Cơ sở hạ tầng quan trọng của Mỹ bị tấn công bởi Typhoon

Từ giữa năm 2021, Volt Typhoon bắt đầu hoạt động.

Theo Microsoft, nhóm tin tặc Volt Typhoon này đang theo đuổi việc tạo ra các khả năng có thể làm gián đoạn cơ sở hạ tầng liên lạc quan trọng giữa Mỹ và khu vực châu Á trong các cuộc khủng hoảng sắp tới. Theo Microsft, nhóm Volt Typhoon được nhà nước bảo trợ và có trụ sở chính tại Trung Quốc.

Từ giữa năm 2021, Volt Typhoon bắt đầu tấn công mạng nhắm mục tiêu vào các tổ chức cơ sở hạ tầng quan trọng trên đảo Guam và một số địa điểm khác của Mỹ. Các tổ chức bị ảnh hưởng trong chiến dịch này thuộc các lĩnh vực truyền thông, sản xuất, lưu thông hàng hóa, giao thông vận tải, xây dựng, hàng hải, hàng hải, công nghệ thông tin, giáo dục và tổ chức chính phủ. Nhóm tin tặc này được cho thấy trong hành vi đã quan sát được rằng có ý định thực hiện hoạt động gián điệp và duy trì quyền truy cập đồng thời ngăn không bị phát hiện càng lâu càng tốt.

Microsoft tuyên bố rằng để đạt được mục tiêu của mình, nhóm tin tặc đã tập trung mạnh vào khả năng tàng hình trong chiến dịch này dựa vào các kỹ thuật sống ngoài đất liền (living-off-the-land techniques) và hoạt động thực hành trên bàn phím (hands-on-keyboard activity). Nhóm tin tặc đưa ra các lệnh thông qua dòng lệnh để thực hiện các nhiệm vụ sau: thu thập dữ liệu, bao gồm dữ liệu đăng nhập từ hệ thống mạng diện rộng và mạng cục bộ; đưa dữ liệu vào tệp lưu trữ để chuyển dữ liệu sang giai đoạn trích xuất; và sử dụng dữ liệu đăng nhập hợp lệ bị đánh cắp để duy trì hoạt động lâu dài. Ngoài ra, Volt Typhoon cố gắng xâm nhập vào hoạt động mạng bình thường bằng cách định tuyến lưu lượng thông qua thiết bị mạng văn phòng nhỏ và văn phòng tại nhà (small office and home office - SOHO) bị xâm phạm, chẳng hạn như bộ định tuyến, tường lửa và phần mềm VPN.

Ngoài ra, Microsoft đã chia sẻ thêm chi tiết về Volt Typhoon. Chiến dịch của nhóm này nhắm mục tiêu vào các nhà cung cấp cơ sở hạ tầng quan trọng và chiến thuật của chúng là đạt được và duy trì quyền truy cập trái phép vào các mạng mục tiêu. Việc phát hiện và giảm thiểu cuộc tấn công này là hết sức khó khăn vì nó dựa trên các tài khoản hợp lệ và các tệp nhị phân sống ngoài đất liền (living-off-the-land binaries - LOLBins). Micrososft đã công bố tiến trình tấn công của Volt Typhoon như sau:

Truy cập ban đầu

Thông qua các thiết bị Fortinet FortiGuard kết nối Internet, nhóm Volt Typhoon kiểm soát quyền truy cập ban đầu vào các tổ chức được nhắm mục tiêu. Chúng cố gắng tận dụng bất kỳ lợi thế nào mà thiết bị Fortinet cung cấp, trích xuất thông tin đăng nhập vào tài khoản Active Directory mà thiết bị sử dụng, sau đó tiến hành xác thực với các thiết bị khác trên mạng bằng những thông tin đăng nhập đó.

Tất cả lưu lượng truy cập mạng của nhóm tới các mục tiêu thông qua các thiết bị biên mạng SOHO bị xâm nhập (bao gồm cả bộ định tuyến) được cung cấp bởi Volt Typhoon. Theo Microsoft, nhiều thiết bị đã bị xâm nhập, bao gồm cả những thiết bị do ASUS, Cisco, D-Link, NETGEAR và Zyxel sản xuất, cho phép chủ sở hữu hiển thị giao diện quản lý HTTP hoặc SSH trên Internet. Volt Typhoon tăng cường khả năng tàng hình cho các hoạt động của nhóm và giảm chi phí đầu tư cho việc mua cơ sở hạ tầng bằng cách quyền thông qua các thiết bị này.

Hoạt động sau hiệp

Các tin tặc bắt đầu tiến hành hoạt động trên bàn phím thông qua dòng lệnh khi nhóm Volt Typhoon có quyền truy cập vào môi trường mục tiêu. Khi người vận hành điều chỉnh và lặp lại các lệnh này nhiều lần, chúng dường như mang tính thăm dò hoặc thử nghiệm.

