Điệp viên Trung Quốc Đã Tấn Công vào Ứng Dụng Nuôi Trồng Để Xâm Nhập Mạng Lưới Của Hoa Kỳ

Phần mềm web được biết đến là Hệ thống Báo cáo Chẩn đoán Khẩn cấp Sức khỏe Động vật, hay USAHERDS, đóng vai trò như một công cụ số hữu ích cho các chính phủ bang để theo dõi và truy vết các loại bệnh động vật trong quần thể gia súc. Nhưng giờ đây, nó lại trở thành một loại vector lây nhiễm riêng—in bàn tay của một trong những nhóm hacker nổi tiếng của Trung Quốc.

Vào thứ Ba, công ty phản ứng sự cố an ninh mạng Mandiant tiết lộ một chiến dịch tấn công mạng kéo dài đã xâm phạm ít nhất sáu chính phủ bang của Hoa Kỳ trong năm qua. Mandiant nói rằng chiến dịch này, mà họ tin là do nhóm gián điệp Trung Quốc nổi tiếng APT41 thực hiện—còn được biết đến với tên Barium, hoặc là một phần của nhóm hacker Trung Quốc lớn hơn Winnti—sử dụng một lỗ hổng trong USAHERDS để xâm nhập ít nhất hai trong số những mục tiêu đó. Nó có thể đã tấn công nhiều hơn, vì 18 bang sử dụng USAHERDS trên các máy chủ web, và bất kỳ máy chủ nào cũng có thể bị chiếm đoạt bởi nhóm hacker.

APT41 đã giành được danh tiếng là một trong những nhóm hacker Trung Quốc hung dữ nhất. Bộ Tư pháp Hoa Kỳ đã buộc tội năm thành viên của nó vắng mặt vào năm 2020 và buộc tội họ đã xâm nhập vào hàng trăm hệ thống của nạn nhân trên khắp châu Á và phương Tây, cả vì gián điệp được tài trợ bởi nhà nước và vì lợi nhuận. Mục tiêu của nhóm trong loạt tấn công mới nhất này, hoặc dữ liệu họ có thể đang tìm kiếm, vẫn là một điều bí ẩn. Nhưng nhà phân tích Mandiant Rufus Brown nói rằng điều đó vẫn cho thấy APT41 hoạt động đến đâu, và làm thế nào họ đã sáng tạo và toàn diện trong việc tìm kiếm mọi cơ hội để xâm nhập thêm một loạt mục tiêu—thậm chí là một công cụ quản lý gia súc lạ lẫm mà đa số người Mỹ chưa bao giờ nghe nói đến.

“Rất đáng lo lắng khi thấy nhóm này ở mọi nơi,” nói Brown. “APT41 đang tìm kiếm bất kỳ ứng dụng web nào có giao diện với bên ngoài có thể mang lại quyền truy cập vào mạng. Rất kiên trì, liên tục nhắm mục tiêu.”

Cuối năm ngoái, Mandiant cảnh báo đến nhà phát triển của USAHERDS, một công ty có trụ sở tại Pennsylvania có tên Acclaim Systems, về một lỗ hổng có độ nguy hiểm cao trong ứng dụng. Ứng dụng mã hóa và ký hiệu dữ liệu được gửi giữa các PC và máy chủ chạy nó bằng các khóa được thiết kế để là duy nhất đối với mỗi cài đặt. Thay vào đó, các khóa đã được mã hóa cứng vào ứng dụng, có nghĩa là chúng giống nhau đối với mọi máy chủ chạy USAHERDS. Điều đó có nghĩa là bất kỳ hacker nào biết giá trị khóa được mã hóa cứng—như Mandiant tin rằng APT41 đã làm trong quá trình tìm hiểu về mạng của nạn nhân khác một cách trước đó—có thể điều chỉnh dữ liệu được gửi từ PC của người dùng đến máy chủ để lợi dụng một lỗ hổng khác trong mã nguồn của nó, cho phép hacker chạy mã của họ trên máy chủ theo ý muốn. Mandiant nói rằng Acclaim Systems đã vá lỗ hổng trong USAHERDS. (MYTOUR đã liên hệ với Acclaim Systems nhưng không nhận được phản hồi.)

USAHERDS chẳng phải là ứng dụng web duy nhất mà APT41 có vẻ đã tấn công để vào hệ thống của nạn nhân. Dựa trên một loạt trường hợp phản ứng sự cố trong năm qua, Mandiant tin rằng nhóm Trung Quốc đã ít nhất từ tháng 5 năm 2021 nhắm vào chính phủ các bang Hoa Kỳ bằng cách lợi dụng các ứng dụng web sử dụng một framework phát triển được gọi là ASP.NET. Ban đầu, nhóm có vẻ đã sử dụng một lỗ hổng trong hai ứng dụng web như vậy, mà Mandiant từ chối công bố tên, để xâm nhập vào hai chính phủ bang Hoa Kỳ. Mỗi ứng dụng đó chỉ được sử dụng bởi một trong hai cơ quan của tiểu bang, Mandiant nói.

