Volt Typhoon đã hoạt động từ giữa năm 2021
Microsoft đánh giá với mức độ không chắc chắn rằng, nhóm tin tặc Volt Typhoon này đang theo đuổi việc phát triển các khả năng có thể làm gián đoạn cơ sở hạ tầng liên lạc quan trọng giữa Mỹ và khu vực châu Á trong các cuộc khủng hoảng trong tương lai. Microsft cũng nhận định, nhóm Volt Typhoon được nhà nước bảo trợ có trụ sở tại Trung Quốc.
Volt Typhoon đã hoạt động tấn công mạng từ giữa năm 2021 và nhắm mục tiêu vào các tổ chức cơ sở hạ tầng quan trọng ở đảo Guam và một vài nơi khác tại Mỹ. Trong chiến dịch này, các tổ chức bị ảnh hưởng bao gồm các lĩnh vực truyền thông, sản xuất, lưu thông hàng hoá, giao thông vận tải, xây dựng, hàng hải, công nghệ thông tin, giáo dục và tổ chức chính phủ. Qua hành vi đã quan sát được cho thấy rằng, nhóm tin tặc này có ý định thực hiện hoạt động gián điệp và duy trì quyền truy cập đồng thời tránh không bị phát hiện càng lâu càng tốt.
Microsoft cho rằng, để đạt được mục tiêu của mình, nhóm tin tặc đã tập trung mạnh vào khả năng tàng hình trong chiến dịch này dựa vào các kỹ thuật sống ngoài đất liền (living-off-the-land techniques) và hoạt động thực hành trên bàn phím (hands-on-keyboard activity). Nhóm tin tặc đưa ra các lệnh thông qua dòng lệnh để thực hiện các mục đích sau: Thu thập dữ liệu, bao gồm thông tin đăng nhập từ hệ thống mạng diện rộng và mạng cục bộ; Đưa dữ liệu vào tệp lưu trữ để chuyển dữ liệu sang giai đoạn trích xuất và sau đó sử dụng thông tin đăng nhập hợp lệ bị đánh cắp để duy trì hoạt động lâu dài. Ngoài ra, Volt Typhoon cố gắng xâm nhập vào hoạt động mạng bình thường bằng cách định tuyến lưu lượng thông qua thiết bị mạng văn phòng nhỏ và văn phòng tại nhà (small office and home office - SOHO) bị xâm phạm, bao gồm bộ định tuyến, tường lửa và phần cứng VPN.
Microsoft cũng chia sẻ thêm thông tin về Volt Typhoon, chiến dịch của nhóm này nhắm mục tiêu vào các nhà cung cấp cơ sở hạ tầng quan trọng và chiến thuật của chúng là nhằm đạt được và duy trì quyền truy cập trái phép vào các mạng mục tiêu. Vì hoạt động này dựa trên các tài khoản hợp lệ và các tệp nhị phân sống ngoài đất liền (living-off-the-land binaries - LOLBins), nên việc phát hiện và giảm thiểu cuộc tấn công này là hết sức khó khăn. Tiến trình tấn công của Volt Typhoon được Micrososft công bố như sau:
Truy cập ban đầu
Nhóm Volt Typhoon chiếm quyền truy cập ban đầu vào các tổ chức được nhắm mục tiêu thông qua các thiết bị Fortinet FortiGuard kết nối Internet. Chúng cố gắng tận dụng bất kỳ đặc quyền nào mà thiết bị Fortinet cung cấp, trích xuất thông tin đăng nhập vào tài khoản Active Directory mà thiết bị sử dụng, sau đó tiến hành xác thực với các thiết bị khác trên mạng bằng những thông tin đăng nhập đó.
Volt Typhoon ủy quyền tất cả lưu lượng truy cập mạng của nhóm tới các mục tiêu thông qua các thiết bị biên mạng SOHO bị xâm nhập (bao gồm cả bộ định tuyến). Microsoft nhận thấy rằng, nhiều thiết bị đã bị xâm nhập, trong đó có cả những thiết bị do ASUS, Cisco, D-Link, NETGEAR và Zyxel sản xuất, cho phép chủ sở hữu hiển thị giao diện quản lý HTTP hoặc SSH trên Internet. Bằng cách ủy quyền thông qua các thiết bị này, Volt Typhoon tăng cường khả năng tàng hình cho các hoạt động của nhóm và giảm chi phí đầu tư cho việc mua cơ sở hạ tầng.
