Cuộc tấn công mạng kéo dài 4 tháng vào công ty Hoa Kỳ phơi bày mối đe dọa tiên tiến liên quan đến tin tặc Trung Quốc

Một cuộc tấn công mạng mới được phát hiện gần đây đã đưa ra ánh sáng một hoạt động cực kỳ tinh vi nhắm vào một tổ chức lớn của Hoa Kỳ, với bằng chứng chỉ ra tin tặc được nhà nước bảo trợ từ Trung Quốc. Cuộc xâm nhập đáng báo động này, được nêu chi tiết trong báo cáo của Symantec thuộc sở hữu của Broadcom, kéo dài ít nhất bốn tháng trong năm nay, bắt đầu từ tháng 4 và có khả năng sớm hơn. Phạm vi và phương pháp của cuộc tấn công nhấn mạnh các chiến lược đang phát triển của các đối thủ mạng và những rủi ro mà các tổ chức quan trọng trên toàn thế giới phải đối mặt.

Các chiến thuật và công cụ tinh vi làm nổi bật các mối đe dọa nâng cao

Symantec lần đầu tiên phát hiện ra dấu hiệu vi phạm vào ngày 11 tháng 4 năm 2024 và phát hiện ra rằng cuộc tấn công vẫn tiếp diễn cho đến tháng 8. Trong thời gian này, những kẻ tấn công di chuyển ngang qua mạng của nạn nhân, xâm phạm nhiều máy. Một số hệ thống bị nhắm mục tiêu là Microsoft Exchange Server, một động thái cho thấy những kẻ tấn công tìm cách thu thập thông tin tình báo bằng cách truy cập dữ liệu email nhạy cảm.

Các công cụ exfiltration được triển khai trong chiến dịch này xác nhận thêm rằng thông tin có giá trị đã được trích xuất từ cơ sở hạ tầng của nạn nhân. Tin tặc đã sử dụng kết hợp các công cụ nguồn mở và các tiện ích Windows tích hợp để tiếp tục cuộc tấn công của chúng. Các công cụ như FileZilla, Impacket và PSCP đã được triển khai cùng với các kỹ thuật sống ngoài thực địa, tận dụng Windows Management Instrumentation (WMI), PsExec và PowerShell để thực hiện các lệnh độc hại và hòa nhập vào hoạt động mạng hợp pháp.

Vai trò của Trung Quốc và việc sử dụng các kỹ thuật gián điệp mạng

Mặc dù tên của tổ chức bị nhắm mục tiêu chưa được tiết lộ, nhưng các hoạt động quan trọng của tổ chức này tại Trung Quốc làm tăng thêm nghi ngờ rằng những kẻ tấn công có liên quan đến các nhóm do nhà nước Trung Quốc bảo trợ. Cuộc tấn công mạng chủ yếu dựa vào việc tải DLL, một chiến thuật đặc trưng của các nhóm tin tặc Trung Quốc. Các hiện vật từ vụ vi phạm trùng khớp với những hiện vật được quan sát thấy trong "Crimson Palace", một hoạt động trước đó do nhà nước hậu thuẫn. Ngoài ra, tổ chức này đã từng bị một nhóm có tên là Daggerfly, còn được gọi là Bronze Highland, Evasive Panda và StormBamboo nhắm mục tiêu vào năm 2023.

Những tác động rộng hơn đối với an ninh mạng

Vi phạm này phản ánh xu hướng rộng hơn trong hệ sinh thái tấn công mạng của Trung Quốc, mà Orange Cyberdefense đã phân tích chi tiết. Các hoạt động do nhà nước Trung Quốc tài trợ thường làm mờ ranh giới giữa các thực thể công và tư, tận dụng các trường đại học để nghiên cứu nâng cao và thuê các nhà thầu để thực hiện các cuộc tấn công. Các công ty giả mạo thường được thành lập bởi các cá nhân có liên hệ với quân đội hoặc các đơn vị tình báo Trung Quốc để che giấu sự quy kết, mua cơ sở hạ tầng kỹ thuật số và tuyển dụng tin tặc mà không gây nghi ngờ.

Những phát hiện này nhấn mạnh bản chất dai dẳng và tiên tiến của các hoạt động mạng của Trung Quốc. Chiến dịch nhắm vào công ty Hoa Kỳ này là lời nhắc nhở nghiêm khắc về bối cảnh mối đe dọa đang phát triển và tầm quan trọng của các biện pháp phòng thủ an ninh mạng mạnh mẽ để bảo vệ các tài sản quan trọng khỏi các đối thủ là quốc gia.