Nhóm hacker do Trung Quốc "hậu thuẫn" tấn công hàng loạt nhiều công ty trên toàn thế giới

Các cuộc tấn công mạng nhắm vào các công ty trên thế giới có liên quan đến Cicada, một nhóm được cho do nhà nước Trung Quốc hậu thuẫn.

Theo Arstechnica, các nhà nghiên cứu đã phát hiện ra một chiến dịch tấn công quy mô lớn, sử dụng các công cụ và kỹ thuật tinh vi để xâm phạm vào mạng lưới của các công ty trên khắp thế giới.

Những kẻ thực hiện rất có thể đến từ một nhóm hacker nổi tiếng do chính phủ Trung Quốc tài trợ. Họ sử dụng các công cụ có sẵn và đã được tùy chỉnh để tấn công mạng. Một công cụ khai thác như vậy có tên Zerologon, nó được đặt cho lỗ hổng máy chủ Windows đã được vá vào tháng 8 với khả năng cấp cho kẻ tấn công đặc quyền quản trị viên tức thì trên các hệ thống có độ bảo mật yếu kém.

Hãng bảo mật Symantec sau đó đã đặt tên mã Cicada cho nhóm hacker có dính líu tới chính phủ Trung Quốc này, bên cạnh các biệt danh khác như APT10, Stone Panda và Cloud Hopper. Tất nhiên nhóm này không có mối quan hệ hoặc liên kết với bất kỳ công ty nào sử dụng tên Cicada. Nhóm đã hoạt động trong lĩnh vực hack theo kiểu gián điệp ít nhất từ ​​năm 2009 và hầu như chỉ nhắm mục tiêu vào các công ty có liên kết với Nhật Bản. Mặc dù các công ty bị nhắm đến trong chiến dịch gần đây chủ yếu đặt trụ sở tại Mỹ và các quốc gia khác, tuy nhiên tất cả các công ty này đều có liên kết với Nhật Bản hoặc các công ty Nhật Bản.

Các nhà nghiên cứu từ công ty bảo mật Symantec viết: "Các tổ chức liên kết với Nhật Bản cần phải cảnh giác vì rõ ràng họ là mục tiêu chính của nhóm hacker nguy hiểm và có nguồn lực này. Đặc biệt ngành công nghiệp ôtô dường như là mục tiêu chính trong chiến dịch tấn công này. Tuy nhiên thông qua việc một loạt các ngành công nghiệp bị nhắm mục tiêu, các tổ chức Nhật Bản trong tất cả các lĩnh vực cần biết rằng, họ có nguy cơ bị tấn công bất cứ lúc nào".

Các cuộc tấn công sử dụng chủ yếu phương thức DLL side-loading, một kỹ thuật tấn công trong đó một file DLL giả mạo có thể nạp vào bộ nhớ của ứng dụng dẫn đến các lệnh thực thi mã ngoài kiểm soát. Nó thường xảy ra khi hacker thay thế file thư viện chứa các liên kết động trên Windows bằng file chứa mã độc.

Những kẻ tấn công sử dụng DLL side-loading như một cách để đưa mã độc vào máy tính dưới dạng một quy trình hợp pháp để chúng không bị phần mềm bảo mật phát hiện.

Chiến dịch cũng lợi dụng lỗ hổng Zerologon cực kỳ nguy hiểm để tấn công máy tính của các doanh nghiệp. Hacker sẽ lợi dụng hổng Zerologon và gửi một chuỗi số 0 trong một chuỗi thông báo sử dụng giao thức Netlogon. Đây là giao thức mà máy chủ Windows sử dụng cho phép người dùng đăng nhập vào mạng. Từ đó, hacker có thể tấn công và chiếm quyền quản trị Active Directory (AD). Được biết Active Directory là một công nghệ quản lý máy tính và các thiết bị khác trong một mạng kết nối.

Microsoft đã vá lỗ hổng nguy hiểm trên vào tháng 8 nhưng kể từ đó tới nay, những kẻ tấn công vẫn tiếp tục sử dụng nó để xâm phạm vào hệ thống của các tổ chức chưa cài đặt bản cập nhật. Cả FBI và Bộ An ninh Nội địa Mỹ đang kêu gọi các công ty cần cập nhật phần mềm để vá lỗ hổng hệ thống ngay lập tức.

Trong số các máy bị xâm nhập trong các cuộc tấn công do Symantec phát hiện có các Domain Controller và File Server. Các nhà nghiên cứu cũng phát hiện ra bằng chứng về việc nhiều file đã bị đánh cắp từ các máy tính bị xâm nhập.

Một số công ty hoạt động trong các lĩnh vực sau đây đã bị nhóm hacker này tấn công và nhắm đến: xe hơi, thời trang, điện tử, kỹ thuật, công ty thương mại tổng hợp, nhà cung cấp dịch vụ quản lý, chế tạo, dược phẩm,…

Bản đồ vị trí thực của các mục tiêu bị nhóm hacker Cicada tấn công

Symantec đã liên kết các cuộc tấn công của Cicada dựa trên dấu vân tay kỹ thuật số được tìm thấy trong mã độc và mã tấn công. Dấu vân tay bao gồm các kỹ thuật xáo trộn và shell code liên quan đến phương thức DLL side-loading.

Các nhà nghiên cứu Symantec viết: "Quy mô của các vụ tấn công cũng chỉ ra quy mô của nhóm này và khả năng của Cicada. Việc nhắm mục tiêu vào nhiều tổ chức lớn ở các khu vực địa lý khác nhau cùng một lúc sẽ đòi hỏi rất nhiều nguồn lực và kỹ năng mà thường chỉ thấy ở các nhóm được chính phủ hậu thuẫn".

Đây không phải lần đầu tiên các nhóm hacker bị quy kết có dính líu tới sự hậu thuẫn của chính phủ Trung Quốc. Nhưng đa số các trường hợp, các cáo buộc là có cơ sở khi nhà nước Trung Quốc hoàn toàn có lợi ích trong các vụ tấn công mạng nhắm vào các công ty trên thế giới.

Tiến Thanh (Theo Arstechnica)