Hoạt động sau thỏa hiệp
Khi nhóm Volt Typhoon có quyền truy cập vào môi trường mục tiêu, các tin tặc bắt đầu tiến hành hoạt động trên bàn phím thông qua dòng lệnh. Một số lệnh này có vẻ mang tính thăm dò hoặc thử nghiệm khi người vận hành điều chỉnh và lặp lại chúng nhiều lần.
Nhóm Volt Typhoon hiếm khi sử dụng phần mềm độc hại trong các hoạt động hậu thỏa hiệp. Thay vào đó, nhóm dựa vào các lệnh trực tiếp để tìm thông tin trên hệ thống, khám phá các thiết bị bổ sung trên mạng và lọc dữ liệu.
Truy cập thông tin xác thực
Nếu tài khoản mà Volt Typhoon xâm phạm từ thiết bị Fortinet có quyền truy cập đặc quyền, thì tin tặc sẽ sử dụng tài khoản đó để thực hiện các hoạt động truy cập thông tin xác thực sau.
Microsoft đã quan sát thấy Volt Typhoon đang cố gắng kết xuất thông tin xác thực thông qua Dịch vụ Hệ thống con của Cơ quan An ninh Địa phương (LSASS). Không gian bộ nhớ tiến trình LSASS chứa các giá trị băm cho thông tin đăng nhập hệ điều hành của người dùng hiện đang sử dụng.
Khám phá
Microsoft đã quan sát thấy, Volt Typhoon thực hiện khám phá thông tin hệ thống, bao gồm các loại hệ thống tệp; tên ổ đĩa, kích thước và dung lượng trống; các quy trình đang chạy và các mạng mở. Nhóm tin tặc cũng cố gắng khám phá các hệ thống khác trên mạng bị xâm nhập bằng cách sử dụng PowerShell, dòng lệnh công cụ Quản lý Windows (WMIC) và lệnh ping. Trong một số ít trường hợp, chúng còn chạy kiểm tra hệ thống để xác định xem các công cụ đã khám phá được có đang hoạt động trong môi trường ảo hóa hay không.
Sưu tập dữ liệu
Ngoài thông tin xác thực về hệ điều hành và tên miền, Volt Typhoon còn cung cấp thông tin từ các ứng dụng trình duyệt web cục bộ. Microsoft cũng đã quan sát thấy nhóm tin tặc đã dàn dựng dữ liệu được thu thập trong kho lưu trữ và bảo vệ chúng bằng mật khẩu.
Chỉ huy và kiểm soát
Trong hầu hết các trường hợp, Volt Typhoon truy cập các hệ thống bị xâm nhập bằng cách đăng nhập bằng thông tin xác thực hợp lệ, giống như cách người dùng được ủy quyền thực hiện. Tuy nhiên, trong một số ít trường hợp, Microsoft đã quan sát thấy nhóm điều khiển Volt Typhoon tạo proxy trên các hệ thống bị xâm nhập để tạo điều kiện thuận lợi cho việc truy cập. Chúng thực hiện điều này bằng lệnh netsh portproxy được tích hợp sẵn.
Các khuyến cáo của Microsoft khi các tổ chức bị Volt Typhoon tấn công
Đóng hoặc thay đổi thông tin đăng nhập cho tất cả các tài khoản bị xâm phạm. Tùy thuộc vào mức độ hoạt động thu thập, nhiều tài khoản có thể bị ảnh hưởng. Xác định kết xuất LSASS và tạo phương tiện cài đặt bộ điều khiển miền để xác định các tài khoản bị ảnh hưởng; Kiểm tra hoạt động của các tài khoản bị xâm nhập để tìm ra các hành động độc hại hoặc bất kỳ dữ liệu bị lộ nào.
Chống lại nguy cơ chiến dịch này
Microsoft cũng khuyến cáo, để giảm thiểu nguy cơ tài khoản hợp lệ bị xâm phạm các tổ chức thực hiện bằng cách thực thi các chính sách xác thực đa yếu tố (MFA) mạnh bằng khóa bảo mật phần cứng hoặc Microsoft Authenticator. Các biện pháp như đăng nhập không cần mật khẩu, quy tắc hết hạn mật khẩu và hủy kích hoạt các tài khoản không sử dụng cũng có thể giúp giảm thiểu rủi ro từ phương thức truy cập này.
Microsoft khuyến cáo khách hàng nên sử dụng các biện pháp nghiệp vụ để giảm bề mặt tấn công hoặc kiểm tra các hoạt động đáng ngờ có liên quan đến mối đe dọa này.
Xung quanh vụ tấn công Volt Typhoon
Việc phát hiện ra Volt Typhoon nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng chặt chẽ nhằm bảo vệ đối với các hệ thống trọng yếu. Các tổ chức cần phải thận trọng trong việc giám sát hoạt động mạng của mình và thực hiện các biện pháp phòng vệ thích hợp để chống lại các cuộc tấn công tinh vi như Volt Typhoon.
Một loạt trang web đã đưa tin về chiến dịch này. Đến 10h ngày 27/5, Google thống kê được khoảng 7.760.000 kết quả có liên quan đến thông tin Volt Typhoon, trong vòng 0,42 giây.
|
Tài liệu tham khảo |
Nguyễn Ngoan
(Tổng hợp)
14:00 | 19/05/2023
14:00 | 14/07/2023
14:00 | 06/12/2024
08:00 | 30/08/2023
07:00 | 22/05/2023
15:00 | 15/05/2023
15:00 | 18/03/2025
Theo báo cáo “Bức tranh toàn cảnh về mối đe dọa phần mềm độc hại trên di động năm 2024” của Kapersky công bố tại tại Hội nghị di động 2025 (Mobile World Congress - MWC) diễn ra ở Barcelona, số lượng các cuộc tấn công của Trojan ngân hàng vào smartphone năm 2024 đã tăng 196% so với năm 2023.
18:00 | 17/03/2025
Tiếp nối thành công của Hội thảo khoa học quốc tế VCRIS 2024 và nhân sự kiện Năm Quốc tế về Khoa học và Công nghệ Lượng tử (IYQ) 2025, kỷ niệm 100 năm ra đời của cơ học lượng tử, Hội thảo VCRIS 2025 sẽ được tổ chức với chủ đề về mật mã, an toàn thông tin và khoa học công nghệ lượng tử. Nằm trong khuôn khổ của Hội thảo, Trường thu về Lượng tử cũng được tổ chức hướng đến việc nâng cao nhận thức của các nhà khoa học, cán bộ, giảng viên, nghiên cứu viên về tầm quan trọng của khoa học lượng tử và các ứng dụng.
20:00 | 14/03/2025
Sớm nắm bắt nhu cầu truyền thông trong lĩnh vực bảo mật, an toàn, an ninh mạng của Việt Nam, năm 2006, Ban Cơ yếu Chính phủ (CYCP) đã quyết định xuất bản Tạp chí An toàn thông tin (ATTT) để tuyên truyền nâng cao nhận thức, kỹ năng về ATTT cho các cấp lãnh đạo và người dùng trong các tổ chức, cơ quan nhà nước. Trải qua 19 năm xây dựng và phát triển (17/3/2006 – 17/3/2025), Tạp chí ATTT đã trở thành cơ quan báo chí chuyên ngành uy tín, khẳng định vai trò dẫn dắt truyền thông trong lĩnh vực bảo mật, an toàn, an ninh mạng với sự phong phú về nội dung, đa dạng về hình thức.
13:00 | 03/01/2025
Mới đây, Bộ Tài chính Mỹ đã thông báo hệ thống bảo mật của cơ quan này bị tin tặc tấn công và đánh cắp nhiều tài liệu quan trọng. Bộ Tài chính cho biết đây là một sự cố lớn và đã thông báo tới các cơ quan chức năng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh biến đổi khí hậu ngày càng phức tạp, Công ty Cổ phần Nhiệt điện Hải Phòng không ngừng nỗ lực cải thiện quy trình sản xuất nhằm bảo vệ môi trường và thúc đẩy an sinh xã hội. Với chiến lược sử dụng hợp lý tài nguyên và áp dụng công nghệ tiên tiến, công ty đã và đang thực hiện nhiều biện pháp thiết thực để giảm thiểu tác động đến môi trường.
10:00 | 21/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
SoftBank có kế hoạch chuyển đổi một nhà máy sản xuất tấm nền LCD Sharp trước đây tại Nhật Bản thành một trung tâm dữ liệu để vận hành các tác nhân trí tuệ nhân tạo được phát triển với sự hợp tác của OpenAI, “cha đẻ” của ChatGPT.
10:00 | 21/03/2025
