Nhóm UNC3886 đang nhắm vào Singapore: Ai đứng sau chiến dịch gián điệp mạng tinh vi này?

[Duy Linh]

Các lĩnh vực cơ sở hạ tầng quan trọng tại Singapore như năng lượng, nước, viễn thông, tài chính và dịch vụ chính phủ đang là mục tiêu của nhóm tin tặc UNC3886 – một nhóm tấn công mạng tinh vi có liên hệ với Trung Quốc. Nhóm này nổi tiếng với khả năng khai thác các lỗ hổng zero-day và sử dụng phần mềm độc hại tùy chỉnh để xâm nhập sâu vào hệ thống.

UNC3886 được công ty an ninh mạng Mandiant phát hiện vào năm 2022, nhưng các hoạt động của nhóm đã bắt đầu ít nhất từ năm 2021. Chúng đã khai thác lỗ hổng trong các nền tảng ảo hóa phổ biến như FortiOS, VMware và ESXi để tiếp cận hệ thống mục tiêu. Sau khi xâm nhập, nhóm duy trì quyền truy cập bằng cách thu thập thông tin xác thực SSH và sử dụng các công cụ như Google Drive hoặc GitHub để điều khiển máy chủ bị chiếm quyền.

Các phần mềm độc hại do nhóm phát triển bao gồm MOPSLED, RIFLESPINE, REPTILE, TINYSHELL, VIRTUALSHINE, VIRTUALPIE, CASTLETAP và LOOKOVER. Chúng thường được cài đặt thông qua các lỗ hổng bảo mật chưa được vá, như CVE-2023-34048 và CVE-2022-41328 trong thiết bị Fortinet, VMware và Juniper.

UNC3886 đặc biệt nhắm vào các hệ thống chiến lược trong lĩnh vực quốc phòng, tài chính, viễn thông và hệ thống vận hành công nghiệp (OT/IT) tại Hoa Kỳ và Châu Á. Nhóm này sử dụng các kỹ thuật che giấu nâng cao như vô hiệu hóa ghi nhật ký, xóa dấu vết pháp y và duy trì quyền kiểm soát bền vững bên trong hệ thống. Chúng thường xâm nhập qua lỗ hổng chưa được vá, sau đó khai thác thông tin xác thực để di chuyển ngang và kiểm soát các máy chủ ảo hóa và bộ định tuyến biên, khiến việc phát hiện và xử lý trở nên rất khó khăn.

Tác động nghiêm trọng và khuyến nghị ứng phó khẩn cấp​

Các nhà phân tích nhận định hoạt động của UNC3886 phù hợp với chiến lược thu thập thông tin tình báo và chuẩn bị cho các kịch bản phá hoại quy mô lớn. Trong bối cảnh Singapore là mục tiêu, hậu quả có thể rất nghiêm trọng: mất điện, thiếu nước, ngừng cung cấp dịch vụ y tế, tê liệt hệ thống tài chính và gián đoạn sân bay cùng các dịch vụ khẩn cấp.

Các tổ chức cần hành động ngay lập tức để giảm thiểu rủi ro:

• Cập nhật bản vá cho thiết bị Fortinet, VMware và Juniper.
• Cách ly phần cứng cũ, không còn được hỗ trợ.
• Giám sát chặt các hành vi bất thường như giả mạo nhật ký hoặc lưu lượng đáng ngờ đến GitHub/Google Drive.
• Thường xuyên thay đổi thông tin đăng nhập SSH và tài khoản quản trị.
• Triển khai xác thực đa yếu tố (MFA) và xác minh danh tính mạnh.
• Lưu giữ bản sao chương trình cơ sở ngoại tuyến.
• Thực hiện kiểm tra rootkit và tích hợp chỉ số tấn công (IOC) cùng kỹ thuật của UNC3886 theo chuẩn MITRE ATT&CK.

Để tăng khả năng phục hồi ngành, chuyên gia khuyến nghị chia sẻ thông tin về mối đe dọa, xây dựng quy tắc phát hiện mạng do cộng đồng đóng góp, và tổ chức các buổi diễn tập tấn công APT phối hợp nhiều bên. Việc hợp tác với các nhà cung cấp để đẩy nhanh vá lỗi và triển khai các cuộc diễn tập phản ứng sự cố với sự tham gia của các cơ quan như CSA và MINDEF cũng là biện pháp cần thiết.

Hiện tại, mức độ rủi ro của mối đe dọa được đánh giá ở cấp 4 (rất đáng kể, khẩn cấp), với độ tin cậy cao từ các nguồn như Reuters, AsiaOne, Google, SocPrime và ETDA. Mức độ khẩn cấp là cấp 3 (khuyến nghị hành động mạnh mẽ).

Cảnh báo này, theo chuẩn TLP:CLEAR, kêu gọi các bên liên quan chủ động chia sẻ thông tin và phối hợp để giảm thiểu các hoạt động gián điệp mạng tinh vi và ngăn chặn sự gián đoạn có thể xảy ra từ nhóm UNC3886.

Đọc chi tiết tại đây: https://gbhackers.com/unc3886-hackers-target-singapores-critical-infrastructure/

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview