Mạng botnet của nhóm tin tặc Volt Typhoon
Nhóm tin tặc Volt Typhoon (còn được gọi là Bronze Silhouette) sử dụng mạng botnet KV để chiếm quyền điều khiển hàng trăm thiết bị văn phòng nhỏ, văn phòng tại nhà (SOHO), nhằm che dấu các hoạt động độc hại phía sau lưu lượng mạng để tránh bị phát hiện.
Trong báo cáo của hãng bảo mật SecurityScorecard (Mỹ) đầu tháng 01/2024 ước tính rằng tin tặc Volt Typhoon có thể chiếm quyền điều khiển khoảng 30% tất cả các thiết bị Cisco RV320/325 trực tuyến chỉ trong hơn một tháng.
“Phần mềm độc hại Volt Typhoon cho phép các tin tặc Trung Quốc che giấu hoạt động trinh sát trước khi thực hiện các hành vi độc hại chống lại các cơ sở hạ tầng quan trọng như trong lĩnh vực thông tin liên lạc, năng lượng, vận tải và cung cấp nước của Mỹ. Nói cách khác, đây là các bước chuẩn bị của Trung Quốc nhằm trinh sát và tấn công phá hủy cơ sở hạ tầng dân sự quan trọng. Vì vậy, FBI đã thực hiện các hoạt động trên không gian mạng để vô hiệu hóa Volt Typhoon và quyền truy cập mà nó đã kích hoạt”, Giám đốc FBI Christopher Wray cho biết.
Ngày 06/12/2023, FBI lần đầu tiên nhận được lệnh của tòa án cho phép họ gỡ bỏ mạng KV botnet sau khi xâm nhập vào máy chủ điều khiển và ra lệnh (C2). Các đặc vụ FBI đã gửi lệnh đến các thiết bị bị xâm nhập nhằm vô hiệu hóa chúng khỏi mạng botnet và ngăn chặn tin tặc Trung Quốc kết nối lại với mạng độc hại.
Theo thông cáo báo chí của Bộ Tư pháp Mỹ (DOJ) cho biết, phần lớn các thiết bị bị nhiễm phần mềm độc hại botnet KV là bộ định tuyến Cisco và NetGear đã đạt đến trạng thái “end of life”, nghĩa là chúng không còn được hỗ trợ thông qua các bản vá bảo mật của nhà sản xuất hoặc các bản cập nhật phần mềm khác nữa. Hoạt động của FBI đã xóa phần mềm độc hại botnet KV khỏi bộ định tuyến và thực hiện các bước bổ sung để ngắt kết nối với mạng botnet này, chẳng hạn như chặn liên lạc với các thiết bị khác được sử dụng để kiểm soát botnet.
Ngoài ra, DOJ lưu ý rằng chủ sở hữu các thiết bị ảnh hưởng bởi botnet KV có thể khởi động lại bộ định tuyến. Tuy nhiên, nếu việc khởi động mà không kèm theo các bước giảm thiểu tương tự như các bước mà lệnh của tòa án cho phép sẽ khiến thiết bị dễ bị lây nhiễm trở lại.
FBI giải thích việc phá vỡ mạng botnet KV không ảnh hưởng đến khả năng hoạt động của các bộ định tuyến bị tấn công cũng như không thu thập thông tin được lưu trữ.
Ngày 31/01/2024, Cơ quan an ninh mạng và cơ sở hạ tầng Mỹ (CISA) và FBI ban hành hướng dẫn dành cho các nhà sản xuất bộ định tuyến SOHO, kêu gọi họ đảm bảo an toàn trước các cuộc tấn công đang diễn ra của nhóm tin tặc Volt Typhoon.
Các đề xuất bao gồm tự động cập nhật bảo mật và cho phép truy cập vào giao diện quản lý web chỉ từ mạng LAN theo mặc định, cũng như loại bỏ các lỗi bảo mật trong giai đoạn thiết kế và phát triển.
Một báo cáo của Microsoft vào tháng 5/2023 tiết lộ rằng, tin tặc Volt Typhoon đã nhắm mục tiêu và xâm nhập các tổ chức cơ sở hạ tầng quan trọng của Mỹ từ giữa năm 2021. Mạng truyền dữ liệu bí mật botnet KV của nhóm tin tặc Volt Typhoon được sử dụng trong các cuộc tấn công nhắm vào nhiều tổ chức ít nhất kể từ tháng 8/2022, bao gồm các tổ chức quân sự của Mỹ, nhà cung cấp dịch vụ viễn thông và Internet cũng như một công ty năng lượng tái tạo của châu Âu.
