Nhóm đe dọa dai dẳng nâng cao (APT) được Trung Quốc hậu thuẫn, Flax Typhoon, đã duy trì quyền truy cập trái phép vào một hệ thống ArcGIS trong suốt hơn một năm bằng cách biến phần mềm đáng tin cậy thành một backdoor cố định. Đây là một kỹ thuật duy trì quyền truy cập đặc biệt độc đáo, buộc chính nhà cung cấp phải cập nhật tài liệu kỹ thuật của mình. Những kẻ tấn công đã khéo léo tái sử dụng một tiện ích mở rộng đối tượng máy chủ Java hợp pháp thành một web shell tinh vi, khóa quyền truy cập bằng một khóa cứng được nhúng sẵn, và còn tích hợp nó vào các bản sao lưu hệ thống để né tránh mọi nỗ lực phát hiện ban đầu và duy trì sự tồn tại lâu dài.

Phân Tích Kỹ Thuật Duy Trì Quyền Truy Cập Độc Đáo của Flax Typhoon

Trong hơn một năm, Flax Typhoon đã chứng minh một nguyên tắc cốt lõi trong tấn công mạng hiện đại: những kẻ tấn công không nhất thiết phải phát triển các công cụ độc hại riêng khi họ có thể vũ khí hóa chính các thành phần và chức năng hợp pháp của hệ thống mục tiêu. Đây là một phương pháp tiếp cận cực kỳ hiệu quả để né tránh các biện pháp bảo mật truyền thống.

Tái Sử Dụng Tiện Ích Mở Rộng Đối Tượng Máy Chủ Java (SOE) thành Web Shell

Nhóm Flax Typhoon đã thực hiện một bước đi táo bạo bằng cách sửa đổi một tiện ích mở rộng đối tượng máy chủ Java hợp pháp của ứng dụng bản đồ địa lý ArcGIS thành một web shell hoàn chỉnh và có khả năng hoạt động cao. Kỹ thuật duy trì quyền truy cập này cho phép kẻ tấn công thiết lập một điểm trụ vững chắc, thậm chí có thể sống sót sau các quy trình phục hồi hệ thống toàn diện. Sự tinh vi nằm ở chỗ cuộc tấn công khai thác niềm tin vốn có mà các hệ thống đặt vào các thành phần phần mềm hợp pháp của chính chúng.

Thay vì triển khai các công cụ độc hại đã được biết đến, những kẻ tấn công đã tái sử dụng một tiện ích mở rộng đối tượng máy chủ hoàn toàn hợp pháp. Việc này biến nó thành một web shell bí mật, cho phép các hoạt động di chuyển trong mạng xuất hiện như các hoạt động bình thường của ứng dụng. Điều này giúp chúng dễ dàng vượt qua các công cụ phát hiện truyền thống vốn chỉ tập trung vào các tạo tác độc hại đã được nhận diện trước.

Web shell này sau đó đã bị lạm dụng nhiều lần để thực thi các lệnh PowerShell được mã hóa bổ sung. Tất cả các lệnh này đều được định tuyến một cách có chủ đích thông qua cùng một tiện ích mở rộng “JavaSimpleRESTSOE” và hoạt động “getLayerCountByType” cụ thể. Sự lặp lại này, dù có vẻ đơn giản, lại là dấu hiệu của một kỹ thuật duy trì quyền truy cập được kiểm soát chặt chẽ, được thiết kế để hòa nhập vào lưu lượng truy cập hợp pháp.

Cơ Chế Khóa Cứng và Nhúng Backdoor vào Bản Sao Lưu

Để đảm bảo quyền kiểm soát độc quyền đối với backdoor đã tạo, Flax Typhoon đã triển khai một khóa cứng (hardcoded key) để kiểm soát quyền truy cập. Điều này không chỉ ngăn chặn các tác nhân độc hại khác lợi dụng lỗ hổng mà còn củng cố tính bền vững của sự xâm nhập. Đặc biệt, việc nhúng thành phần bị xâm nhập vào các bản sao lưu hệ thống là một yếu tố then chốt giúp kỹ thuật duy trì quyền truy cập này tồn tại ngay cả sau các nỗ lực khắc phục sự cố nghiêm túc.