Nhóm Volt Typhoon hiếm khi sử dụng phần mềm độc hại trong các hoạt động hậu hiệp. Thay vào đó, nhóm dựa vào các lệnh trực tiếp để tìm thông tin trên hệ thống, khám phá các thiết bị bổ sung trên mạng và lọc dữ liệu.

Truy cập thông tin xác thực

Nếu tài khoản mà Volt Typhoon xâm phạm từ thiết bị Fortinet có quyền truy cập đặc quyền, tin tặc sẽ sử dụng tài khoản đó để thực hiện các hoạt động truy cập thông tin xác thực sau.

Dịch vụ Hệ thống con của Cơ quan An ninh Địa phương (LSASS) đang cố gắng kết xuất thông tin xác thực, theo những gì Microsoft đã quan sát thấy Volt Typhoon đang cố gắng tạo ra. Không gian bộ nhớ tiến trình LSASS chứa các giá trị băm cho thông tin đăng nhập hệ điều hành của người dùng hiện đang được sử dụng.

Khám phá Khám phá đã được thực hiện trên các tàu và máy bay của Trung Quốc, bao gồm cả tàu Mã Trung Quốc, tàu Mã Tây Ban Nha và máy bay chở khách, trong số các tàu thuyền khác, tàu Mã Trung Quốc khác, máy bay chở khách, máy móc và các vật dụng khác.

Theo những gì Microsoft đã quan sát được, Volt Typhoon thực hiện nghiên cứu thông tin hệ thống, bao gồm các loại hệ thống tệp, tên ổ đĩa, kích thước và dung lượng trống, các quy trình đang chạy và các mạng mở. Sử dụng PowerShell, dòng lệnh công cụ Quản lý Windows (WMIC) và lệnh ping, nhóm tin tặc cũng cố gắng tìm kiếm các hệ thống khác trên mạng bị xâm nhập. Trong một số ít trường hợp, chúng thậm chí còn tiến hành kiểm tra hệ thống để xem các công cụ đã khám phá được có đang hoạt động trong môi trường ảo hóa hay không.

Sưu tập dữ liệu

Ngoài thông tin chính xác về hệ điều hành và tên miền, Volt Typhoon còn cung cấp dữ liệu từ các ứng dụng trình duyệt web cục bộ. Microsoft cũng đã quan sát thấy một nhóm tin tặc đã dàn dựng dữ liệu được thu thập trong kho lưu trữ và bảo vệ chúng bằng mật khẩu.

Chỉ huy và kiểm soát

Phần lớn thời gian, Volt Typhoon truy cập các hệ thống bị xâm nhập bằng cách đăng nhập bằng dữ liệu xác thực hợp lệ, giống như cách người dùng được quyền thực hiện. Tuy nhiên, trong một số ít trường hợp, Microsoft đã quan sát thấy nhóm điều khiển Volt Typhoon tạo proxy trên các hệ thống bị xâm phạm để tạo điều kiện cho việc truy cập. Chúng thực hiện điều này bằng lệnh netsh portproxy được tích hợp sẵn.

Khi các tổ chức bị Volt Typhoon tấn công, Microsoft đã đưa ra các đề xuất.

Đối với tất cả các tài khoản bị xâm phạm, hãy đóng hoặc thay đổi dữ liệu đăng nhập. Nhiều tài khoản có thể bị ảnh hưởng thuộc vào mức độ hoạt động thu thập dữ liệu. Xác định kết xuất LSASS và tạo phương tiện cài đặt bộ điều khiển miền để xác định các tài khoản bị ảnh hưởng; Kiểm tra hoạt động của các tài khoản bị xâm nhập để tìm ra các hành động độc hại hoặc bất kỳ dữ liệu bị lộ nào.

Chống lại nguy cơ chiến dịch này

Microsoft cũng đề xuất, bằng cách thực hiện các chính sách xác thực đa yếu tố (MFA) mạnh bằng bảo mật phần cứng hoặc Microsoft Authenticator, để giảm khả năng các tài khoản hợp lệ bị xâm phạm bởi các tổ chức thực hiện. Rủi ro từ phương thức truy cập này cũng có thể giảm bớt bằng các kỹ thuật như đăng nhập không cần mật khẩu, quy tắc hết hạn mật khẩu và kích hoạt các tài khoản không sử dụng.

Microsoft khuyên khách hàng nên sử dụng các kỹ thuật nghiệp vụ để giảm bề mặt tấn công hoặc kiểm tra các hoạt động đáng ngờ có liên quan đến mối đe này.

Xung quanh vụ tấn công Volt Typhoon

Việc phát hiện ra Volt Typhoon nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng chặt chẽ nhằm bảo vệ các hệ thống quan trọng. Để chống lại các cuộc tấn công tinh vi như Volt Typhoon, các tổ chức phải thận trọng trong việc giám sát hoạt động mạng của mình và thực hiện các biện pháp phòng vệ thích hợp.

Thông tin về chiến dịch này đã được đưa tin trên một loạt các trang web. Khoảng 7.760.000 kết quả liên quan đến thông tin Volt Typhoon đã được Google thống kê vào khoảng thời gian 10h ngày 27/5, trong 0,42 giây.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống