Cuộc Săn Đuổi Hacker Trung Quốc Tấn Công Một Số Lượng 'Vũ Trụ' Nạn Nhân

Khi tin tức lan truyền vào đầu tuần rằng các hacker Trung Quốc đang mục tiêu vào máy chủ Microsoft Exchange, cộng đồng an ninh mạng cảnh báo rằng các lỗ hổng zero-day mà họ đang tận dụng có thể đã cho phép họ tấn công vô số tổ chức trên khắp thế giới. Bây giờ rõ ràng rằng họ đã tấn công vào bao nhiêu máy chủ email. Theo mọi diện mạo, nhóm được biết đến với tên Hafnium đã xâm nhập vào càng nhiều nạn nhân họ có thể tìm thấy trên toàn cầu internet, để lại lối ra để quay lại sau này.

Hafnium hiện đã khai thác các lỗ hổng zero-day trong Outlook Web Access của máy chủ Exchange của Microsoft để tấn công một số không ít hơn hàng chục ngàn máy chủ email, theo nguồn tin có kiến thức về cuộc điều tra về chiến dịch hacking mà đã nói chuyện với MYTOUR. Các xâm nhập, được công ty an ninh Volexity phát hiện đầu tiên vào ngày 6 tháng 1, với sự gia tăng đáng chú ý bắt đầu từ thứ Sáu tuần trước và tăng mạnh vào đầu tuần này. Các hacker dường như đã phản ứng với bản vá của Microsoft, được phát hành vào thứ Ba, bằng cách tăng cường và tự động hóa chiến dịch hacking của họ. Một nhà nghiên cứu an ninh tham gia vào cuộc điều tra và đã nói chuyện với MYTOUR với điều kiện giữ bí mật đã ước tính số máy chủ Exchange bị hack tại Mỹ lên tới hơn 30.000 máy chỉ trong một mình Mỹ, và hàng trăm nghìn máy chủ trên toàn thế giới, tất cả dường như do cùng một nhóm tấn công. Nhà báo an ninh mạng độc lập Brian Krebs đã đưa tin con số 30.000 này vào thứ Sáu, trích dẫn các nguồn tin đã thông báo cho các quan chức an ninh quốc gia.

"Nó to lớn. Hoàn toàn lớn lao," một quan chức an ninh quốc gia trước đây có kiến thức về cuộc điều tra đã nói với MYTOUR. "Chúng ta nói về hàng nghìn máy chủ bị tấn công mỗi giờ, toàn cầu."

Trong cuộc họp báo chiều thứ Sáu, phát ngôn viên Nhà Trắng Jen Psaki cảnh báo bất kỳ ai đang vận hành máy chủ Exchange bị ảnh hưởng phải triển khai bản vá của Microsoft cho các lỗ hổng ngay lập tức. "Chúng tôi lo ngại rằng có một số lượng lớn nạn nhân và đang cùng các đối tác của chúng tôi làm việc để hiểu rõ phạm vi của vấn đề này," Psaki nói trong một trường hợp hiếm hoi của phát ngôn viên Nhà Trắng nhận xét về các lỗ hổng an ninh mạng cụ thể. "Chủ sở hữu mạng cũng cần xem xét liệu họ đã bị tấn công trước đó và nên ngay lập tức thực hiện các bước phù hợp." Lời khuyên từ Nhà Trắng này trùng với một tweet từ cựu giám đốc Cơ quan An ninh và Hạ tầng Công nghệ Thông tin Chris Krebs vào tối thứ Năm khuyến cáo bất kỳ ai có máy chủ Exchange bị tiếp xúc phải "giả sử đã bị tấn công" và bắt đầu các biện pháp phản ứng sự cố để loại bỏ quyền truy cập của các hacker.

Các mạng bị ảnh hưởng, có thể bao gồm các tổ chức nhỏ và trung bình hơn là các doanh nghiệp lớn thường sử dụng hệ thống email dựa trên đám mây, dường như đã bị hack một cách không phân biệt thông qua việc quét tự động. Các hacker đã cài đặt một "web shell"—một lối ra từ xa, nền tảng dựa trên web—trên các máy chủ Exchange mà họ khai thác, cho phép họ thực hiện nhiệm vụ khảo sát trên các máy mục tiêu và có thể chuyển đến các máy tính khác trong mạng lưới.

Điều đó có nghĩa là chỉ có một số nhỏ trong hàng trăm nghìn máy chủ bị hack trên toàn thế giới có khả năng bị những hacker Trung Quốc tấn công một cách tích cực, theo Steven Adair, người sáng lập Volexity. Tuy nhiên, bất kỳ tổ chức nào không cố gắng loại bỏ lối ra sau của những hacker vẫn bị tấn công, và những hacker có thể quay lại mạng lưới của họ để đánh cắp dữ liệu hoặc gây hỗn loạn cho đến khi lỗ hổng web shell được loại bỏ. "Một số lượng lớn, lớn lao các tổ chức đang có được một điểm khởi đầu đó," Adair nói. "Đó là một quả bom đếm ngược có thể được sử dụng chống lại họ vào bất kỳ điểm nào trong thời gian."

Mặc dù hầu hết các xâm nhập dường như chỉ bao gồm những lỗ hổng web shell đó, quy mô "vũ trụ" của những sự xâm nhập toàn cầu đó là đáng lo ngại duy nhất, một nhà nghiên cứu an ninh mạng tham gia vào cuộc điều tra nói với MYTOUR. Các tổ chức từ nhỏ đến trung bình đã bị tấn công bao gồm các cơ quan chính phủ địa phương, cảnh sát, bệnh viện, phản ứng Covid, năng lượng, giao thông vận tải, sân bay và nhà tù. "Trung Quốc chỉ làm chủ thế giới—hoặc ít nhất là tất cả mọi người sử dụng Outlook Web Access," nhà nghiên cứu nói. "Khi là lần cuối cùng mà ai đó dũng cảm đủ để chỉ đơn giản là tấn công tất cả?"

Thực tế, chiến dịch xâm nhập hàng loạt cuối cùng như vậy chỉ được tiết lộ vào tháng 12, khi tiết lộ rằng các hacker Nga đã xâm nhập vào các công cụ quản lý CNTT từ SolarWinds được sử dụng bởi 18.000 tổ chức. Chiến dịch hack này đã thành công xâm nhập ít nhất nửa tá cơ quan liên bang Hoa Kỳ. Chiến dịch hacking Exchange của Hafnium bây giờ đại diện cho chiến dịch hacking thứ hai có quy mô đó, chỉ vài tháng sau.

Cuộc săn đuổi Exploitation của những hacker Trung Quốc dường như chỉ bắt đầu vài tháng trước, khác biệt so với chiến dịch gián điệp SolarWinds yên lặng của Nga kéo dài hơn một năm. Và danh sách nạn nhân của Hafnium dường như hạn chế hơn với các tổ chức trung bình và nhỏ, trong khi SolarWinds tấn công vào các cơ quan chính phủ lớn của Mỹ.

Nhưng giống như với các hacker SolarWinds của Nga, các nhà điều tra vẫn chưa xác định được chính xác nhóm hacker Hafnium là ai—ngoài sự khẳng định của Microsoft rằng họ được tài trợ bởi nhà nước và hoạt động từ Trung Quốc—hoặc xác định rõ ràng phạm vi đầy đủ của động cơ của họ. "Tôi không hiểu mục tiêu chiến lược của việc duy trì sự kiên trì trong một cơ quan chính phủ địa phương sẽ là gì đối với MSS," người từng là quan chức an ninh quốc gia nói, đề cập đến Bộ An ninh Nhà nước của Trung Quốc. "Đây có phải là một nhóm nhà thầu hoặc một nhóm đại lý? Đó có phải là một nhóm tội phạm mạng Trung Quốc? Đó có phải là một diễn viên độc lập ở Trung Quốc đã tự điều khiển?"

Trong khi chiến dịch hack có thể nhắm vào việc đặt một mạng lưới rộng trước khi lọc các mục tiêu cho gián điệp, nhà nghiên cứu an ninh mạng nói chuyện với MYTOUR cảnh báo rằng nó có thể gây ra tác động gây rối. "Nếu họ đẩy ransomware vào đây, chúng ta sẽ có ngày tồi tệ nhất từ trước đến nay," anh ấy nói.

Nhưng khác với sự cố SolarWinds, nhà nghiên cứu chỉ ra rằng chiến dịch hack Exchange đã bị phát hiện sớm—hoặc ít nhất là sớm trong việc sử dụng rộng rãi của nó. Dù nhiệm vụ làm sạch hàng chục nghìn lỗ hổng của những hacker có thể đáng sợ, việc phát hiện sớm đó có thể mang lại cơ hội cho các nạn nhân cả về việc vá hệ thống và loại bỏ những hacker trước khi họ có thể tận dụng điểm tựa của mình trong tổ chức. "Nếu chúng ta có cơ hội ngăn chặn một vấn đề quy mô SolarWinds kéo dài trong nhiều tháng, liệu chúng ta có muốn hành động không?" nhà nghiên cứu hỏi. "Bây giờ chúng ta có cơ hội đó nếu chúng ta hành động nhanh."

• 📩 The latest on tech, science, and more: Get our newsletters!
• The Lion, the polygamist, and the biofuel scam
• Clubhouse is booming. So is the ecosystem around it
• How Google's grand plan to make its own games fell apart
• Why can't I stop staring at my own face on Zoom?
• Perseverance’s eyes see a different Mars
• 🎮 MYTOUR Games: Get the latest tips, reviews, and more
• 📱 Torn between the latest phones? Never fear—check out our iPhone buying guide and favorite Android phones