Phương pháp duy trì quyền truy cập này được đánh giá là đặc biệt xảo quyệt và có khả năng phá hoại cao. Bằng cách chiến lược đảm bảo thành phần đã bị thỏa hiệp được đưa vào các bản sao lưu định kỳ, những kẻ tấn công đã hiệu quả biến các kế hoạch phục hồi thảm họa của tổ chức thành các phương pháp tái nhiễm được đảm bảo. Điều này tạo ra một vòng lặp khó khăn trong việc loại bỏ hoàn toàn mối đe dọa.

Hệ quả là, các mạng lưới an toàn được thiết kế để bảo vệ hệ thống lại trở thành nguồn rủi ro và trách nhiệm tiềm ẩn. Các đội ứng phó sự cố bắt buộc phải thay đổi tư duy, coi các bản sao lưu không chỉ là phương tiện phục hồi mà còn là các vectơ tái nhiễm tiềm năng, đòi hỏi sự kiểm tra kỹ lưỡng hơn bao giờ hết để tăng cường an ninh mạng.

Hoạt Động Sau Khai Thác và Tác Động Hệ Thống

Một khi backdoor được thiết lập vững chắc, nó đã cho phép các hoạt động “hands-on-keyboard” (kiểm soát trực tiếp) của kẻ tấn công, tạo điều kiện thuận lợi cho một loạt các hành động độc hại. Điều này bao gồm khả năng thực thi lệnh từ xa, thực hiện di chuyển ngang (lateral movement) trong mạng để khám phá và tiếp cận các tài nguyên khác, cũng như thu thập thông tin xác thực quan trọng trên nhiều máy chủ khác nhau. Những hành động này là dấu hiệu của một cuộc tấn công mạng toàn diện và có mục tiêu rõ ràng.

Một sự xâm nhập duy nhất vào một hệ thống như ArcGIS có thể gây ra những hậu quả nghiêm trọng. Nó không chỉ làm gián đoạn hoạt động kinh doanh thiết yếu mà còn có thể phơi bày dữ liệu hạ tầng nhạy cảm. Quan trọng hơn, nó cung cấp các cổng cho di chuyển ngang sâu hơn vào các mạng doanh nghiệp và cả các mạng công nghệ vận hành (OT) được kết nối – những khu vực thường chứa các tài sản cực kỳ quan trọng.

Mặc dù các ứng dụng chuyên biệt như ArcGIS có thể đôi khi thoát khỏi sự giám sát chặt chẽ như các ứng dụng web thông thường, nhưng điểm yếu bị khai thác trong trường hợp này lại tồn tại trong bất kỳ ứng dụng công khai nào mà các tổ chức có thể lầm tưởng là an toàn. Điều này nhấn mạnh rằng ngay cả các sản phẩm có bảo mật mạnh mẽ vẫn có thể dễ bị tổn thương nếu môi trường hoạt động của chúng thiếu đi sự nghiêm ngặt tương đương trong cấu hình và quản lý.

Tác Động của Cuộc Tấn Công Mạng đến Các Hệ Thống Quan Trọng

ArcGIS là một hệ thống thông tin địa lý (GIS) đóng vai trò thiết yếu trong việc trực quan hóa, phân tích và quản lý dữ liệu không gian. Nó được sử dụng cho các chức năng cực kỳ quan trọng như phục hồi thảm họa, quy hoạch đô thị, và quản lý khẩn cấp. Do đó, việc hệ thống này bị xâm nhập mạng không chỉ là một vấn đề về dữ liệu mà còn là mối đe dọa trực tiếp đến khả năng hoạt động của cơ sở hạ tầng quan trọng.

Trong quá trình điều tra, các nhà nghiên cứu đã phát hiện ra rằng những kẻ tấn công đã xâm phạm tài khoản quản trị viên cổng thông tin ArcGIS và sau đó triển khai một SOE độc hại. Đây là bước quan trọng để thiết lập quyền kiểm soát và triển khai kỹ thuật duy trì quyền truy cập của chúng.

