tin tặc trung quốc nhắm vào các công ty viễn thông lớn ở đông nam á

Ravie Lakshmanan, Thehackernews

Ba nhóm khác nhau hoạt động vì lợi ích bắt nguồn từ Trung Quốc đã thực hiện một loạt các cuộc tấn công nhằm vào các mạng của ít nhất năm công ty viễn thông lớn đặt tại các quốc gia Đông Nam Á kể từ năm 2017.

"Mục tiêu của những kẻ tấn công đằng sau những cuộc xâm nhập này là giành được và duy trì quyền truy cập liên tục vào các nhà cung cấp dịch vụ viễn thông và tạo điều kiện cho hoạt động gián điệp mạng bằng cách thu thập thông tin nhạy cảm, xâm phạm các tài sản kinh doanh cao cấp như máy chủ thanh toán chứa dữ liệu Bản ghi chi tiết cuộc gọi (CDR), cũng như các thành phần mạng quan trọng như Bộ điều khiển miền, Máy chủ Web và máy chủ Microsoft Exchange ", Lior Rochberger của Cybereason, Tom Fakterman, Daniel Frank và Assaf Dahan tiết lộ trong một phân tích kỹ thuật được công bố hôm thứ Ba.

Công ty an ninh mạng có trụ sở tại Boston đã liên kết các chiến dịch với ba tác nhân đe dọa khác nhau của Trung Quốc, đó là Gallium (hay còn gọi là Soft Cell), Naikon APT (còn gọi là APT30 hoặc Lotus Panda) và TG-3390 (còn gọi là APT27 hoặc Emissary Panda).

Hoạt động xung quanh ba cụm này bắt đầu vào năm 2017, trong khi các cuộc tấn công liên quan đến Gallium lần đầu tiên được quan sát thấy vào quý 4 năm 2020, với nhóm Naikon nhảy vào băng khai thác lần cuối vào quý 4 năm 2020. Cả ba hoạt động gián điệp được cho là đã tiếp tục tất cả đến giữa năm 2021.

Gọi những kẻ tấn công là "thích ứng cao", các nhà nghiên cứu chỉ ra nỗ lực bền bỉ của chúng để theo dõi và duy trì sự hiện diện trên các điểm cuối bị nhiễm, đồng thời thay đổi chiến thuật và cập nhật các biện pháp phòng thủ của họ để thỏa hiệp và mở cửa hậu máy chủ email Microsoft Exchange chưa được vá bằng cách sử dụng khai thác ProxyLogon đã được công bố vào đầu tháng Ba này.

Các nhà nghiên cứu lưu ý: "Mỗi giai đoạn của hoạt động thể hiện sự thích nghi của những kẻ tấn công trong cách họ phản ứng với các nỗ lực giảm thiểu khác nhau, thay đổi cơ sở hạ tầng, bộ công cụ và kỹ thuật trong khi cố gắng trở nên lén lút hơn", các nhà nghiên cứu lưu ý.


Mặt khác, Naikon được phát hiện sử dụng một cửa hậu có tên là "Nebulae" cũng như một keylogger trước đây có tên là "EnrollLoger" tập trung vào tài sản quan trọng được chọn. Cần chỉ ra rằng việc Naikon sử dụng lần đầu tiên xuất hiện vào tháng 4 năm 2021 khi kẻ thù bị cho là đứng sau một chiến dịch gián điệp mạng trên diện rộng nhắm vào các tổ chức quân sự ở Đông Nam Á.

Bất kể chuỗi tấn công là gì, một thỏa hiệp thành công sẽ kích hoạt một chuỗi các bước, cho phép các tác nhân đe dọa thực hiện trinh sát mạng, đánh cắp thông tin xác thực, di chuyển bên và xâm nhập dữ liệu.

Cụm Emissary Panda là cụm lâu đời nhất trong ba cụm, chủ yếu liên quan đến việc triển khai cửa hậu OWA (Outlook Web Access) dựa trên .NET tùy chỉnh, được sử dụng để lấy cắp thông tin đăng nhập của người dùng đăng nhập vào các dịch vụ OWA của Microsoft, cấp cho những kẻ tấn công khả năng tiếp cận môi trường một cách lén lút.

Cũng cần lưu ý là sự chồng chéo giữa các nhóm về mặt nạn nhân và việc sử dụng các công cụ chung như Mimikatz, với ba nhóm được phát hiện trong cùng một môi trường mục tiêu, trong cùng khung thời gian và thậm chí trên cùng hệ thống.

"Tại thời điểm này, không có đủ thông tin để xác định một cách chắc chắn bản chất của sự chồng chéo này - cụ thể là, liệu các cụm này có đại diện cho công việc của ba tác nhân đe dọa khác nhau làm việc độc lập hay không, hay liệu các cụm này đại diện cho công việc của ba nhóm khác nhau hoạt động thay mặt của một tác nhân đe dọa duy nhất, "các nhà nghiên cứu cho biết.

"Giả thuyết thứ hai là có hai hoặc nhiều tác nhân đe dọa Trung Quốc với các chương trình / nhiệm vụ khác nhau nhận thức được công việc của nhau và thậm chí có khả năng làm việc song song."

Giải pháp tường lửa thông minh của WatchGuard được xây dựng theo cấu trúc đa lớp, phân tầng kết hợp trí thông minh nhân tạo và máy học giúp kiểm soát và ngăn chặn tối đa các tác nhân gây hại cho hệ thống mạng một cách tự động. Kết hợp phiên bản end-point Panda Adaptive Defense 360 bảo vệ máy tính người dùng khõi các phần mềm độc hại gia tăng thêm khả năng chống chọi với các mối đe dọa ngày càng tăng.

Hơn nữa, tích hợp các công nghệ bảo mật hàng đầu trong một giải pháp duy nhất mang lại sự trải nghiệm tối ưu về mặt sử dụng và chi phí đầu tư.

Hỗ trợ các nền tảng từ phần cứng, ảo hóa đến cloud mang lại sự linh hoạt cho nhiều loại hình dịch vụ.

Nền tảng xác thực đa lớp MFA thông qua mobile là một bước tiến nổi bật của WatchGuard không chỉ giúp đảm bảo an toàn cho tài khoản người dùng khi sử dụng dịch vụ cloud, đăng nhập máy tính, kết nối VPN và nhiều dịch vụ khác.




Nhà phân phối giải pháp Firewall WatchGuard:

ITMAP ASIA JSC

555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM

Email: info@itmapasia.com

Đt: 028 5404 0717 - 5404 0799