Nạn nhân trong vụ tấn công máy chủ Microsoft của tin tặc Trung Quốc nhiều bằng số 'thiên văn'

Bình luận Văn Thiện • 02:19, 07/03/21

Giúp NTDVN sửa lỗi

Đầu tuần này, một cuộc tấn công, được cho là do nhóm tin tặc Trung Quốc có tên là Hafnium, đã tích cực nhắm mục tiêu vào các máy chủ Microsoft Exchange. Cộng đồng an ninh mạng cảnh báo rằng các lỗ hổng mà tin tặc đang khai thác có thể đã cho phép chúng tấn công vô số tổ chức trên thế giới. 

Theo Wired, các nguồn tin có kiến thức về lĩnh vực này cho biết, Hafnium hiện đã khai thác lỗ hổng zero-day trong Outlook Web Access của máy chủ Microsoft Exchange để xâm phạm bừa bãi hàng chục nghìn máy chủ email. Các cuộc xâm nhập lần đầu tiên được phát hiện bởi công ty bảo mật Volexity, bắt đầu sớm nhất là vào ngày 6/1, với một sự gia tăng đáng chú ý bắt đầu từ thứ Sáu tuần trước và tăng đột biến vào đầu tuần này.

Các tin tặc dường như đã phản ứng với bản vá của Microsoft, được phát hành hôm thứ Ba (ngày 2/3), bằng cách tăng cường và tự động hóa chiến dịch hack của họ. Một nhà nghiên cứu bảo mật tham gia vào cuộc điều tra giấu tên cho biết số lượng máy chủ Exchange bị tấn công là hơn 30.000 máy chủ chỉ riêng ở Hoa Kỳ và hàng trăm nghìn trên toàn thế giới, tất cả đều do cùng một nhóm.

Một cựu quan chức an ninh quốc gia có kiến thức về cuộc điều tra nói với Wired: "Cuộc tấn công rất lớn. Tuyệt đối khổng lồ. Chúng tôi đang nói về hàng nghìn máy chủ bị xâm phạm mỗi giờ, trên toàn cầu”.

Các mạng bị ảnh hưởng, có thể bao gồm mạng của các tổ chức vừa và nhỏ nhiều hơn là các doanh nghiệp lớn có xu hướng sử dụng hệ thống email dựa trên đám mây, dường như đã bị tấn công bừa bãi thông qua quét tự động. Các tin tặc đã tạo ra một "web shell" - một chỗ đứng có thể truy cập từ xa, dựa trên web - trên các máy chủ Exchange mà chúng khai thác. Điều này cho phép chúng thực hiện trinh sát trên các máy mục tiêu và có khả năng di chuyển đến các máy tính khác trong mạng.

Ông Steven Adair, người sáng lập Volexity cho biết theo cách thức xâm nhập kể trên, chỉ một số nhỏ trong số hàng trăm nghìn máy chủ bị tấn công trên khắp thế giới có khả năng bị tin tặc Trung Quốc nhắm mục tiêu tích cực. Tuy nhiên, bất kỳ tổ chức nào không chịu khó loại bỏ cửa hậu do tin tặc tạo ra vẫn có thể bị xâm nhập để đánh cắp dữ liệu hoặc gây ra tình trạng lộn xộn cho đến khi trình web shell đó được gỡ bỏ.

Một nhà nghiên cứu bảo mật tham gia cuộc điều tra nói với Wired rằng, mặc dù phần lớn các vụ xâm nhập dường như chỉ bao gồm các web shell đó, nhưng quy mô lên tới con số "thiên văn" của các vụ xâm nhập toàn cầu lần này là điều đặc biệt đáng lo ngại. Các tổ chức quy mô vừa và nhỏ bị xâm nhập bao gồm các cơ quan chính quyền địa phương, cảnh sát, bệnh viện, phản ứng Covid, năng lượng, giao thông vận tải, sân bay và nhà tù.

Nhà nghiên cứu cho biết: "Trung Quốc vừa làm chủ thế giới - hoặc ít nhất là tất cả mọi người với Outlook Web Access. Lần cuối cùng ai đó bạo gan đến mức xâm phạm tất cả mọi người là khi nào?"

Quân đội Mỹ đang xem xét các mạng của họ sau một vụ tấn công của tin tặc Trung Quốc

Thư ký báo chí Lầu Năm Góc John Kirby nói với các phóng viên tại một nhà báo hôm thứ Sáu (ngày 5/3): “Chúng tôi biết các báo cáo của trung tâm tình báo về mối đe dọa Microsoft. Chúng tôi hiện đang đánh giá mạng lưới của mình để tìm bất kỳ bằng chứng nào về tác động. Chúng tôi cũng đang thực hiện tất cả các bước cần thiết để xác định và khắc phục mọi vấn đề có thể xảy ra liên quan đến tình huống này”.

Lầu Năm Góc thông báo: “Trụ sở Lực lượng chung… đang phối hợp với Cơ quan An ninh Quốc gia và Cơ quan An ninh mạng và Cơ sở hạ tầng về hướng dẫn và chỉ thị để đảm bảo chúng tôi có thể bảo vệ mạng DoD và hệ thống CNTT”.

Trong khi Microsoft đã phát hành các bản vá để bịt lỗ hổng bảo mật, thư ký báo chí Nhà Trắng Jen Psaki đã cảnh báo vào thứ Sáu rằng các cuộc tấn công trong tương lai vẫn là một “mối đe dọa tích cực”.

Bà Psaki nói trong một cuộc họp báo: “Đây là một lỗ hổng đáng kể có thể có tác động sâu rộng. Trước hết, đây là một mối đe dọa chủ động. Chúng tôi lo ngại rằng có một số lượng lớn nạn nhân và chúng tôi đang làm việc với các đối tác của mình để hiểu được phạm vi của vụ việc này”.

Văn Thiện

Theo Weird, Inforwars

Khoa học Công nghệ


BÀI CHỌN LỌC

Nạn nhân trong vụ tấn công máy chủ Microsoft của tin tặc Trung Quốc nhiều bằng số 'thiên văn'