Nhưng trong tháng tiếp theo và kéo dài đến cuối năm 2021, Mandiant nhận thấy các hacker chuyển sang nhắm vào USAHERDS như một phương tiện khác để xâm nhập. APT41 đã hack USAHERDS trước tiên như một cách để vào một trong hai chính phủ tiểu bang nó đã nhắm tới, và sau đó là để xâm nhập vào một thứ ba. Mandiant chưa xác nhận rằng cùng một lỗ hổng đã được sử dụng để hack bất kỳ nạn nhân nào khác. Bắt đầu từ tháng 12, Mandiant phát hiện APT41 chuyển sang lợi dụng lỗ hổng rộng rãi được công bố của Log4j, framework ghi log Apache phổ biến, để xâm nhập ít nhất hai chính phủ bang Hoa Kỳ khác nhau.

Tuy nhiên, Mandiant vẫn quyết định tiết lộ việc khai thác USAHERDS trong hai vụ xâm nhập trước đó do ứng dụng được sử dụng rộng rãi trên các chính phủ tiểu bang, sự nghiêm trọng của lỗ hổng và khả năng rằng nó cũng đã được sử dụng để một cách âm thầm xâm nhập vào các mạng tiểu bang khác. "Có 18 bang sử dụng USAHERDS. Nếu bạn là APT41, tại sao bạn không lợi dụng hết?” nói Rufus Brown của Mandiant. "Chúng tôi không biết nó rộng lớn như thế nào. Chúng tôi chỉ muốn đưa thông tin ra đây thôi."

Một khi đã truy cập vào một máy chủ trên một mạng tiêu điểm, APT41 sẽ tiến triển bằng cách sử dụng các công cụ "đánh cắp chứng chỉ" tương đối phổ biến, như kỹ thuật Mimikatz để truy cập mật khẩu trong bộ nhớ máy và sau đó sử dụng chúng để truy cập vào các máy tính khác trên mạng. Sau đó, chúng cài đặt mã lối sau vào máy tính của nạn nhân, cho phép chúng tiếp cận rộng rãi, liên tục vào các mạng của chính phủ tiểu bang. Nhóm này sử dụng phần mềm độc hại và cơ sở hạ tầng mà Mandiant nói rằng nó nhận diện rõ là của APT41, bao gồm các công cụ có tên như KEYPLUG, DEADEYE và DUSTPAN.

Bán nửa tá chính phủ bang Hoa Kỳ mà Mandiant đã đặc biệt chú ý tham gia vào một danh sách lớn các mục tiêu của APT41 suốt vài năm qua, từ Hoa Kỳ, Pháp, Úc, Vương quốc Anh và Chile đến một chục quốc gia châu Á. Nhóm này, mà Bộ Tư pháp Hoa Kỳ đã liên kết với một công ty có trụ sở tại thành phố Trùng Khánh, Trung Quốc có tên là Chengdu 404 Network Technology, đã thực hiện một sự kết hợp không bình thường giữa hacking tập trung vào gián điệp—dường như để phục vụ chính phủ Trung Quốc—và hacking vì lợi nhuận, từ việc đánh cắp tiền ảo trong trò chơi video đến ransomware.

Tuy nhiên, APT41 có thể nổi bật nhất với những phương pháp sáng tạo của mình để tiếp cận một lượng lớn mạng tiêu điểm, thường có sự độc đáo và tinh tế hơn nhiều so với phishing đơn giản hoặc password-spraying được sử dụng bởi một số nhóm. Ví dụ, trong suốt vài năm, nhóm đã thực hiện một loạt các hoạt động nắm đám chuỗi cung ứng phần mềm, tiếp cận hệ thống của các nhà phát triển phần mềm để đặt mã của họ vào các ứng dụng chính thức như bản cập nhật phần mềm của hãng laptop Asus, công cụ làm sạch ổ cứng CCleaner và Netsarang, một công cụ quản lý từ xa doanh nghiệp do Hàn Quốc sản xuất.

Việc nhóm này đặc biệt nhắm đến các ứng dụng web chuyên sâu như USAHERDS là một ví dụ khác về những phương pháp tương đối hóc búa của chúng. "Họ rất sáng tạo," nói Brown. "Họ có khả năng vận hành cao để thực sự thực hiện những chiến dịch quy mô lớn như vậy."

Bài học dành cho các nhà phát triển, dường như, là rằng không có ứng dụng nào là quá tối ưu để trở thành mục tiêu của một đối thủ quyết tâm. Mã của bạn có thể chỉ được thiết kế để giám sát bò. Nhưng điều đó không có nghĩa là các đội ngũ gián điệp do chính phủ tài trợ không đang giám sát mã của bạn.

Những điều tuyệt vời khác của MYTOUR

• 📩 Những thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi ngay bây giờ!
• Lái xe trong khi sử dụng chất kích thích? Bí mật công nghệ cao trong việc tìm hiểu điều đó
• Horizon Forbidden West - một phần tiếp theo đáng giá
• Bắc Triều Tiên đã tấn công anh ta. Anh ta đã làm ngừng hoạt động internet của họ
• Cách thiết lập bàn làm việc của bạn một cách ergonomics
• Web3 đang đe dọa tách rời cuộc sống trực tuyến của chúng ta
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có thể với cơ sở dữ liệu mới của chúng tôi
• ✨ Tối ưu hóa cuộc sống tại nhà của bạn với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ robot hút bụi đến nệm giá rẻ đến loa thông minh