Đánh Giá Rủi Ro và Củng Cố Ứng Dụng Chuyên Biệt

Hướng dẫn từ nhà cung cấp phần mềm nên được coi là các tiêu chuẩn cơ bản tối thiểu, không phải là một chiến lược bảo mật toàn diện. Các tổ chức phải áp dụng một tư duy chủ động hơn trong việc củng cố các ứng dụng của mình, luôn giả định rằng bất kỳ tính năng nào, dù có vẻ vô hại, cũng có thể trở thành một điểm yếu bị khai thác hoặc một lỗ hổng bảo mật tiềm tàng. Việc này đòi hỏi sự đánh giá liên tục và kiểm tra bảo mật chuyên sâu.

Bảo Vệ Cơ Sở Hạ Tầng Quan Trọng Khỏi Tấn Công Mạng

Cuộc tấn công vào ArcGIS làm nổi bật tầm quan trọng tối thượng của việc bảo vệ cơ sở hạ tầng quan trọng. Với khả năng gây ảnh hưởng đến các hoạt động thiết yếu của quốc gia hoặc khu vực, một cuộc tấn công thành công có thể gây ra hậu quả sâu rộng, vượt xa thiệt hại về dữ liệu hoặc tài chính, ảnh hưởng trực tiếp đến an toàn và cuộc sống của người dân. Nâng cao an ninh mạng cho các hệ thống này là ưu tiên hàng đầu.

Nhóm APT Flax Typhoon: Hồ Sơ Tấn Công và Phân Tích

Các nhà nghiên cứu bảo mật đã phân tích cuộc tấn công mạng Flax Typhoon này và đưa ra đánh giá với độ tin cậy cao rằng nó thuộc về các nhóm APT được chính phủ Trung Quốc hậu thuẫn. Cụ thể hơn, nó được gán cho nhóm Flax Typhoon với độ tin cậy vừa phải, nhóm này còn được biết đến với tên gọi khác là Ethereal Panda. Nhóm này thường sử dụng phần mềm SoftEther VPN để tạo các cầu VPN, cho phép chúng duy trì quyền truy cập dai dẳng vào các mạng mục tiêu, thường kéo dài vượt quá mười hai tháng mà không bị phát hiện.

Phương Thức Tấn Công Ưu Tiên và Đặc Điểm Hoạt Động

Các chiến thuật, kỹ thuật và quy trình (TTPs) của Flax Typhoon cho thấy nhóm này ưu tiên ba lĩnh vực chính: thiết lập kỹ thuật duy trì quyền truy cập bền bỉ, thực hiện di chuyển ngang trong mạng, và thu thập thông tin xác thực. Chúng thường đạt được quyền truy cập ban đầu bằng cách khai thác các máy chủ công khai (public-facing servers), sau đó triển khai web shell và thiết lập các kết nối VPN để mở rộng quyền kiểm soát.

Một điểm đáng chú ý là hoạt động của nhóm có vẻ phù hợp với giờ làm việc thông thường của Trung Quốc, và các lĩnh vực mục tiêu tấn công của chúng cũng trùng khớp với các mô hình đã được quan sát trong các chiến dịch trước đây. Để có cái nhìn sâu hơn về phân tích này và các phát hiện khác, bạn có thể tham khảo báo cáo chuyên sâu từ ReliaQuest.

Lịch Sử Hoạt Động và Nhận Diện Mối Đe Dọa

Flax Typhoon đã hoạt động tích cực từ ít nhất là năm 2021. Nhóm này nổi tiếng với việc thực hiện các giai đoạn “ngủ đông” kéo dài để lên kế hoạch và chuẩn bị kỹ lưỡng trước khi thực hiện các cuộc tấn công chính xác và có mục tiêu. Sự kiên trì và phương pháp luận này cho phép chúng tối đa hóa cơ hội thành công.

Mối đe dọa đáng kể nhất là nhóm này liên tục tập trung vào các mục tiêu trong cơ sở hạ tầng quan trọng. Điều này làm cho việc nhận diện và phân loại mối đe dọa này trở nên đặc biệt quan trọng đối với cộng đồng an ninh mạng toàn cầu. Các chuyên gia bảo mật hiện tại đánh giá rằng Flax Typhoon có khả năng cao đang hoạt động trong các mạng lưới mới hoặc đang trong giai đoạn lên kế hoạch cho nạn nhân tiếp theo của mình.

Bài Học Quan Trọng và Biện Pháp Đối Phó Nâng Cao trong An Ninh Mạng

Cuộc tấn công mạng do Flax Typhoon thực hiện là một lời nhắc nhở mạnh mẽ về sự cần thiết phải xem xét lại các giả định về độ tin cậy của các ứng dụng phần mềm. Điều quan trọng là phải triển khai các hệ thống giám sát hành vi tiên tiến để phát hiện kịp thời khi các công cụ hoặc thành phần hợp pháp bị lạm dụng cho mục đích độc hại. Đây là một yếu tố cốt lõi để nâng cao an ninh mạng tổng thể của mọi tổ chức.

Vượt Qua Các Mô Hình Phát Hiện Dựa Trên Chỉ Số Thỏa Hiệp (IOC)

Các tổ chức hiện nay phải vượt ra ngoài việc chỉ dựa vào các phương pháp phát hiện dựa trên các chỉ số thỏa hiệp (IOC) đã biết, vốn có thể dễ dàng bị kẻ tấn công tránh né. Thay vào đó, cần phải coi tất cả các ứng dụng công khai là tài sản có rủi ro cao và áp dụng một lập trường bảo mật phòng thủ sâu hơn. Kỹ thuật duy trì quyền truy cập tinh vi của Flax Typhoon yêu cầu một cách tiếp cận chủ động và linh hoạt hơn trong phát hiện xâm nhập.

Thay vì chỉ tìm kiếm các dấu hiệu “độc hại đã biết” như các hash file hoặc địa chỉ IP cụ thể, các đội ngũ bảo mật cần tập trung vào việc nhận diện các hành vi bất thường và không mong muốn của các thành phần hệ thống hợp pháp. Đây là một sự chuyển dịch tư duy từ việc “biết cái gì là xấu” sang việc “hiểu cái gì là bình thường và nhận diện sự sai lệch”.

Tăng Cường Giám Sát Hành Vi Ứng Dụng và Phát Hiện Xâm Nhập

Để chống lại các mối đe dọa tinh vi như Flax Typhoon, các tổ chức không thể chỉ dừng lại ở phòng ngừa. Họ phải chủ động “săn lùng” các dấu hiệu thỏa hiệp tiềm ẩn trong mạng lưới của mình. Điều này bao gồm việc triển khai và tinh chỉnh các hệ thống giám sát hành vi liên tục, có khả năng phát hiện khi các công cụ hoặc chức năng hợp pháp bị lạm dụng một cách bất thường.

Một phương pháp tiếp cận chủ động đối với phát hiện xâm nhập là rất cần thiết, bao gồm việc sử dụng các công nghệ như EDR (Endpoint Detection and Response) và XDR (Extended Detection and Response) để có cái nhìn toàn diện về hoạt động trong môi trường của mình. Việc theo dõi chặt chẽ các quy trình, truy cập tệp và hoạt động mạng có thể giúp phát hiện những dấu hiệu sớm của một kỹ thuật duy trì quyền truy cập tinh vi.

Đánh Giá Lại Kế Hoạch Phục Hồi và Quy Trình Sao Lưu

Như đã đề cập, phương pháp duy trì quyền truy cập của Flax Typhoon đã biến các kế hoạch phục hồi thảm họa truyền thống thành các phương pháp tái nhiễm tiềm năng. Do đó, các đội ứng phó sự cố bắt buộc phải xem xét lại hoàn toàn các quy trình quản lý bản sao lưu của mình. Bản sao lưu không còn có thể được coi là “sạch” một cách mặc định.

Cần có một quy trình kiểm tra và xác minh nghiêm ngặt cho tất cả các bản sao lưu để đảm bảo rằng chúng không chứa các thành phần bị xâm nhập hoặc các phần mềm độc hại được nhúng. Việc này có thể bao gồm việc cô lập các bản sao lưu, quét chúng bằng nhiều công cụ bảo mật và thậm chí thực hiện các thử nghiệm phục hồi trong môi trường cách ly để xác minh tính toàn vẹn và sạch sẽ của chúng trước khi được triển khai lại vào hệ thống sản xuất.