Các cơ quan Hoa Kỳ phát hiện phần mềm độc hại tiên tiến của Trung Quốc

Tóm tắt điều hành

Trong một cảnh báo an ninh mạng quan trọng, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA), cùng với NSA và Trung tâm An ninh Mạng Canada, đã chi tiết một chiến dịch gián điệp tinh vi do các tác nhân đe dọa từ Cộng hòa Nhân dân Trung Hoa (PRC) tiến hành. Hoạt động này sử dụng một phần mềm độc hại cửa hậu tùy chỉnh có tên BRICKSTORM để thiết lập quyền truy cập lâu dài, liên tục vào các mạng thông tin và chính phủ nhạy cảm của Hoa Kỳ. Phần mềm độc hại được thiết kế để tàng hình và đã được quan sát vẫn không bị phát hiện trong các hệ thống bị xâm nhập trong hơn 18 tháng, cho phép di chuyển ngang rộng rãi và trích xuất dữ liệu.

Chi tiết sự kiện

Cốt lõi của chiến dịch là phần mềm độc hại BRICKSTORM, một cửa hậu được viết bằng ngôn ngữ lập trình Go nhắm mục tiêu vào môi trường VMware vSphere và Windows. Chức năng chính của nó là cung cấp cho kẻ tấn công quyền truy cập shell tương tác, khả năng thao tác tệp và kênh chỉ huy và kiểm soát (C2) mô phỏng lưu lượng truy cập web bình thường để tránh bị phát hiện. Phần mềm độc hại sử dụng các kỹ thuật tiên tiến, bao gồm DNS-over-HTTPS (DoH) để che giấu giao tiếp và giao diện ổ cắm ảo (VSOCK) để tạo điều kiện giao tiếp giữa các máy ảo (VM), cho phép nó chuyển đổi giữa các hệ thống khách và máy chủ.

Theo phân tích của CISA, chuỗi tấn công thường bắt đầu bằng việc khai thác các lỗ hổng đã biết trong các thiết bị hướng ra internet, chẳng hạn như Ivanti Connect Secure. Sau khi có được quyền truy cập ban đầu, các tác nhân triển khai một webshell và di chuyển ngang qua mạng. Một mục tiêu chính là thỏa hiệp máy chủ VMware vCenter, nơi cung cấp quản lý tập trung môi trường ảo hóa. Từ đó, kẻ tấn công đã được quan sát thấy đánh cắp cơ sở dữ liệu Active Directory, trích xuất khóa mật mã từ máy chủ ADFS và thu thập thông tin đăng nhập cho các tài khoản Nhà cung cấp dịch vụ quản lý (MSP), đại diện cho một mối đe dọa chuỗi cung ứng quan trọng.

Ảnh hưởng thị trường

Việc tiết lộ chiến dịch BRICKSTORM có ý nghĩa ngay lập tức đối với thị trường an ninh mạng và các doanh nghiệp dựa vào công nghệ ảo hóa. Việc nhắm mục tiêu cụ thể vào cơ sở hạ tầng VMware gây áp lực trực tiếp lên công ty và khách hàng của họ để đảm bảo các hệ thống được vá lỗi và củng cố chống lại các cuộc tấn công như vậy. Việc dựa vào việc khai thác các lỗ hổng đã biết nhưng chưa được vá lỗi nhấn mạnh tầm quan trọng của việc quản lý bản vá cẩn thận cho các thiết bị biên mạng từ các nhà cung cấp như Ivanti và F5.

Chiến lược thỏa hiệp các tài khoản MSP và sử dụng quyền truy cập đó để chuyển sang mạng lưới khách hàng làm nổi bật một rủi ro chuỗi cung ứng có hệ thống. Các nhà đầu tư và hội đồng quản trị công ty có khả năng tăng cường giám sát các tư thế bảo mật của bên thứ ba. Hơn nữa, việc trích xuất dữ liệu thành công từ các môi trường đám mây, bao gồm Microsoft Azure, SharePoint và OneDrive, chứng tỏ rằng ngay cả các triển khai đám mây tinh vi cũng dễ bị tổn thương nếu các kiểm soát quản lý danh tính và truy cập bị xâm phạm.

Bình luận của chuyên gia

Các nhà nghiên cứu bảo mật tại Google Mandiant và CrowdStrike, những người theo dõi các cụm hoạt động là UNC5221 và Warp Panda tương ứng, đã xác nhận các phát hiện của CISA. CrowdStrike lưu ý rằng Warp Panda "thể hiện trình độ tinh vi kỹ thuật cao, kỹ năng an ninh hoạt động (OPSEC) tiên tiến và kiến thức sâu rộng về môi trường đám mây và VM." Mục tiêu của nhóm được mô tả là duy trì "quyền truy cập bí mật, lâu dài, liên tục vào các mạng bị xâm phạm, có thể để hỗ trợ các nỗ lực thu thập thông tin tình báo."

Để đáp lại các cáo buộc, người phát ngôn Đại sứ quán Trung Quốc tại Washington đã đưa ra một tuyên bố với Reuters, bác bỏ các cáo buộc và nói rằng chính phủ Trung Quốc không "khuyến khích, hỗ trợ hoặc đồng lõa với các cuộc tấn công mạng."

Bối cảnh rộng hơn

Chiến dịch do nhà nước tài trợ này phù hợp với một mô hình rộng lớn hơn của căng thẳng địa chính trị leo thang biểu hiện trong không gian mạng. Nó đóng vai trò là một ví dụ dựa trên dữ liệu về cách các quốc gia sử dụng các công cụ tiên tiến để nhắm mục tiêu vào cơ sở hạ tầng quan trọng để thu thập thông tin tình báo. Phương pháp sống ngoài đất liền – sử dụng thông tin đăng nhập hợp pháp và hòa nhập với lưu lượng mạng bình thường – khiến việc phát hiện trở nên khó khăn nếu không có khả năng săn lùng mối đe dọa tiên tiến. Sự cố này, kết hợp với các điểm yếu bảo mật khác như bản án gần đây của một người đàn ông Maryland vì đã giúp các đặc vụ Triều Tiên xâm nhập vào các công ty công nghệ Hoa Kỳ, vẽ ra một bức tranh nghiệt ngã về thách thức an ninh mạng đa mặt mà cả khu vực công và tư nhân ở Hoa Kỳ đang phải đối mặt.