Tin tặc chuyển hướng nhắm mục tiêu đến các công ty viễn thông nhằm đánh cắp bí mật 5G

Các chuyên gia an ninh mạng quốc tế vừa phát đi thông báo khẩn về một chiến dịch gián điệp mạng quy mô lớn đang nhắm mục tiêu mạnh mẽ vào các công ty viễn thông trên khắp thế giới. Thông qua các cuộc tấn công, hacker sẽ sử dụng mã độc để cố gắng đánh cắp dữ liệu nhạy cảm, quan trọng - đặc biệt là thông tin về công nghệ 5G - từ các nạn nhân bị xâm phạm.

Chiến dịch này được phát hiện đầu tiên bởi các nhà nghiên cứu an ninh mạng tại McAfee, và hiện đang nhắm mục tiêu đến các nhà cung cấp dịch vụ viễn thông ở Đông Nam Á, Châu Âu và Hoa Kỳ - những khu vực được coi là điểm nóng về tốc độ triển khai cơ sở hạ tầng mạng 5G  hiện nay. Qua phân tích sơ bộ, phía McAfee xác định tổ chức đứng sau vận hành chiến dịch tấn công này nhiều khả năng là một nhóm hacker đến từ Trung Quốc. Đó cũng là lý do tại sao nó được đặt tên là Chiến dịch Diànxùn (Operation Diànxùn).

Nhóm hacker được McAfee đưa vào diện tình nghi có tên gọi Mustang Panda (hoặc RedDelta). Nhóm này vốn cũng sở hữu bảng “thành tích” khá “bất hảo” khi có tên trong nhiều chiến dịch tấn công và gián điệp mạng nhắm mục tiêu đến các cơ quan, tổ chức trên khắp thế giới, không giới hạn lĩnh vực. Việc một nhóm hacker giàu kinh nghiệm như Mustang Panda chuyển hướng nhắm mục tiêu đến các nhà cung cấp viễn thông rõ ràng sẽ là một mối lo ngại lớn.

Theo thống kê sơ bộ, đã có ít nhất 23 nhà cung cấp dịch vụ viễn thông bị nghi ngờ là mục tiêu của chiến dịch tấn công bắt đầu từ tháng 8 năm 2020. Tuy nhiên, hiện vẫn chưa rõ có bao nhiêu mục tiêu đã bị tin tặc xâm nhập thành công.

Mặc dù phương thức lây nhiễm ban đầu cũng chưa được xác định, nhưng các nhà nghiên cứu đã cơ bản tìm thấy một miền lừa đảo độc hại đặt dưới sự kiểm soát của những kẻ tấn công được sử dụng để lây lan phần mềm độc hại cho nạn nhân.

Theo các nhà nghiên cứu, website độc hại được ngụy trang giả mạo là một trang web dịch vụ của Huawei - một đối tác cung cấp thiết bị 5G cho nhiều doanh nghiệp viễn thông lớn. Nó được thiết kế tinh xảo đến mức gần như không thể phân biệt được với thực tế. McAfee nhấn mạnh rằng bản thân Huawei không tham gia vào chiến dịch gián điệp mạng mạng này.

Khi người dùng truy cập trang web giả mạo, nó cung cấp một ứng dụng Flash độc hại được sử dụng để thả backdoor Cobalt Strike vào hệ thống mục tiêu, cuối cùng cung cấp cho những kẻ tấn công khả năng hiển thị, thu thập và đánh cắp thông tin nhạy cảm. Các cuộc tấn công dường như được thiết kế để nhắm vào những người có kiến thức về 5G và đánh cắp thông tin nhạy cảm hoặc bí mật liên quan đến công nghệ này.

Có khá nhiều điểm tương đồng giữa Chiến dịch Diànxùn với một số hoạt động độc hại đã từng được tiến hành trước đây bởi các nhóm hacker Trung Quốc nói chung. Sự tương đồng đến từ cách thức phần mềm độc hại được triển khai cả về chiến thuật, kỹ thuật và quy trình (TTP). Quá trình phân tích các cuộc tấn công cho thấy chiến dịch này vẫn đang tích cực tìm cách xâm phạm các mục tiêu trong lĩnh vực viễn thông.

Với việc các miền độc hại đóng một vai trò quan trọng trong chiến dịch này, phương pháp hữu hiệu nhất có thể giúp các doanh nghiệp tự bảo vệ mình là đào tạo, nâng cao kiến thức cũng như sự cảnh giác của nhân viên, để họ có thể nhận ra rằng mình đang truy cập vào một trang web giả mạo hoặc độc hại. Điều này nói thì dễ nhưng thực tế rất phức tạp bởi những kẻ tấn công mạng đã trở nên rất giỏi trong việc xây dựng các trang web giả mạo có độ chính xác cao.

Bên cạnh đó, việc xây dự một chiến lược mạnh mẽ để áp dụng các bản cập nhật và bản vá bảo mật kịp thời cũng có thể giúp bảo vệ doanh nghiệp khỏi các cuộc tấn công mạng một cách chủ động, hiệu quả.