Các cuộc tấn công mạng của Trung Quốc bị nghi ngờ nhằm vào các điệp viên ngầm của Hoa Kỳ
Theo Black Lotus Labs, bộ phận nghiên cứu mối đe dọa của Lumen Technologies, tin tặc đã khai thác lỗ hổng bảo mật zero-day trong Versa Director - phần mềm được các ISP sử dụng rộng rãi để bảo mật hoạt động mạng - gây ảnh hưởng đến một số công ty internet tại Hoa Kỳ (US) và nước ngoài.
Lumen nghi ngờ các cuộc tấn công có thể xuất phát từ Trung Quốc.
Người quản trị này bị xâm phạm quá, Câu hỏi đặt ra là liệu các tài khoản đã bị hack hay người Trung Quốc được người trong cuộc cấp quyền truy cập?)
Tin tặc Trung Quốc đột nhập vào tài khoản chính phủ và quân đội Hoa Kỳ https://t.co/bbL3zRKMdi
— Pog (@OSINT220) ngày 27 tháng 8 năm 2024
Lumen lưu ý:
“Dựa trên các chiến thuật và kỹ thuật đã biết và quan sát được, Black Lotus Labs cho rằng việc khai thác lỗ hổng zero-day CVE-2024-39717 và việc sử dụng hoạt động của shell web VersaMem với mức độ tin cậy vừa phải là do các tác nhân đe dọa do nhà nước Trung Quốc tài trợ có tên là Volt Typhoon và Bronze Silhouette thực hiện.”
Các nhà nghiên cứu của Lumen đã xác định được bốn nạn nhân người Mỹ và một nạn nhân nước ngoài, mục tiêu được cho là bao gồm nhân viên chính phủ và quân đội làm việc bí mật, cũng như các nhóm khác có lợi ích chiến lược đối với Trung Quốc.
Các nhà nghiên cứu cảnh báo rằng lỗ hổng này vẫn còn hiệu lực đối với các hệ thống Versa Director chưa được vá.
Brandon Wales, cựu giám đốc điều hành Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), đã nhấn mạnh sự tinh vi ngày càng tăng của các cuộc tấn công mạng từ Trung Quốc và kêu gọi tăng cường đầu tư vào an ninh mạng.
CISA báo cáo rằng tin tặc Trung Quốc và những kẻ khác đã xâm nhập vào các tiện ích và hệ thống quan trọng của Hoa Kỳ trong vòng 5 năm và duy trì quyền truy cập.
Điều này đáng báo động và có thể dẫn đến hậu quả lớn. Sợ rằng cuối cùng nó sẽ sụp đổ. pic.twitter.com/xLXqm3OeDj
— Dagnum P.I. (@Dagnum_PI) Ngày 27 tháng 8 năm 2024
Ông bày tỏ:
“Trung Quốc tiếp tục nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ. Việc vạch trần các nỗ lực của Volt Typhoon rõ ràng đã dẫn đến những thay đổi về chiến thuật, thủ đoạn mà họ đang sử dụng, nhưng chúng tôi biết rằng họ vẫn tiếp tục cố gắng xâm phạm cơ sở hạ tầng quan trọng của Hoa Kỳ mỗi ngày.”
Black Lotus Labs nhấn mạnh mức độ nghiêm trọng của lỗ hổng bảo mật và kêu gọi các tổ chức sử dụng Versa Director nâng cấp lên phiên bản 22.1.4 trở lên.
Trung Quốc phủ nhận cáo buộc
Trung Quốc đã phủ nhận cáo buộc, tuyên bố rằng "Volt Typhoon" thực chất là một nhóm tội phạm mạng chuyên tống tiền tự nhận mình là "Dark Power" và không được bất kỳ quốc gia hay khu vực nào tài trợ.
Người phát ngôn của đại sứ quán Lưu Bằng Vũ đã đưa ra lời phủ nhận này và người phát ngôn Bộ Ngoại giao Trung Quốc Lâm Kiện cũng đồng tình trong một cuộc trao đổi với tờ Hoàn cầu Thời báo vào ngày 15 tháng 4.
Theo phát hiện, Volt Typhoon đã sử dụng một web shell chuyên dụng có tên là "VersaMem" để thu thập thông tin đăng nhập của người dùng.
Tổng quan về quy trình khai thác Versa Director và chức năng web shell VersaMem
VersaMem là một phần mềm độc hại tinh vi có thể xâm nhập vào nhiều quy trình khác nhau và điều khiển mã Java của các máy chủ dễ bị tấn công.
Nó hoạt động hoàn toàn trong bộ nhớ, khiến cho việc phát hiện trở nên đặc biệt khó khăn.
Máy chủ Versa Director bị nhắm mục tiêu trong Exploit
Lỗ hổng này nhắm cụ thể vào các máy chủ Versa Director, thường được các nhà cung cấp dịch vụ internet và dịch vụ được quản lý sử dụng, khiến chúng trở thành mục tiêu chính cho các tác nhân đe dọa muốn xâm nhập vào hệ thống quản lý mạng doanh nghiệp.
Versa Networks đã xác nhận lỗ hổng bảo mật này vào thứ Hai, lưu ý rằng nó đã bị khai thác "trong ít nhất một trường hợp đã biết".
Theo Lumen, web shell VersaMem lần đầu tiên được phát hiện trên VirusTotal vào ngày 7 tháng 6, ngay trước khi xảy ra vụ khai thác ban đầu.
Ảnh chụp màn hình từ VirusTotal cho VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) hiển thị 0 phát hiện
Phần mềm độc hại này được biên dịch bằng Apache Maven, bao gồm các bình luận bằng chữ Trung Quốc trong mã và vẫn chưa bị phần mềm diệt vi-rút phát hiện cho đến giữa tháng 8.
