Salt Typhoon là một nhóm tin tặc do nhà nước Trung Quốc tài trợ, được cho là có liên kết với cơ quan tình báo Bộ An ninh Quốc gia Trung Quốc (MSS). Nhóm tin tặc này đã trở nên khét tiếng trong hai năm qua với làn sóng tấn công vào các nhà cung cấp viễn thông và băng thông rộng trên toàn thế giới, bao gồm AT&T, Verizon, Lumen, Charter, Windstream và Viasat.

Mục tiêu của một số cuộc tấn công mà Salt Typhoon triển khai là nhằm truy cập vào nhật ký cuộc gọi nhạy cảm, thông tin liên lạc riêng tư và hệ thống nghe lén của cơ quan thực thi pháp luật được chính phủ Mỹ sử dụng.

Mạng lưới Vệ binh Quốc gia Hoa Kỳ bị xâm nhập ra sao?

Một bản ghi nhớ của Bộ An ninh nội địa vào ngày 11/6, được kênh truyền thông NBC đưa tin lần đầu tiên cho biết, Salt Typhoon đã xâm nhập mạng lưới Vệ binh quốc gia Lục quân của một tiểu bang Mỹ trong 09 tháng, từ tháng 3 đến tháng 12/2024.

Theo một báo cáo của Bộ Quốc phòng Mỹ, trong thời gian nói trên, tin tặc Salt Typhoon đã đánh cắp sơ đồ mạng, tệp cấu hình, thông tin đăng nhập quản trị viên và thông tin cá nhân của các quân nhân, có thể được sử dụng để xâm nhập mạng lưới Vệ binh Quốc gia, mạng lưới đối tác, chính phủ ở các tiểu bang và ít nhất bốn vùng lãnh thổ của Mỹ".

Dữ liệu này cũng bao gồm thông tin đăng nhập quản trị viên và sơ đồ mạng của các mạng này có thể được sử dụng để tạo điều kiện cho các vụ tấn công Salt Typhoon tiếp theo vào các đơn vị này. Bản ghi nhớ còn nêu rõ rằng Salt Typhoon trước đây đã sử dụng các cấu trúc mạng và tệp cấu hình bị đánh cắp để xâm nhập vào cơ sở hạ tầng quan trọng và các cơ quan chính phủ Hoa Kỳ.

"Từ tháng 1 đến tháng 3/2024, Salt Typhoon đã rò rỉ các tệp cấu hình liên quan đến các cơ quan chính phủ và cơ sở hạ tầng quan trọng khác của Hoa Kỳ, bao gồm ít nhất hai cơ quan chính phủ tiểu bang của Hoa Kỳ. Ít nhất một trong những tệp này sau đó đã thông báo về việc xâm nhập của chúng vào một thiết bị dễ bị tấn công trên mạng của một cơ quan chính phủ Hoa Kỳ khác.

Các tệp cấu hình mạng chứa các cài đặt, hồ sơ bảo mật và thông tin đăng nhập được cấu hình trên các thiết bị mạng, chẳng hạn như bộ định tuyến, tường lửa và cổng mạng riêng ảo (VPN). Thông tin này rất có giá trị đối với kẻ tấn công, vì nó có thể được sử dụng để xác định đường dẫn đến và thông tin đăng nhập cho các mạng nhạy cảm khác mà thường không thể truy cập qua Internet.

Bộ An ninh nội địa Hoa Kỳ (DHS) cảnh báo rằng, từ năm 2023 đến năm 2024, Salt Typhoon đã đánh cắp 1.462 tệp cấu hình mạng liên quan đến khoảng 70 cơ quan chính phủ và cơ sở hạ tầng quan trọng của Hoa Kỳ từ 12 lĩnh vực.

Mặc dù không tiết lộ cách Salt Typhoon xâm nhập mạng lưới của Vệ binh Quốc gia, nhưng nhóm tin tặc đến từ Trung Quôc này được biết đến với việc nhắm mục tiêu vào các lỗ hổng cũ trong các thiết bị mạng, chẳng hạn như bộ định tuyến Cisco.

Bản ghi nhớ của DHS đã chia sẻ các lỗ hổng sau mà Salt Typhoon đã lợi dụng trong quá khứ để xâm nhập mạng như sau:

CVE-2018-0171: Một lỗ hổng nghiêm trọng trong Cisco IOS và IOS XE Smart Install cho phép thực thi mã từ xa thông qua các gói giao thức điều khiển truyền dẫn (TCP) được thiết kế đặc biệt.

CVE-2023-20198: Một lỗ hổng zero-day ảnh hưởng đến giao diện người dùng web Cisco IOS XE, cho phép truy cập từ xa vào thiết bị mà không cần xác thực.

CVE-2023-20273: Một lỗ hổng leo thang đặc quyền cũng nhắm mục tiêu vào IOS XE, cho phép tin tặc thực thi lệnh với tư cách quyền truy cập (root). Lỗ hổng này đã được phát hiện kết hợp với CVE-2023-20198 để duy trì tính dai dẳng.

CVE-2024-3400: Một lỗ hổng tiêm lệnh trong PAN-OS GlobalProtect của Palo Alto Networks, cho phép kẻ tấn công không cần xác thực thực thi lệnh trên thiết bị.

Các chuyên gia cũng chia sẻ các địa chỉ IP sau đây đã được Salt Typhoon sử dụng khi khai thác các lỗ hổng bảo mật nêu trên:

Trong các cuộc tấn công trước đó, tin tặc đã khai thác các bộ định tuyến Cisco chưa được vá trong môi trường viễn thông để truy cập vào cơ sở hạ tầng. Những kẻ tấn công đã sử dụng quyền truy cập này để do thám thông tin liên lạc của các chiến dịch chính trị và các nhà lập pháp Hoa Kỳ.

Trong khuôn khổ các cuộc tấn công này, các tác nhân đe dọa đã triển khai phần mềm độc hại tùy chỉnh có tên JumblePath và GhostSpider để giám sát các mạng viễn thông.

Bản ghi nhớ của DHS kêu gọi Lực lượng Vệ binh Quốc gia và các đội an ninh mạng của chính phủ đảm bảo các lỗ hổng này đã được vá và tắt các dịch vụ không cần thiết, phân đoạn lưu lượng giao thức mạng được sử dụng trong hệ điều hành Windows (SMB), triển khai chữ ký SMB và thực thi kiểm soát truy cập.

Một phát ngôn viên của Cục Vệ binh Quốc gia đã xác nhận về vụ xâm nhập với NBC nhưng từ chối chia sẻ chi tiết cụ thể, tuyên bố rằng nó không làm gián đoạn các nhiệm vụ liên bang hoặc tiểu bang.

Đại sứ quán Trung Quốc tại Washington không phủ nhận vụ tấn công nhưng tuyên bố Hoa Kỳ chưa cung cấp "bằng chứng thuyết phục và đáng tin cậy" cho thấy Salt Typhoon có liên quan đến chính phủ Trung Quốc.