Chiến dịch tấn công mạng có liên kết với TQ đã xâm nhập vào nhiều cơ quan trong chính phủ phương Tây

[trungthuc]

Trung tâm An ninh mạng Quốc gia Hoà Lan cho biết, chiến dịch tấn công mạng của bọn tin tặc TQ có quy mô lớn hơn nhiều so với người ta đã nghĩ trước đây.


(Minh họa)

Theo chính phủ Hoà Lan, một chiến dịch tấn công mạng có liên kết với TQ, đã từng xâm nhập vào mạng lưới phòng thủ của Hoà Lan vào năm ngoái, có quy mô lớn hơn nhiều so với người ta đã nghĩ trước đây, và đã xâm nhập vào hàng chục ngàn hệ thống trong chính phủ và công ty quân sự ở các quốc gia Tây phương.

Chiến dịchnày được gọi là COATHANGER, có liên kết với ĐCSTQ và đã khai thác lỗ hổng zero-day trong hệ thống tường lửa FortiGate được Hoà Lan và các quốc gia châu Âu khác sử dụng trên nhiều mạng của chính phủ. Các lỗ hổng zero-day vẫn tồn tại khi bản cập nhật của phần mềm này lần đầu tiên được phát hành ra.

Báo cáo ban đầu của giới tình báo Hoà Lan, được công bố vào tháng Hai năm nay, cho biết mức thiệt hại từ vụ xâm nhập này đã bị hạn chế do kỹ thuật "phân vùng mạng", một kỹ thuật giúp tách phần hệ thống bị tấn công ra khỏi mạng lưới phòng thủ rộng hơn của quốc gia này.

Tuy nhiên, hôm 10/06/24, Trung tâm An ninh mạng Quốc gia Hoà Lan (NCSC) loan báo rằng, chiến dịch mạng này của bọn tin tặc TQ có quy mô lớn hơn nhiều.

NCSC cho biết COATHANGER đã xâm nhập vào 20,000 hệ thống trên khắp hàng chục hệ thông trong các chính phủ Tây phương, các tổ chức quốc tế, và một số lượng lớn các công ty trong ngành kỹ nghệ quận sự.

Hơn nữa, báo cáo này cho biết, những tên tin tặc đã lợi dụng lần xâm nhập này này để cho cài đặt phần mềm độc hại vào một số mục tiêu bị xâm nhập để bảo đảm có được quyền truy cập liên tục vào các hệ thống đó. Phần mềm độc hại này vẫn chưa bị gỡ bỏ ra.

"Điều này đã cung cấp cho bọn tin tặc đó quyền truy cập vĩnh viễn vào hệ thống", báo cáo cho biết. "Ngay cả khi phía bị hại cài đặt các bản cập nhật bảo mật FortiGate, bọn này vẫn tiếp tục có quyền truy cập như vậy".

"Không biết đã có bao nhiêu bên bị hại thực sự bị cài đặt phần mềm độc hại này". Cơ quan tình báo Hà Lan và NCSC cho rằng, "Có vẻ như bọn tin tặc có thể mở rộng quyền truy cập đến hàng trăm bên bị hại trên toàn thế giới và có thể thực hiện các hành động khác, ví dụ như lấy cắp số liệu" và các tổ chức nên thực hiện ngay các biện pháp cụ thể để làm giảm thiểu hậu quả có thể xảy ra từ quyền truy cập bất hợp pháp đó"v.

Báo cáo ban đầu của Hoà Lan, do Cơ quan An ninh và Tình báo Quân đội , cùng Tổng cục An ninh và Tình báo Hoà Lan đồng loạt cho công bố ra, nhưng không nêu rõ thông tin mà những tin tặc này đang tìm cách chiếm lấy.

Phạm vi của phát hiện mới nhất cho thấy chiến dịch này đã tìm cách giành lấy quyền truy cập liên tục vào các ngành kỹ nghệ quân sự của các quốc gia Tây phương. Tuy nhiên, vẫn chưa rõ liệu tất cả các bên bị hại đều ở các quốc gia NATO hay có chung mối liên hệ nào khác.

Báo cáo của Hoà Lan cho biết, giống như nhiều nhóm tin tặc khác, chiến dịch COATHANGER nhắm mục tiêu vào "các thiết bị ngoại biên" (edge devices) như bức tường lửa, máy chủ VPN, bộ định tuyến, và máy chủ thư điện tử kết nối hệ thống với mạng lưới rộng hơn.

Báo cáo còn cho biết vì khó có thể dự đoán được các lỗ hổng zero-day nên chính phủ đã khuyến cáo áp dụng nguyên tắc "ước lượng về sự xâm nhập".
Điều này có nghĩa là cần ước lượng sự xâm nhập ban đầu và cần nỗ lực để hạn chế mức thiệt hại.

Nhiều báo cáo khác đã phát hiện ra rằng bọn tin tặc được Bắc Kinh hậu thuẫn có dính líu sâu đến cả giới tình báo và cơ quan chấp pháp TQ đứng đằng sau các hoạt động gây ảnh hưởng trên mạng lớn nhất thế giới.

Trước đó trong năm nay, giới đứng đầu tình báo Hoa Kỳ tuyên bố rằng họ đã gỡ bỏ ra phần mềm độc hại của TQ có tên Volt Typhoon, một phần mềm đã được cài lén lút trên hàng trăm thiết bị và đe dọa các cơ sở hạ tầng quan trọng của Hoa Kỳ, trong đó có các hệ thống kiểm soát nguồn nước, năng lượng, dầu thô dự trữ, và không lưu.