liệu, gián đoạn hạ tầng và tác động tới an ninh mạng lên mức báo động.
Theo báo cáo của DarkTrace, trong một vụ việc tại một nhà cung cấp viễn thông châu Âu, Salt Typhoon đã xâm nhập mạng nội bộ và triển khai backdoor SNAPPYBEE, lợi dụng tiến trình hợp pháp của các phần mềm bảo mật như Norton Antivirus, Bkav Antivirus và IObit Malware Fighter để chạy ẩn. Thủ thuật “ẩn mình” dưới tiến trình hợp pháp cho thấy nhóm không chỉ nhằm thu thập dữ liệu mà còn muốn duy trì truy cập lâu dài, mở đường cho các cuộc tấn công tiếp theo và chiết xuất metadata quy mô lớn.
Salt Typhoon, với những dấu hiệu liên quan tới Trung Quốc, được ghi nhận đã triển khai các chiến dịch tấn công tinh vi, nhắm tới những hạ tầng trọng yếu trên phạm vi toàn cầu. Được phát hiện lần đầu vào năm 2019 và còn được biết đến với các bí danh Earth Estries, GhostEmperor và UNC2286, nhóm này đã triển khai hàng loạt chiến dịch do thám quy mô lớn, tập trung vào các nhà cung cấp viễn thông, hệ thống năng lượng và cơ quan chính phủ tại hơn 80 quốc gia. Phong cách tấn công của Salt Typhoon thường kết hợp xâm nhập tinh vi, khai thác lỗ hổng phần mềm và các chiến thuật gián điệp mạng, cho thấy họ sở hữu khả năng tổ chức chuyên nghiệp và nguồn lực đáng kể. Các chiến dịch của nhóm không chỉ dừng lại ở việc thu thập dữ liệu tình báo mà còn tiềm ẩn rủi ro tác động đến an ninh và chính sách quốc gia, khi nhóm từng xâm nhập vào hệ thống giám sát hợp pháp, trích xuất dữ liệu quan trọng của hàng triệu người dùng và triển khai mã độc trong các tiến trình bảo mật hợp pháp, khiến những biện pháp phát hiện truyền thống trở nên kém hiệu quả, làm gia tăng nguy cơ tổn thất dữ liệu và gián đoạn hạ tầng trọng yếu trên phạm vi toàn cầu.
Để ứng phó với những chiến dịch tinh vi này, chuyên gia Bkav cho hay: Các tổ chức cần cập nhật đầy đủ các bản vá bảo mật cho tất cả các thiết bị biên, bao gồm router, firewall, gateway hay các thiết bị truy cập từ xa. Việc theo dõi các tiến trình bất thường, đặc biệt là hành vi chạy mã độc thông qua các thư viện DLL hợp pháp, giúp phát hiện sớm các payload chạy ngầm. Đồng thời, các phần mềm hợp pháp cần được kiểm soát chặt chẽ khi có hoạt động bất thường trên mạng và mạng nội bộ nên được phân đoạn hợp lý để hạn chế khả năng kẻ tấn công di chuyển từ máy này sang máy khác.
Ngoài ra, chiến lược giám sát dựa trên hành vi thực tế của tiến trình kết hợp với kiểm tra tính toàn vẹn phần mềm và chuỗi tin cậy là yếu tố sống còn để phát hiện và ứng phó với các APT hiện đại. Việc triển khai đồng bộ các biện pháp này không chỉ giảm nguy cơ bị xâm nhập mà còn giúp tổ chức chủ động phát hiện những mối đe dọa tinh vi trước khi chúng kịp gây thiệt hại nghiêm trọng.
Salt Typhoon tiếp tục chứng minh khả năng tấn công cực kỳ tinh vi, kết hợp khai thác zero-day với kỹ thuật tàng hình, lợi dụng phần mềm tin cậy để duy trì quyền truy cập lâu dài. Chiến thuật này đặt các tổ chức toàn cầu trước nguy cơ bị xâm nhập âm thầm, buộc phải nâng cấp chiến lược phòng thủ và giám sát hành vi mạng nghiêm ngặt hơn bao giờ hết.
Theo báo cáo của DarkTrace, trong một vụ việc tại một nhà cung cấp viễn thông châu Âu, Salt Typhoon đã xâm nhập mạng nội bộ và triển khai backdoor SNAPPYBEE, lợi dụng tiến trình hợp pháp của các phần mềm bảo mật như Norton Antivirus, Bkav Antivirus và IObit Malware Fighter để chạy ẩn. Thủ thuật “ẩn mình” dưới tiến trình hợp pháp cho thấy nhóm không chỉ nhằm thu thập dữ liệu mà còn muốn duy trì truy cập lâu dài, mở đường cho các cuộc tấn công tiếp theo và chiết xuất metadata quy mô lớn.
Trước mức độ tinh vi này, chuyên gia Bkav nhận định: Đây không phải là lỗ hổng trong phần mềm diệt virus mà là kỹ thuật “living off the land” – khi tin tặc lợi dụng chính các thành phần hợp pháp sẵn có trong hệ thống để che giấu hoạt động. Sau khi xâm nhập vào máy nạn nhân thông qua các lỗ hổng zero-day, kẻ tấn công sẽ dò quét các tiến trình đang chạy, rồi ẩn mã độc bên trong những tiến trình bảo mật hợp pháp để tránh bị phát hiện. Cách làm này giúp mã độc “ngụy trang” dưới vỏ bọc phần mềm đáng tin cậy, khiến các công cụ giám sát truyền thống rất khó nhận biết. Theo Bkav, đây là thủ đoạn phổ biến của các nhóm APT hiện nay, cho thấy xu hướng tin tặc ngày càng khai thác niềm tin vào phần mềm hợp pháp thay vì tấn công trực tiếp vào sản phẩm.Salt Typhoon, với những dấu hiệu liên quan tới Trung Quốc, được ghi nhận đã triển khai các chiến dịch tấn công tinh vi, nhắm tới những hạ tầng trọng yếu trên phạm vi toàn cầu. Được phát hiện lần đầu vào năm 2019 và còn được biết đến với các bí danh Earth Estries, GhostEmperor và UNC2286, nhóm này đã triển khai hàng loạt chiến dịch do thám quy mô lớn, tập trung vào các nhà cung cấp viễn thông, hệ thống năng lượng và cơ quan chính phủ tại hơn 80 quốc gia. Phong cách tấn công của Salt Typhoon thường kết hợp xâm nhập tinh vi, khai thác lỗ hổng phần mềm và các chiến thuật gián điệp mạng, cho thấy họ sở hữu khả năng tổ chức chuyên nghiệp và nguồn lực đáng kể. Các chiến dịch của nhóm không chỉ dừng lại ở việc thu thập dữ liệu tình báo mà còn tiềm ẩn rủi ro tác động đến an ninh và chính sách quốc gia, khi nhóm từng xâm nhập vào hệ thống giám sát hợp pháp, trích xuất dữ liệu quan trọng của hàng triệu người dùng và triển khai mã độc trong các tiến trình bảo mật hợp pháp, khiến những biện pháp phát hiện truyền thống trở nên kém hiệu quả, làm gia tăng nguy cơ tổn thất dữ liệu và gián đoạn hạ tầng trọng yếu trên phạm vi toàn cầu.
Để ứng phó với những chiến dịch tinh vi này, chuyên gia Bkav cho hay: Các tổ chức cần cập nhật đầy đủ các bản vá bảo mật cho tất cả các thiết bị biên, bao gồm router, firewall, gateway hay các thiết bị truy cập từ xa. Việc theo dõi các tiến trình bất thường, đặc biệt là hành vi chạy mã độc thông qua các thư viện DLL hợp pháp, giúp phát hiện sớm các payload chạy ngầm. Đồng thời, các phần mềm hợp pháp cần được kiểm soát chặt chẽ khi có hoạt động bất thường trên mạng và mạng nội bộ nên được phân đoạn hợp lý để hạn chế khả năng kẻ tấn công di chuyển từ máy này sang máy khác.
Ngoài ra, chiến lược giám sát dựa trên hành vi thực tế của tiến trình kết hợp với kiểm tra tính toàn vẹn phần mềm và chuỗi tin cậy là yếu tố sống còn để phát hiện và ứng phó với các APT hiện đại. Việc triển khai đồng bộ các biện pháp này không chỉ giảm nguy cơ bị xâm nhập mà còn giúp tổ chức chủ động phát hiện những mối đe dọa tinh vi trước khi chúng kịp gây thiệt hại nghiêm trọng.
Salt Typhoon tiếp tục chứng minh khả năng tấn công cực kỳ tinh vi, kết hợp khai thác zero-day với kỹ thuật tàng hình, lợi dụng phần mềm tin cậy để duy trì quyền truy cập lâu dài. Chiến thuật này đặt các tổ chức toàn cầu trước nguy cơ bị xâm nhập âm thầm, buộc phải nâng cấp chiến lược phòng thủ và giám sát hành vi mạng nghiêm ngặt hơn bao giờ hết.
Theo whitehat.vn
Chỉnh sửa lần cuối: