CISA: Tin tặc Trung Quốc khai thác lỗ hổng để thâm nhập vào cơ quan chính phủ Hoa Kỳ
Đầu tuần này, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra một bản tư vấn bảo mật để cảnh báo về một làn sóng tấn công mạng mới được điều khiển bởi một nhóm tin tặc hoạt động dưới sự bảo trợ của nhà nước Trung Quốc, nhằm mục đích thâm nhập vào các cơ quan chính phủ Hoa Kỳ và nhiều tổ chức tư nhân khác.
“CISA đã quan sát thấy những kẻ tấn công mạng có mối liên hệ mật thiết với Bộ An ninh Quốc gia Trung Quốc (MSS) và hoạt động theo chỉ thị của chính phủ Trung Quốc. Chúng sử dụng các nguồn thông tin thương mại có sẵn và các công cụ khai thác mã nguồn mở để nhắm mục tiêu vào các hệ thống của cơ quan Chính phủ Hoa Kỳ,” Cơ quan an ninh mạng này cho biết.
Trong suốt 12 tháng qua, nhóm tin tặc này đã xác định mục tiêu tấn công của mình thông qua các nguồn dữ liệu như Shodan, cơ sở dữ liệu của CVE (Common Vulnerabilities and Exposure) và cơ sở dữ liệu các lỗ hổng bảo mật quốc gia (National Vulnerabilities Database). Chúng đã khai thác các lỗ hổng mới được phát hiện để chọn ra các mục tiêu bị ảnh hưởng và sau đó tiến hành thực hiện ý đồ của mình.
Để giành được quyền truy cập ban đầu vào hệ thống của nạn nhân, nhóm tin tặc đã xâm nhập vào các trang web hợp pháp và lợi dụng các email lừa đảo spear-phishing có chứa đường link độc hại, dụ nạn nhân click vào đó và chuyển hướng họ đến một trang web do chúng sở hữu. Sau đó, kẻ tấn công sẽ cho triển khai các trình đánh cắp thông tin đăng nhập open-source như Cobalt Strike , China Chopper Web Shell , và Mimikatz để trích xuất các thông tin nhạy cảm từ hệ thống bị nhiễm độc.
Nhưng đó chưa phải tất cả. Lợi dụng thực tế là các tổ chức sẽ không ngay lập tức phát hành biện pháp giảm thiểu cho các lỗ hổng mới được phát hiện, những kẻ tấn công này đã “nhắm mục tiêu, quét và thăm dò” các lỗ hổng chưa được vá trong hệ thống của chính phủ Mỹ như lỗ hổng trên F5 Networks Big-IP Traffic Management User Interface ( CVE-2020-5902 ), Citrix VPN ( CVE-2019-19781 ), Pulse Secure VPN ( CVE-2019-11510 ), và lỗ hổng trên Microsoft Exchange Servers ( CVE-2020-0688 ), để khai thác và xâm nhập vào hệ thống mục tiêu.
“Những kẻ tấn công đang tích cực tiếp tục tìm kiếm các kho lưu trữ thông tin đăng nhập lớn, có sẵn trên internet để kích hoạt các cuộc tấn công dò mật khẩu (brute-force),” Cơ quan này cho biết. “Mặc dù loại hoạt động này sẽ không trực tiếp dẫn đến việc khai thác các lỗ hổng mới được phát hiện, nhưng nó đã cho thấy các nhóm tin tặc có thể dễ dàng sử dụng các thông tin nguồn mở sẵn có để thực hiện ý đồ của mình.”
Đây không phải là lần đầu tiên nhóm tin tặc của MSS bị phát hiện thâm nhập vào các ngành công nghiệp trọng điểm của Mỹ và các quốc gia khác.
Tháng 7 vừa qua, Bộ Tư pháp Hoa Kỳ (DoJ) đã phải buộc tội hai công dân Trung Quốc vì bị cáo buộc tham gia vào một chiến dịch tấn công mạng kéo dài hàng thập kỷ, nhắm vào mạng lưới của nhiều công ty khác nhau trải dài từ lĩnh vực sản xuất công nghệ cao, kỹ thuật công nghiệp, quốc phòng, cho đến giáo dục, phát triển game và dược phẩm nhằm đánh cắp bí mật thương mại và các dữ liệu kinh doanh tuyệt mật khác.
Tuy nhiên, không chỉ có mỗi Trung Quốc. Đầu năm nay, công ty bảo mật ClearSky của Israel đã phát hiện ra một chiến dịch gián điệp mạng có tên “ Fox Kitten ” đang nhắm vào các tổ chức chính phủ, hàng không, dầu khí, và các công ty bảo mật bằng cách khai thác các lỗ hổng VPN chưa được vá để xâm nhập và đánh cắp thông tin nhạy cảm từ các công ty mục tiêu. Chiến dịch này đã khiến CISA phải liên tục đưa ra các cảnh báo bảo mật để thúc giục các doanh nghiệp thực hiện bảo mật môi trường VPN của mình.
CISA cho rằng các nhóm tin tặc sẽ tiếp tục lợi dụng các tài nguyên và công cụ mã nguồn mở để tìm kiếm và tấn công các mạng lưới có hệ thống bảo mật yếu. Vậy nên, cơ quan an ninh mạng này đã khuyến nghị các tổ chức nên nhanh chóng vá các lỗ h ổng thường bị khai thác và nên “kiểm tra cấu hình cùng các chương trình quản lý bản vá để có thể theo dõi và giảm thiểu kịp thời các mối đe dọa mới xuất hiện.”
Theo The Hacker News
The post CISA: Tin tặc Trung Quốc khai thác lỗ hổng để thâm nhập vào cơ quan chính phủ Hoa Kỳ appeared first on SecurityDaily .
Related News
Top News
-
![]()
BatBadBut: Lỗ hổng khiến bạn không thể thực thi lệnh một cách an toàn trên WindowsGiới thiệu Gần đây, RyotaK ( @ryotkak ) đã báo cáo chùm lỗ hổng ở một số ngôn ngữ lập trình cho phép kẻ tấn công khai thác lỗi Command Injection...
-
![]()
Google công bố cập nhật bảo mật sử dụng AI cho 3 tỷ người dùng GmailSự kiện Cloud Next 2024 của Google tuy đã kết thúc, nhưng nhiều tin tức quan trọng vẫn tiếp tục được hé lộ. Một trong số đó có thể chính là...
-
![]()
Nhiều botnet khai thác lỗ hổng cũ để tấn công router TP-LinkCó ít nhất sáu mạng botnet khác nhau đang nhắm vào các router TP-Link Archer AX21 (AX1800). Thiết bị này vốn chịu ảnh hưởng từ một lỗ hổng chèn...
-
![]()
Google Postpones Third-Party Cookie Deprecation Amid U.K. Regulatory ScrutinyGoogle has once again pushed its plans to deprecate third-party tracking cookies in its Chrome web browser as it works to address outstanding...
-
![]()
Alert! Cisco Releases Critical Security Updates to Fix 2 ASA Firewall 0-DaysCisco has released critical security updates to address multiple vulnerabilities in its Adaptive Security Appliance (ASA) devices and Firepower...
-
![]()
Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkitCác nhà nghiên cứu đã phát hiện ra quá trình chuyển đổi đường dẫn DOS-to-NT có thể gây ra các lỗ hổng và bị kẻ tấn công khai thác như rootkit...