ANM 22/4: Tin tặc Trung Quốc xâm nhập hàng loạt cơ quan và cơ sở hạ tầng trọng yếu Mỹ
Trong hai ngày 20 và 21/4, có đến 14 website Việt Nam mang tên miền .vn đã bị tin tặc tấn công, chiếm quyền. Đáng chú ý, tin tặc đã tấn công vào các trang web chính thức của một số cơ quan hành chính nhà nước.
Cụ thể, các tin tặc “Overthinker1877” và “Ayyıldız” đã tấn công vào website của UBND tỉnh Hòa Bình và UBND phường Tân Thịnh (TP. Hòa Bình). Một số tin tặc tấn công cùng lúc nhiều website, như đối tượng “1877” tấn công 5 trang web, tin tặc “ dhuaa” tấn công 3 trang. Các vụ tấn công khác do các tin tặc “C0P3T.B3RCL4SS” và “G0l3N E@gle”, “Ghost Kurts” thực hiện.
Trên thế giới, mạng xã hội Facebook hôm 21/4 báo cáo đã phát hiện một chiến dịch gián điệp mạng với động cơ chính trị Lực lượng An ninh Phòng ngừa Palestine (PSS). Facebook ngay sau đó đã vô hiệu hóa hàng trăm tài khoản của tổ chức này, được dùng để do thám phóng viên, người hoạt động nhân quyền và các đối thủ chính trị, chủ yếu ở khu vực Bờ Tây, Dải Gaza và Syria. PSS bị nghi vấn đặt trụ sở tại Gâz và có mối liên hệ với tổ chức Hamas, thủ lĩnh Hồi giáo cai trị vùng Palestine, sử dụng các tài khoản giả mạo chủ yếu là phụ nữ trẻ ủng hộ Hamas, Fatah, các nhóm quân đội, nhà báo và nhà hoạt động khác nhau để tạo lòng tin với mục tiêu và lừa họ cài đặt phần mềm độc hại.
Các tin tặc Trung Quốc tiếp tục trở thành tâm điểm chú ý khi báo cáo của đơn vị bảo mật mạng Madiant thuộc FireEye hôm 20/4 cho thấy ít nhất 2 nhóm APT Trung Quốc đã tìm cách khai thác những lỗ hổng trên thiết bị an ninh VPN Pulse Secure để xâm nhập vào hệ thống của các tổ chức công nghiệp quốc phòng ở Mỹ và Châu Âu trong năm 2020 và 2021. Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) lên tiếng xác nhận, nhiều cơ quan chính phủ và cơ sở hạ tầng trọng yếu đã bị xâm nhập trong cuộc tấn công do các nhóm UNC2630 (tình nghi liên quan đến nhóm APT5) và UNC2717 thực hiện.
Bộ An ninh Nội Địa Mỹ (DHS) sau đó đã ban hành chỉ thị khẩn cấp yêu cầu tổ chức liên bang phải cập nhật bản vá phần mềm VPN Pulse Secure trước ngày 23/4. Bình luận về báo cáo của FireEye trong cuộc họp báo vào ngày 21/4, phát ngôn viên Bộ Ngoại giao Trung Quốc Uông Văn Bân tái khẳng định lập trường của chính phủ Trung Quốc về việc nghiêm cấm và đấu tranh chống lại các hình thức tấn công trên không gian mạng, đồng thời bác bỏ cáo buộc và gọi Mỹ là “đế chế tấn công mạng và nghe lén lớn nhất thế giới”.
Trong một diễn biến khác, ngày 20/4, Hạ viện Mỹ đã thông qua dự luật “Cyber Diplomacy Act” (An ninh Mạng Ngoại giao) nhằm đối phó với những vụ tấn công mạng liên tục từ các nhóm tin tặc nước ngoài trong thời gian gần đây. Theo đó, dự luật yêu cầu Bộ Ngoại giao thành lập Cục Chính sách Không gian Mạng Quốc tế, có nhiệm vụ dẫn đầu các nỗ lực an ninh mạng của Bộ Ngoại giao, bao gồm việc xây dựng chiến lược quốc tế nhằm dẫn dắt nỗ lực của Mỹ trong việc hợp tác với các nước khác về vấn đề an ninh mạng và thiết lập bộ quy tắc chung trên không gian mạng. Cùng ngày, Bộ Năng lượng Mỹ cũng đã công bố kế hoạch 100 ngày bảo vệ hệ thống phân phối điện trên toàn quốc nhằm chống lại các cuộc tấn công điện toán và các mối đe dọa xâm nhập phá hoại.
Sự việc vừa qua cho các lỗ hổng bảo mật luôn là mối hiểm họa tiềm tàng cho mọi cơ quan nhà nước, chính phủ, đòi hỏi các sự tỉnh táo, cảnh giác của các đơn vị an ninh mạng trên khắp thế giới. Hôm 21/4 vừa qua, hãng tin Reuters cũng đã đưa tin cảnh báo về khả năng của một cuộc tấn công chuỗi cung ứng khác xuất phát từ nhà phát triển công cụ kiểm tra phần mềm Codecov (Mỹ).Tin tặc đã giả mạo một công cụ của Codecov để truy cập hạn chế vào hàng trăm mạng lưới của khách hàng Codecov, có thể cho phép tin tặc có được quyền truy cập vào thông tin đăng nhập được lưu trữ cho những tài khoản phần mềm nội bộ khác nhau. Trước đó, Codecov cho biết tin tặc đã bắt đầu giả mạo phần mềm của họ vào ngày 31/1 nhưng đến đầu tháng 4 vụ việc mới được phát hiện. Cục Điều tra Liên bang (FBI) cho biết đang tiến hành điều tra vụ xâm phạm và từ chối đưa ra bình luận.
Trước đó, ngày 19/4, hãng bảo mật Malwarebytes công bố báo cáo về chiến dịch email lừa đảo có chủ đích (spear-phishing) nhắm vào Hàn Quốc của các tin tặc Lazarus (Triều Tiên); phân phối email đính kèm tài liệu độc ngụy trang là một mẫu đơn đăng ký tham gia hội chợ ở các thành phố thuộc Hàn Quốc, nhưng thực chất ẩn mã độc RAT bên trong tập tin hình ảnh .BMP để có thể qua mặt công cụ bảo mật, yêu cầu người dùng kích hoạt macro khi mở lên và từ đó thực thi mã để kích hoạt chuỗi lây nhiễm và cuối cùng là thả lệnh thực thi “AppStore.exe”.
T.H.