Microsoft và các quốc gia “Năm Mắt” gần đây đã tiết lộ rằng một nhóm có trụ sở tại Trung Quốc đã thành công trong việc xâm nhập vào các tổ chức cơ sở hạ tầng quan trọng ở Hoa Kỳ và Guam mà không bị phát hiện. Nhóm tình báo đe dọa đã theo dõi hoạt động này, bao gồm việc truy cập thông tin đăng nhập sau khi xâm nhập và phát hiện hệ thống mạng, dưới tên gọi Volt Typhoon. Tác nhân do nhà nước tài trợ tập trung vào hoạt động gián điệp và thu thập thông tin, và đã hoạt động từ tháng 6 năm 2021, sử dụng các công cụ đã được cài đặt hoặc được xây dựng vào máy đã bị nhiễm để không bị phát hiện. Các ngành bị nhắm vào bao gồm giao tiếp, sản xuất, tiện ích, vận tải, xây dựng, hàng hải, chính phủ, công nghệ thông tin, và giáo dục. Microsoft đã ghi nhận với sự tự tin vừa phải rằng chiến dịch này đang “tìm cách phát triển những khả năng có thể làm gián đoạn cơ sở hạ tầng giao tiếp quan trọng giữa Hoa Kỳ và khu vực châu Á trong những cuộc khủng hoảng tương lai.” Nhóm này đã dựa vào các kỹ thuật sống nhờ đất đai (LotL) để rút trích dữ liệu từ các ứng dụng trình duyệt web cục bộ và tận dụng thông tin đăng nhập đã bị đánh cắp để truy cập hậu cửa, đồng thời cũng định tuyến giao thông thông qua thiết bị mạng nhỏ của văn phòng nhỏ và văn phòng tại nhà (SOHO) đã bị xâm nhập, bao gồm cả router, tường lửa, và phần cứng VPN. Việc sử dụng các phiên bản tùy chỉnh của các công cụ mã nguồn mở để thiết lập kênh chỉ huy và kiểm soát (C2) qua proxy cũng như các máy chủ đã bị tổ chức khác xâm nhập trong mạng proxy C2 của nó để che giấu nguồn gốc của các cuộc tấn công cũng đã được quan sát thấy. Trong một vụ việc được Báo New York Times báo cáo, tập thể đối kháng đã xâm nhập vào mạng viễn thông trên đảo Guam, một căn cứ quân sự nhạy cảm của Hoa Kỳ ở Thái Bình Dương, và đã cài đặt một vỏ web độc hại. Vector nhập ban đầu liên quan đến việc khai thác các thiết bị Fortinet FortiGuard hướng ra internet bằng cách sử dụng một lỗ hổng zero-day không rõ, mặc dù Volt Typhoon cũng đã được thấy sử dụng lỗi trong máy chủ Zoho ManageEngine. Microsoft đã cung cấp cho khách hàng mục tiêu hoặc đã bị xâm nhập thông tin cần thiết để bảo mật môi trường của họ, nhưng cảnh báo rằng việc giảm nhẹ những rủi ro như vậy có thể “đặc biệt thách thức” khi các diễn viên đe dọa sử dụng các tài khoản hợp lệ và các tệp nhị phân trên đất (LOLBins). Secureworks, đang giám sát nhóm đe dọa dưới tên Bronze Silhouette, nói rằng nó đã “chứng minh sự xem xét cẩn thận cho an ninh hoạt động […] và dựa vào cơ sở hạ tầng đã bị xâm nhập để ngăn chặn việc phát hiện và xác định hoạt động xâm nhập của mình.” Sự phát triển này cũng đi kèm khi Reuters tiết lộ rằng các hacker Trung Quốc đã nhắm vào chính phủ Kenya trong một loạt tấn công kéo dài ba năm rộng lớn chống lại các bộ quan trọng và cơ quan nhà nước trong một nỗ lực được cho là nhằm lấy thông tin về “nợ nên Bắc Kinh của quốc gia Đông Phi.” Cuộc tấn công số hóa được nghi ngờ đã được thực hiện bởi BackdoorDiplomacy (còn được gọi là APT15, Playful Taurus, hoặc Vixen Panda), người được biết đến với việc nhắm vào các thực thể chính phủ và ngoại giao trên khắp Bắc Mỹ, Nam Mỹ, châu Phi, và Trung Đông ít nhất từ năm 2010.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.