Các cuộc tấn công mạng của Trung Quốc bị nghi ngờ nhằm vào các điệp viên ngầm của Hoa Kỳ

Tin tặc đã khai thác lỗ hổng zero-day trong Versa Director—phần mềm được các ISP sử dụng rộng rãi để bảo mật hoạt động mạng—gây tổn hại cho một số công ty internet tại Hoa Kỳ (US) và nước ngoài, theo Black Lotus Labs, bộ phận nghiên cứu mối đe dọa củaCông nghệ Lumen .

Lumen nghi ngờ các cuộc tấn công có thểcó nguồn gốc từ Trung Quốc .

Lumen lưu ý:

“Dựa trên các chiến thuật và kỹ thuật đã biết và quan sát được, Black Lotus Labs cho rằng việc khai thác lỗ hổng zero-day CVE-2024-39717 và việc sử dụng hoạt động của shell web VersaMem với mức độ tin cậy vừa phải là do các tác nhân đe dọa do nhà nước Trung Quốc tài trợ có tên là Volt Typhoon và Bronze Silhouette thực hiện.”

Các nhà nghiên cứu của Lumen đã xác định được bốn nạn nhân người Mỹ và một nạn nhân nước ngoài, với các mục tiêu được báo cáo bao gồm nhân viên chính phủ và quân đội làm việc bí mật, cũng như các nhóm khác có lợi ích chiến lược.Trung Quốc .

Các nhà nghiên cứu cảnh báo rằng lỗ hổng này vẫn còn hiệu lực đối với các hệ thống Versa Director chưa được vá.

Brandon Wales, cựu giám đốc điều hành của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), đã nhấn mạnh sự tinh vi ngày càng tăng củaCác cuộc tấn công mạng của Trung Quốc và kêu gọi tăng cường đầu tư vào an ninh mạng.

Ông bày tỏ:

“Trung Quốc tiếp tục nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ. Việc vạch trần các nỗ lực của Volt Typhoon rõ ràng đã dẫn đến những thay đổi về chiến thuật, thủ đoạn mà họ đang sử dụng, nhưng chúng tôi biết rằng họ vẫn tiếp tục cố gắng xâm phạm cơ sở hạ tầng quan trọng của Hoa Kỳ mỗi ngày.”

Black Lotus Labs nhấn mạnh mức độ nghiêm trọng của lỗ hổng bảo mật và kêu gọi các tổ chức sử dụng Versa Director nâng cấp lên phiên bản 22.1.4 trở lên.

Trung Quốc phủ nhận cáo buộc

Trung Quốc đã phủ nhận cáo buộc, tuyên bố rằng "Volt Typhoon" thực chất là một nhóm tội phạm mạng chuyên tống tiền tự xưng là "Dark Power" và không được bất kỳ tiểu bang hay khu vực nào tài trợ.

Người phát ngôn của đại sứ quán Lưu Bằng Vũ đã đưa ra lời phủ nhận này và người phát ngôn Bộ Ngoại giao Trung Quốc Lâm Kiến cũng đồng tình trong một cuộc trao đổi với tờ Hoàn cầu Thời báo vào ngày 15 tháng 4.

Theo phát hiện, Volt Typhoon đã sử dụng một web shell chuyên dụng có tên là "VersaMem" để thu thập thông tin đăng nhập của người dùng.

Tổng quan về quy trình khai thác Versa Director và chức năng web shell VersaMem

VersaMem là một phần mềm độc hại tinh vi có thể xâm nhập vào nhiều quy trình khác nhau và điều khiển mã Java của các máy chủ dễ bị tấn công.

Nó hoạt động hoàn toàn trong bộ nhớ, khiến cho việc phát hiện trở nên đặc biệt khó khăn.

Máy chủ Versa Director bị nhắm mục tiêu trong Exploit

Cáckhai thác nhắm mục tiêu cụ thể vào các máy chủ Versa Director, thường được các nhà cung cấp dịch vụ internet và dịch vụ được quản lý sử dụng, khiến chúng trở thành mục tiêu chính cho các tác nhân đe dọa muốn xâm nhập vào hệ thống quản lý mạng doanh nghiệp.

Versa Networks đã xác nhận lỗ hổng bảo mật này vào thứ Hai, lưu ý rằng nó đã bị khai thác "trong ít nhất một trường hợp đã biết".

Theo Lumen, web shell VersaMem lần đầu tiên được phát hiện trên VirusTotal vào ngày 7 tháng 6, ngay trước khi xảy ra vụ khai thác ban đầu.

Ảnh chụp màn hình từ VirusTotal cho VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) hiển thị 0 phát hiện

Phần mềm độc hại, được biên dịch bằng Apache Maven, bao gồm các bình luận trongTiếng Trung Quốc các ký tự trong mã và vẫn không bị phần mềm diệt vi-rút phát hiện cho đến giữa tháng 8.