Hôm 04/03, nhóm an ninh mạng FireEye cho biết họ đã tìm thấy bằng chứng cho thấy các tin tặc có liên kết với Trung Cộng đã khai thác một lỗ hổng trong một ứng dụng email của Microsoft để truy lùng một số mục tiêu ở Hoa Kỳ, bao gồm cả một trường đại học và các chính quyền địa phương.

Các nhà phân tích của FireEye viết trong một bài đăng trên blog rằng công ty này đã xây dựng “các khả năng phát hiện có độ tin cậy cao hơn” và đã khởi động nhiều chiến dịch săn lùng các mối đe dọa, sau khi đầu tuần trước Microsoft xác nhận rằng một nhóm tin tặc do nhà nước Trung Quốc tài trợ có tên “Hafnium” đã khai thác các lỗ hổng trong chương trình email Exchange Server của Microsoft.

Bằng cách sử dụng một loạt các phương pháp và công cụ dò tìm, FireEye phát hiện thấy “hoạt động do Microsoft báo cáo phù hợp với những quan sát của chúng tôi,” và nói rằng nhóm tin tặc Hafnium đã nhắm mục tiêu vào một nhóm nạn nhân, bao gồm “các nhà bán lẻ có trụ sở tại Hoa Kỳ, các chính quyền địa phương, một trường đại học, và một công ty tư vấn kỹ thuật” cũng như một chính phủ Đông Nam Á và một công ty viễn thông Trung Á.

FireEye cho biết nhóm tin tặc Hafnium trước đó đã nhắm mục tiêu vào các trường đại học, nhà thầu quốc phòng, và các nhà nghiên cứu bệnh truyền nhiễm có trụ sở tại Hoa Kỳ.

Các nhà phân tích cho biết FireEye hiện đang truy vết hoạt động độc hại ở ba nhóm, nhưng cảnh báo rằng họ dự liệu sẽ tìm thấy thêm các nhóm khác khi những nhóm này phản ứng với các cuộc xâm nhập.

Các nhà phân tích nói trên cho biết, “Chúng tôi khuyến nghị làm theo hướng dẫn của Microsoft và vá Exchange Server ngay lập tức để giảm thiểu hoạt động phá hoại này.”

Đối với những người đang tìm kiếm bằng chứng xâm phạm tiềm ẩn, FireEye khuyến nghị nên kiểm tra các tệp được ghi vào hệ thống bằng w3wp.exe hoặc UMWorkerProcess.exe, các nguồn không tồn tại, và các Tác nhân-Người dùng HTTP (HTTP User-Agents) đáng ngờ hoặc giả mạo.

Các nhà phân tích cho biết, “Trong các cuộc điều tra của chúng tôi cho đến nay, các vỏ web (web shell) này được đặt trên các Server Exchange đã được đặt tên khác nhau trong mỗi lần xâm nhập, và do đó, chỉ riêng tên tệp không phải là một chỉ báo thỏa hiệp có độ trung thực cao.”

Sự kiện nói trên diễn ra sau vài ngày sau khi Microsoft cho biết trong một bài đăng trên blog rằng chiến dịch đánh cắp có liên kết với Trung Cộng đã sử dụng bốn lỗ hổng chưa được phát hiện trước đó trong các phiên bản khác nhau của nhu liệu Exchange Server.

Các tin tặc có liên kết với Trung Cộng tấn công nhiều mục tiêu của Hoa Kỳ
Biển hiệu Microsoft được trưng trên đỉnh Nhà hát Microsoft ở Los Angeles, California, vào ngày 19/10/2018. (Ảnh: Mike Blake/File/AP)

Bộ sản phẩm của Microsoft đã bị giám sát chặt chẽ kể từ vụ đánh cắp SolarWinds, công ty nhu liệu có trụ sở tại Texas từng là bàn đạp cho một số cuộc xâm nhập khắp chính phủ và khu vực tư nhân. Trong các trường hợp khác, tin tặc lợi dụng cách khách hàng vốn đã thiết lập các dịch vụ Microsoft để xâm nhập vào các mục tiêu của họ hoặc thâm nhập sâu hơn vào các mạng lưới đã bị ảnh hưởng.

Các tin tặc truy lùng SolarWinds cũng đã xâm nhập vào chính Microsoft, truy cập và tải xuống mã nguồn – bao gồm cả các yếu tố của Exchange, email của công ty này, và sản phẩm lịch.

Trước khi có thông báo của Microsoft, các hoạt động ngày càng xông xáo của tin tặc đã bắt đầu thu hút sự chú ý của cộng đồng an ninh mạng.

Ông Mike McLellan, giám đốc tình báo cho Secureworks của Công ty Công nghệ đa quốc gia Dell (Dell Technologies Inc), cho biết trước khi có thông báo của Microsoft, rằng ông đã nhận thấy sự gia tăng đột biến trong hoạt động liên quan đến các máy chủ Exchange vào đêm hôm 28/02, với khoảng 10 khách hàng bị nhiễm tại công ty của ông.

Ông McLellan nói rằng hiện tại, hoạt động đánh cắp mà ông đã thấy dường như tập trung vào việc gieo mầm nhu liệu độc hại và tạo tiền đề cho khả năng xảy ra một cuộc xâm nhập sâu hơn, hơn là việc ngay lập tức di chuyển mạnh mẽ vào các mạng lưới.

Ông nói: “Chúng tôi chưa thấy bất kỳ hoạt động tiếp theo nào. Chúng tôi đang phát hiện ra nhiều công ty đã bị nhiễm, nhưng một số ít các công ty đã thực sự bị khai thác.”

Microsoft cho biết các mục tiêu bao gồm các nhà nghiên cứu bệnh truyền nhiễm, các công ty luật, các cơ sở giáo dục đại học, các nhà thầu quốc phòng, các tổ chức tư vấn chính sách, và các nhóm phi chính phủ.

Bản tin có sự đóng góp của Reuters

Tom Ozimek
Trường Lê biên dịch

Chia sẻ bài viết này tới bạn bè của bạn