Đây không phải là lần đầu tiên các cơ quan chính phủ thực hiện một hoạt động nhằm phá vỡ mạng botnet. Vào tháng 4/2022, FBI đã đánh sập mạng botnet Cyclops Blin, được cho là do các tin tặc được Chính phủ Nga bảo trợ điều hành.
Một hoạt động gần đây hơn diễn ra vào tháng 8/2023, khi các cơ quan thực thi pháp luật từ một số quốc gia đã phá vỡ mạng botnet Qakbot bằng cách buộc các bot tải xuống một mô-đun do FBI tạo ra để làm gián đoạn hoạt động liên lạc với máy chủ C2 của chúng và một chương trình bổ sung để gỡ cài đặt phần mềm độc hại Qakbot.
Hồng Đạt
(Tổng hợp)
10:00 | 21/02/2024
14:00 | 24/08/2023
14:00 | 22/02/2024
14:00 | 19/05/2023
17:00 | 01/03/2024
15:00 | 15/07/2024
08:00 | 12/10/2022
07:00 | 23/09/2024
10:00 | 28/02/2024
14:00 | 14/03/2024
23:00 | 06/10/2024
Ngày 5/10, vòng sơ khảo cuộc thi Sinh viên với An toàn thông tin ASEAN 2024 đã được tổ chức với hình thức trực tuyến, quy tụ gần 1.000 sinh viên đến từ các nước ASEAN.
19:00 | 25/09/2024
Đào tạo, phổ cập Blockchain và AI cho 1 triệu người Việt Nam là mục tiêu lớn mà Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII đề ra từ khi thành lập và nền tảng học trực tuyến MasterTeck là công cụ hữu ích để thực hiện mục tiêu này, giúp tạo ra một thế hệ nhân lực có khả năng dẫn dắt sự phát triển của ngành công nghiệp 4.0 tại Việt Nam.
16:00 | 25/09/2024
Sáng 25/9, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) phối hợp cùng một số cơ quan, đơn vị trong và ngoài Ban Cơ yếu Chính phủ tổ chức khai mạc diễn tập thực chiến đảm bảo an toàn thông tin mạng cho hệ thống công nghệ thông tin tại Ban Cơ yếu Chính phủ năm 2024.
14:00 | 23/09/2024
Được sự đồng ý của Lãnh đạo Ban Cơ yếu Chính phủ, Học viện Kỹ thuật mật mã chủ trì, phối hợp với các đơn vị trong ngành Cơ yếu và một số doanh nghiệp chuyên trách trong lĩnh vực công nghệ thông tin, an toàn thông tin sẽ tổ chức “Cuộc thi An toàn và bảo mật thông tin toàn quốc CIS 2024” (sau đây gọi tắt là Cuộc thi) dành cho học viên, sinh viên các trường đại học.
Ngày 31/10, Bộ Giáo dục và Đào tạo (GD&ĐT) tổ chức Hội nghị tổng kết công tác tổ chức kỳ thi tốt nghiệp THPT giai đoạn 2020 - 2024 và chuẩn bị kỳ thi từ năm 2025. Thứ trưởng Bộ GD&ĐT Phạm Ngọc Thưởng dự và chỉ đạo Hội nghị.
16:00 | 01/11/2024
Trong hai ngày 30, 31/10, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an đã tổ chức Hội thi Kỹ thuật nghiệp vụ mật mã lực lượng Cơ yếu Công an nhân dân năm 2024, với sự tham gia của 136 tuyển thủ xuất sắc đại diện cho 68 cơ quan công an các đơn vị, địa phương trên toàn quốc thi đua, tranh tài.
07:00 | 01/11/2024
Dự án siêu trung tâm dữ liệu AI do Nvidia và tỷ phú Mukesh Ambani khởi xướng được kỳ vọng sẽ biến Ấn Độ thành một trung tâm công nghệ AI hàng đầu thế giới, sánh ngang với Thung lũng Silicon.
07:00 | 07/11/2024