CyberThao
Writer
Các tổ chức viễn thông tại Đông Nam Á đã trở thành mục tiêu của một chiến dịch gián điệp mạng quy mô lớn kéo dài từ tháng 2 đến tháng 11 năm 2024. Đứng sau cuộc tấn công này là nhóm tin tặc có tên mã CL-STA-0969, được cho là có liên hệ với nhà nước và từng nhiều lần triển khai phần mềm độc hại nhằm kiểm soát mạng lưới viễn thông.
Dù vậy, nhóm nghiên cứu gồm Renzon Cruz, Nicolas Bareil và Navin Thomas cho biết không phát hiện dấu hiệu rò rỉ dữ liệu hay hoạt động giám sát nào nhắm trực tiếp đến các thiết bị di động bị ảnh hưởng.
Nhóm tin tặc này được đánh giá là duy trì mức độ bảo mật hoạt động (OPSEC) cao, thường xuyên sử dụng kỹ thuật che giấu tinh vi để tránh bị phát hiện. Nhiều công cụ tấn công và kỹ thuật mà CL-STA-0969 sử dụng có điểm tương đồng với các nhóm được biết đến trước đó như Liminal Panda, LightBasin (UNC1945), UNC2891, UNC3886, khiến quá trình quy trách nhiệm trở nên phức tạp hơn.
Nhóm tấn công cũng tạo các đường hầm SSH ngược, định tuyến lưu lượng thông qua mạng di động bị xâm nhập, xóa nhật ký, vô hiệu hóa SELinux và ngụy trang tên tiến trình bằng những tên giống như trong môi trường hệ thống mục tiêu nhằm tránh bị nghi ngờ.
Đơn vị 42 nhận định: “CL-STA-0969 thể hiện sự am hiểu sâu sắc về giao thức viễn thông và cơ sở hạ tầng mạng. Chúng sử dụng kỹ thuật điều phối lưu lượng qua các nút trung gian và tạo đường hầm bằng giao thức ít bị giám sát để đảm bảo quyền truy cập bí mật và lâu dài.”
CNCERT cho rằng các mục tiêu tấn công bao gồm cả trường đại học kỹ thuật, viện nghiên cứu khoa học và doanh nghiệp liên quan đến truyền thông, internet vệ tinh. Đặc biệt, một doanh nghiệp quân sự trong lĩnh vực này đã bị tấn công trong khoảng thời gian từ tháng 7 đến tháng 11/2024.
Trung Quốc cũng chỉ trích phương Tây thường xuyên đổ lỗi cho họ về các vụ tấn công mạng, đồng thời dẫn lại phát ngôn gây chú ý của cựu Tổng thống Mỹ Donald Trump:
"Bạn không nghĩ chúng tôi làm điều đó với họ sao? Chúng tôi có. Chúng tôi làm rất nhiều việc. Đó là cách thế giới vận hành. Đây là một thế giới tồi tệ."
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/cl-sta-0969-installs-covert-malware-in.html
Tấn công tinh vi, sử dụng công cụ tùy chỉnh và bảo mật hoạt động cực cao
Theo báo cáo từ Đơn vị 42 của Palo Alto Networks, nhóm CL-STA-0969 đã bí mật xâm nhập vào hệ thống viễn thông trong khu vực và cài đặt hàng loạt phần mềm độc hại chuyên biệt, giúp duy trì quyền truy cập từ xa và thu thập dữ liệu vị trí từ thiết bị di động thông qua công cụ Cordscan.Dù vậy, nhóm nghiên cứu gồm Renzon Cruz, Nicolas Bareil và Navin Thomas cho biết không phát hiện dấu hiệu rò rỉ dữ liệu hay hoạt động giám sát nào nhắm trực tiếp đến các thiết bị di động bị ảnh hưởng.
Nhóm tin tặc này được đánh giá là duy trì mức độ bảo mật hoạt động (OPSEC) cao, thường xuyên sử dụng kỹ thuật che giấu tinh vi để tránh bị phát hiện. Nhiều công cụ tấn công và kỹ thuật mà CL-STA-0969 sử dụng có điểm tương đồng với các nhóm được biết đến trước đó như Liminal Panda, LightBasin (UNC1945), UNC2891, UNC3886, khiến quá trình quy trách nhiệm trở nên phức tạp hơn.
Danh sách các công cụ độc hại được triển khai
CL-STA-0969 đã sử dụng một loạt công cụ và kỹ thuật tùy chỉnh, bao gồm:- AuthDoor: Mô-đun xác thực cắm được (PAM) độc hại, giúp đánh cắp thông tin xác thực và tạo quyền truy cập liên tục thông qua mật khẩu được mã hóa sẵn.
- Cordscan: Công cụ quét mạng, bắt gói tin và thu thập dữ liệu định vị thiết bị.
- GTPDOOR: Phần mềm độc hại hoạt động cạnh các trạm chuyển vùng GPRS, được thiết kế riêng cho hệ thống viễn thông.
- EchoBackdoor: Cửa hậu thụ động, lắng nghe lệnh C2 thông qua các gói ICMP không mã hóa.
- sgsnemu: Trình giả lập nút SGSN giúp tạo đường hầm dữ liệu, vượt qua giới hạn của tường lửa.
- ChronosRAT: Nhị phân ELF có khả năng ghi nhật ký phím, điều khiển shell từ xa, proxy, chụp màn hình, chuyển tiếp cổng…
- NoDepDNS (MyDns): Cửa hậu viết bằng Golang, lắng nghe lưu lượng DNS trên cổng UDP 53 để nhận và thực thi lệnh.
Nhóm tấn công cũng tạo các đường hầm SSH ngược, định tuyến lưu lượng thông qua mạng di động bị xâm nhập, xóa nhật ký, vô hiệu hóa SELinux và ngụy trang tên tiến trình bằng những tên giống như trong môi trường hệ thống mục tiêu nhằm tránh bị nghi ngờ.
Đơn vị 42 nhận định: “CL-STA-0969 thể hiện sự am hiểu sâu sắc về giao thức viễn thông và cơ sở hạ tầng mạng. Chúng sử dụng kỹ thuật điều phối lưu lượng qua các nút trung gian và tạo đường hầm bằng giao thức ít bị giám sát để đảm bảo quyền truy cập bí mật và lâu dài.”
Phản ứng từ phía Trung Quốc
Tiết lộ này diễn ra cùng thời điểm Trung tâm điều phối ứng phó sự cố mạng CNCERT (Trung Quốc) cáo buộc các cơ quan tình báo Mỹ đã lợi dụng lỗ hổng zero-day trên Microsoft Exchange để chiếm quyền điều khiển hơn 50 thiết bị thuộc sở hữu của một doanh nghiệp quân sự lớn từ tháng 7/2022 đến tháng 7/2023.CNCERT cho rằng các mục tiêu tấn công bao gồm cả trường đại học kỹ thuật, viện nghiên cứu khoa học và doanh nghiệp liên quan đến truyền thông, internet vệ tinh. Đặc biệt, một doanh nghiệp quân sự trong lĩnh vực này đã bị tấn công trong khoảng thời gian từ tháng 7 đến tháng 11/2024.
Trung Quốc cũng chỉ trích phương Tây thường xuyên đổ lỗi cho họ về các vụ tấn công mạng, đồng thời dẫn lại phát ngôn gây chú ý của cựu Tổng thống Mỹ Donald Trump:
"Bạn không nghĩ chúng tôi làm điều đó với họ sao? Chúng tôi có. Chúng tôi làm rất nhiều việc. Đó là cách thế giới vận hành. Đây là một thế giới tồi tệ."
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/cl-sta-0969-installs-covert-malware-in.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
