Các nhóm APT Trung Quốc do nhà nước hậu thuẫn đã tăng cường các chiến dịch gián điệp mạng, nhắm mục tiêu có hệ thống vào các mạng viễn thông, chính phủ và quân sự toàn cầu thông qua các kỹ thuật khai thác router tinh vi từ năm 2021. Đây là một hình thức tấn công mạng có mức độ nguy hiểm cao và đang diễn ra liên tục.

Tổng quan về Chiến dịch APT Trung Quốc

Mục tiêu và Phạm vi Tấn công

Kể từ ít nhất năm 2021, các tác nhân mạng do nhà nước Trung Quốc hậu thuẫn đã thực hiện các hoạt động quy mô lớn, lén lút để xâm nhập và kiểm soát các thiết bị mạng trọng yếu trên khắp các lĩnh vực quan trọng trên toàn thế giới.

Phạm vi của các hoạt động tấn công mạng này không chỉ giới hạn ở các mục tiêu chính phủ truyền thống. Chúng còn mở rộng sang các nhà cung cấp dịch vụ viễn thông, nhà cung cấp dịch vụ Internet (ISP), mạng lưới giao thông, cơ sở lưu trú và các cơ sở quân sự.

Chiến lược nhắm mục tiêu rộng lớn này cho phép kẻ tấn công thu thập dữ liệu, tạo điều kiện cho khả năng giám sát toàn cầu và thu thập thông tin tình báo.

Các Nhóm APT Liên quan

Các nhóm tác nhân độc hại này hoạt động dưới nhiều bí danh khác nhau. Những bí danh này bao gồm:

• Salt Typhoon
• OPERATOR PANDA
• RedMike
• UNC5807
• GhostEmperor

Chúng đã thành công trong việc xâm nhập cơ sở hạ tầng mạng cốt lõi ở nhiều quốc gia, bao gồm Hoa Kỳ, Úc, