Nhóm tin tặc Ink Dragon đang lợi dụng điểm yếu máy chủ IIS để xâm nhập và đánh cắp thông tin (Ảnh do AI tạo ra)

Theo báo cáo của công ty bảo mật Check Point, một nhóm tội phạm mạng có liên hệ với Trung Quốc, được xác định là "Ink Dragon", đang nhắm mục tiêu vào các điểm yếu phổ biến trong máy chủ Dịch vụ Thông tin Internet (IIS) để xây dựng một mạng lưới gián điệp toàn cầu khó theo dõi hoặc phá vỡ.

Nhóm này còn được biết đến với biệt danh “Earth Alux” (tên do Trend Mico đặt) và “REF7707” (tên do Elastic Security Labs đặt). Hoạt động của nhóm bắt đầu từ đầu năm 2023, khi đó chúng nhắm mục tiêu vào các chính phủ ở Đông Nam Á và Nam Mỹ. Sau đó, phạm vi hoạt động đã mở rộng sang các quốc gia châu Âu.

Phương thức hoạt động của Ink Dragon có vẻ tương tự như một số nhóm tội phạm mạng khác của Trung Quốc, chẳng hạn như UNC6384, nhóm này đã nhắm mục tiêu vào các nhà ngoại giao châu Âu .

Tuy nhiên, trong một cuộc điều tra gần đây tại văn phòng của một chính phủ châu Âu, Check Point cho biết họ đã phát hiện ra rằng nhóm này hiện đã chuyển hướng sang cái mà họ gọi là "một chiến lược tinh vi bất thường" với các mục tiêu dài hạn hơn.

Mấu chốt nằm ở IIS, nền tảng máy chủ web đã lỗi thời của Microsoft, vẫn còn hiện diện trong nhiều mạng lưới, đặc biệt là trong khu vực công. Nền tảng này có hai điểm hấp dẫn: nó được triển khai rộng rãi, nhưng thường bị cấu hình sai và không an toàn.

Chiến dịch bắt đầu khi tin tặc xâm nhập vào máy chủ IIS, giành quyền truy cập vào mạng nội bộ để thu thập thông tin đăng nhập cục bộ, nghiên cứu các phiên quản trị, sử dụng chúng và Microsoft Remote Desktop để di chuyển ngang mà không gây chú ý. Tại thời điểm này, nhóm tin tặc cài đặt một mô đun IIS tùy chỉnh biến máy chủ thành một máy chủ chuyển tiếp "im lặng" vô hình bên trong cơ sở hạ tầng toàn cầu rộng lớn hơn của nhóm.

“Các máy chủ này chuyển tiếp lệnh và dữ liệu giữa các nạn nhân khác nhau, tạo ra một mạng lưới liên lạc che giấu nguồn gốc thực sự của lưu lượng tấn công”, các nhà nghiên cứu của Check Point giải thích.

Cơ sở hạ tầng ngầm

Cuộc tấn công có hai mục tiêu: thứ nhất, xâm nhập các máy chủ của chính phủ và đánh cắp thông tin tình báo từ mạng lưới. Thứ hai, mượn các máy chủ đó để chuyển tiếp lưu lượng tấn công đến và từ các máy chủ bị xâm nhập khác theo cách khiến việc phát hiện hệ thống chỉ huy và kiểm soát (C2) trở nên khó khăn hơn nhiều.

Chiến thuật này khéo léo tránh được vấn đề phải dựa vào cơ sở hạ tầng C2 truyền thống vốn dễ bị tấn công và gián đoạn. Thay vào đó, các máy chủ chính phủ bị chiếm quyền kiểm soát và được tin cậy trở thành cơ sở hạ tầng.

“Trong nhiều vụ việc, câu chuyện đều lặp lại. Một loạt các thao tác âm thầm dẫn đến việc kiểm soát ở cấp độ tên miền. Sau đó, môi trường này được tái sử dụng như một phần của mạng lưới lớn hơn, hỗ trợ các hoạt động chống lại các mục tiêu bổ sung”, Check Point cho biết. Về bản thân lưu lượng truy cập, nhóm này che giấu thông tin liên lạc bên trong các bản nháp hộp thư thông thường, khiến nó trông giống như thông tin liên lạc hàng ngày.

(Ảnh minh họa do AI tạo ra)

Check Point phát hiện ra rằng một nhóm tin tặc Trung Quốc thứ hai, RudePanda, cũng đang đồng thời khai thác các lỗ hổng của IIS để xâm nhập máy chủ của chính phủ. Điều này có nghĩa là RudePanda “đã hoạt động trong cùng một môi trường [bị xâm nhập] vào cùng một thời điểm”.

Những phát hiện này nhấn mạnh vấn đề cấu hình sai của IIS. Các chuyên gia bảo mật khuyến cáo nhân viên quản trị máy chủ IIS thực hiện các bước: kiểm tra các mô đun đang chạy trên IIS so với một chuẩn mực tốt đã biết, bật tính năng ghi nhật ký nâng cao của IIS, cấu hình IIS để giảm thiểu khả năng xảy ra các lỗ hổng trạng thái xem phổ biến, và xem xét đặt các máy chủ IIS phía sau tường lửa ứng dụng web (WAF).

Xem thêm: