Theo các khuyến cáo chung của NSA và NCSC tuyên bố vào ngày 27/8, Công ty TNHH Công nghệ mạng Tứ Xuyên Juxinhe, Công ty TNHH Công nghệ thông tin Bắc Kinh Huanyu Tianqiong và Công ty TNHH Công nghệ mạng Tứ Xuyên Zhixin Ruijie đã cung cấp các sản phẩm và dịch vụ mạng cho Bộ An ninh Quốc gia và Quân Giải phóng Nhân dân Trung Quốc, cho phép thực hiện các hoạt động gián điệp mạng được theo dõi dưới tên gọi Salt Typhoon.

Kể từ ít nhất năm 2021, các tác nhân đe dọa từ Trung Quốc đã xâm nhập vào mạng lưới chính phủ, viễn thông, giao thông vận tải, khách sạn và quân sự trên toàn thế giới, đánh cắp dữ liệu có thể được sử dụng để theo dõi thông tin liên lạc và hoạt động di chuyển của mục tiêu trên toàn thế giới.

Đặc biệt trong vài năm qua, Salt Typhoon đã thực hiện các cuộc tấn công phối hợp vào các công ty viễn thông, nhằm mục tiêu theo dõi thông tin liên lạc riêng tư của mọi người trên toàn thế giới.

Thiết bị mạng nhắm mục tiêu

Một  khuyến cáo chung của các cơ quan tình báo và an ninh mạng tại 13 quốc gia cảnh báo rằng, các tác nhân đe dọa đã thành công đáng kể trong việc khai thác các lỗ hổng đã biết và được vá trên các thiết bị biên mạng, thay vì dựa vào lỗ hổng zero-day.

Những lỗ hổng này bao gồm: CVE-2024-21887 (Lỗ hổng command injection Ivanti Connect Secure), CVE-2024-3400 (Lỗ hổng thực thi mã từ xa trong Palo Alto PAN-OS GlobalProtect), CVE-2023-20273 và CVE-2023-20198 (Lỗ hổng vượt qua xác thực và leo thang đặc quyền trong Cisco IOS XE), CVE-2018-0171 (Lỗ hổng thực thi mã từ xa ảnh hưởng đến Cisco Smart Install).

Bằng cách sử dụng những lỗ hổng này, kẻ tấn công có thể truy cập vào các thiết bị định tuyến và mạng, cho phép chúng sửa đổi danh sách kiểm soát truy cập, bật SSH trên các cổng không chuẩn, tạo đường hầm GRE/IPsec và khai thác các container Cisco Guest Shell để duy trì tính bền bỉ.

Báo cáo chung giải thích: “Những kẻ tấn công có thể nhắm mục tiêu vào các thiết bị biên bất kể ai sở hữu thiết bị cụ thể đó. Các tác nhân đe dọa lợi dụng các thiết bị bị xâm phạm và các kết nối đáng tin cậy hoặc kết nối riêng tư (ví dụ: liên kết giữa nhà cung cấp với nhà cung cấp hoặc giữa nhà cung cấp với khách hàng) để chuyển hướng sang các mạng khác.

Kẻ tấn công cũng thu thập các gói tin ghi lại lưu lượng xác thực, chuyển hướng máy chủ TACACS+ và triển khai các công cụ SFTP tùy chỉnh dựa trên Golang (cmd1, cmd3, new2 và sft) để theo dõi lưu lượng và đánh cắp dữ liệu.

Vì nhiều lỗ hổng bảo mật này đã có bản vá từ lâu nên cả NCSC và NSA đều khuyến khích các tổ chức ưu tiên vá lỗi cho thiết bị trước, sau đó là tăng cường cấu hình thiết bị, theo dõi các thay đổi trái phép và vô hiệu hóa các dịch vụ không sử dụng. Quản trị viên cũng nên hạn chế các dịch vụ quản lý cho các mạng chuyên dụng, thực thi các giao thức bảo mật như SSHv2 và SNMPv3, đồng thời tắt Cisco Smart Install và Guest Shell khi không cần thiết.

CISA trước đó đã cảnh báo rằng quản trị viên nên tắt tính năng Cisco Smart Install (SMI) cũ, sau khi quan sát thấy tính năng này bị lạm dụng trong các cuộc tấn công của cả tác nhân đe dọa từ Trung Quốc và Nga.

Hoạt động trước đây của Salt Typhoon

Những khuyến cáo mới này được đưa ra sau nhiều năm xảy ra các cuộc tấn công của Salt Typhoon vào các nhà cung cấp dịch vụ viễn thông và các cơ quan chính phủ. Nhóm tin tặc này trước đây đã xâm nhập vào các nhà mạng lớn của Mỹ, bao gồm AT&T, Verizon và Lumen, để truy cập vào các thông tin liên lạc nhạy cảm như tin nhắn văn bản, thư thoại và thậm chí cả hệ thống nghe lén của cơ quan thực thi pháp luật tại quốc gia này.

Salt Typhoon cũng khai thác các lỗ hổng chưa vá của Cisco IOS XE để xâm nhập vào nhiều công ty viễn thông của Mỹ và Canada, nơi chúng thiết lập đường hầm GRE để truy cập liên tục và đánh cắp dữ liệu cấu hình. Những kẻ tấn công đã sử dụng phần mềm độc hại tùy chỉnh có tên là JumbledPath để theo dõi và thu thập lưu lượng truy cập từ các mạng viễn thông.

Ngoài các vụ tấn công này, Salt Typhoon còn có liên quan đến vụ vi phạm kéo dài 9 tháng của mạng lưới Vệ binh Quốc gia Lục quân Mỹ vào năm 2024, trong đó chúng đã đánh cắp các tệp cấu hình và thông tin đăng nhập của quản trị viên, có thể được sử dụng để xâm phạm các mạng lưới chính phủ khác.