Báo cáo: Chiến dịch gián điệp nhắm mục tiêu vào ngành quốc phòng Hoa Kỳ có thể liên quan tới Trung Quốc
November 9, 2021
Một thành viên của nhóm tin tặc Liên minh Tin tặc Đỏ (Red Hacker Alliance) sử dụng một trang web giám sát các cuộc tấn công mạng toàn cầu trên máy điện toán của mình tại một văn phòng ở Đông Quan, thuộc tỉnh Quảng Đông, miền nam Trung Quốc, hôm 04/08/2020 (Ảnh: Nicolas Asfouri/AFP/Getty Images).–
Thủ phạm tiến hành một chiến dịch gián điệp mạng xâm nhập vào chín cơ quan toàn cầu, trong đó có một cơ quan ở Hoa Kỳ, có thể là một nhóm có liên hệ với Trung Cộng.
Chiến dịch này đã đánh cắp các tài liệu nhạy cảm của một cơ quan chính phủ giấu tên trong khoảng thời gian từ tháng Chín đến tháng Mười, theo một báo cáo của Đơn vị 42, một đội tình báo hiểm họa chuyên về rủi ro mạng và ứng phó sự cố tại Palo Alto Networks, cùng cộng tác với Trung tâm Hợp tác An ninh Mạng thuộc Cơ quan An ninh Quốc gia Hoa Kỳ.
Báo cáo trên cho biết, “Ngay từ ngày 17/09, thủ phạm đã tận dụng cơ sở hạ tầng thuê lại ở Hoa Kỳ để theo dõi hàng trăm tổ chức dễ bị tấn công trên internet.” “Sau đó, họ đã bắt đầu nỗ lực khai thác [thông tin] từ ngày 22/09 và có thể đã tiếp tục cho đến đầu tháng Mười.”
“Trong khoảng thời gian đó, hung thủ đã xâm nhập thành công ít nhất chín tổ chức toàn cầu bao trùm các lĩnh vực công nghệ, quốc phòng, chăm sóc sức khỏe, năng lượng, và giáo dục.”
Báo cáo trên cho biết là không thể xác minh danh tính của (những) kẻ đứng sau chiến dịch này, nhưng lưu ý rằng các chiến thuật và công cụ của họ hầu như rất giống với một nhóm gián điệp mạng có liên hệ với Trung Cộng tên là Emissary Panda.
Emissary Panda được biết đến với nhiều cái tên, trong đó có APT 27, Bronze Union, Iron Tiger, Lucky Mouse, và TG-3390. Theo một báo cáo của hãng truyền thông Canada CBC, đây là một trong những nhóm tách ra từ Winnti Group được nhà nước tài trợ, và nhóm này chuyên phụ trách các cuộc tấn công mạng ở Mỹ Châu, Á Châu, Âu Châu, và Trung Đông. Họ chuyên tiến hành các hoạt động gián điệp mạng để thu thập dữ liệu từ các mục tiêu là chính phủ và thường xuyên nhắm vào các lĩnh vực năng lượng, quốc phòng, và hàng không.
Nhóm gián điệp này đã dính líu đến nhiều cuộc tấn công mạng kể từ ít nhất là năm 2009, và mới đây vào đầu tháng 11, họ đã khai thác các lỗ hổng của Microsoft Exchange, khi sử dụng ransomware để tấn công các mục tiêu chủ yếu ở Hoa Kỳ.
Báo cáo trên nói rằng chiến dịch đó đã truy quét hơn 370 máy chủ đặt tại Hoa Kỳ, bao gồm cả những máy chủ tại Bộ Quốc phòng, đồng thời tìm kiếm các lỗ hổng. Sau đó, chiến dịch này đã khai thác các lỗ hổng mới phát hiện được trong giải pháp quản lý mật khẩu và đăng nhập một lần [có tên là] ManageEngine ADSelfService Plus.
Một khi [máy chủ] đã khai thác được rồi, thì những kẻ xâm nhập ác ý có thể luồn ngang vào các hệ thống liên quan để cài đặt một công cụ đánh cắp thông tin xác thực, thu thập và đánh cắp các dữ liệu nhạy cảm.
Báo cáo cho biết, “Đơn vị 42 tin rằng mục tiêu chính của các gián điệp này có liên quan đến việc giành được quyền truy cập lâu dài vào mạng lưới cũng như thu thập và đánh cắp các dữ liệu nhạy cảm từ tổ chức bị xâm phạm đó.”
Tin tức về cuộc tấn công mạng này được đưa ra ngay sau một lời cảnh báo của Trung tâm Phản gián và An ninh Quốc gia rằng Trung Cộng đang tham gia vào một chiến dịch toàn diện để có được các công nghệ then chốt và mới xuất hiện của Hoa Kỳ thông qua các phương thức hợp pháp, gần như hợp pháp và bất hợp pháp. Các công nghệ của Hoa Kỳ đóng vai trò then chốt đối với sự phát triển của nhiều chương trình vũ khí của Trung Quốc, và các nhóm do nhà nước bảo trợ ở Trung Quốc và những nhóm có liên hệ với quân đội Trung Quốc bị cáo buộc đã đánh cắp dữ liệu trên toàn cầu.
Tương tự, cựu giám đốc phần mềm của Lực lượng Không quân và Vũ trụ Hoa Kỳ gần đây đã nói rằng các đặc vụ Trung Quốc gây ra một “mối hiểm họa” lớn trong nội bộ các công ty công nghệ của Hoa Kỳ.
Những lời đe dọa như vậy đối với Hoa Kỳ không phải thiếu thực tế, như đã được chứng minh qua một báo cáo gần đây rằng một chiến dịch gây ảnh hưởng thân Trung Quốc vẫn tiếp diễn cho đến nay đã từng cố gắng huy động những người biểu tình ở Hoa Kỳ bằng cách tận dụng các tài khoản mạng xã hội giả trên 70 trang web, bao gồm Facebook, Twitter, và YouTube.
Những cơ quan bị xâm nhập trong chiến dịch nói trên vẫn chưa được xác định công khai.
Nguồn: Andrew Thornebrooke @ ePochTimes