Ảnh minh họa. Shutterstock

Lỗ hổng Windows bị vũ khí hóa và chiến thuật tấn công

Theo báo cáo chi tiết của Arctic Wolf Labs, chiến dịch bắt đầu vào tháng 9 và kéo dài tới tháng 10, tập trung tấn công các phái bộ ngoại giao và mạng lưới chính phủ. Những kẻ tấn công sử dụng email được cá nhân hóa (spear-phishing) mạo danh các sự kiện hoặc đối tác ngoại giao để lừa người nhận mở tệp đính kèm.

Khi mở tệp, một lỗ hổng Windows mới sẽ bị kích hoạt, cho phép cài đặt PlugX - một công cụ truy cập từ xa (RAT) đã được nhóm tin tặc có nguồn gốc từ Trung Quốc sử dụng nhiều lần trong quá khứ. Sau khi được triển khai, phần mềm độc hại cho phép tin tặc: chiếm quyền điều khiển hệ thống bị xâm nhập; thu thập và exfiltrate (rút) tài liệu, email, và dữ liệu nội bộ; theo dõi hoạt động trong thời gian dài mà không bị phát hiện.

Các nhà nghiên cứu ghi nhận: “Các email được cá nhân hóa trông có vẻ liên quan tới sự kiện ngoại giao; khi mở, tệp đính kèm kích hoạt lỗ hổng Windows và cho phép phần mềm độc hại chạy âm thầm, đánh cắp dữ liệu và duy trì theo dõi lâu dài.”

Mục tiêu cuộc tấn công và những khuyến cáo bảo mật

Việc nhóm tin tặc chọn Hungary làm mục tiêu phản ánh vị thế chiến lược của nước này trong EU và NATO. Mục tiêu chính của chiến dịch là thông tin ngoại giao nhạy cảm như nội dung họp kín, tài liệu đàm phán, công văn nội bộ, vốn có giá trị chiến lược cao hơn nhiều so với dữ liệu tài chính.

Tác hại tiềm tàng bao gồm suy giảm vị thế ngoại giao, rò rỉ lập trường đàm phán và tổn hại đến an ninh đối ngoại nếu thông tin bị dùng để thao túng hoặc tống tiền. Ngoài ra, tình huống nhiều cơ quan sử dụng nền tảng hoặc nhà cung cấp chung làm tăng nguy cơ lây lan giữa các tổ chức.

Khuyến nghị cấp bách dành cho các cơ quan ngoại giao và chính phủ:

Nhanh chóng cập nhật các bản vá lỗ hổng: ưu tiên cập nhật patch cho hệ thống Windows nhằm giảm thiểu các lỗ hổng dễ bị tấn công.

Tăng cường cảnh giác email: nâng cao kiểm duyệt email đầu vào, áp dụng hộp cát an toàn (sandbox) cho tệp đính kèm, và đào tạo nhận diện email chứa mã độc (spear-phishing) cho cán bộ.

Phân tách hệ thống và kiểm soát quyền truy cập: tách mạng nội bộ khỏi các hệ thống ít an toàn, hạn chế quyền của tài khoản người dùng;

Triển khai hệ thống phát hiện xâm nhập, quy trình ứng phó sự cố và phối hợp chia sẻ thông tin với đối tác quốc tế.

Arctic Wolf lưu ý rằng chiến dịch này cho thấy các nhóm tin tặc tiên tiến nhanh chóng lợi dụng các lỗ hổng mới như thế nào: ngay cả sự chậm trễ ngắn trong việc vá lỗi cũng có thể gây ra rủi ro thực sự cho an ninh quốc gia.

Sự cố này cho thấy ngành ngoại giao tiếp tục là mục tiêu quan trọng của các nhóm tin tặc nước ngoài. Do đó, tất cả các tổ chức ngoại giao, đều cần được bảo mật bằng hệ thống an ninh mạng tối ưu nhất.

An Lâm (Theo Daily News Hungary)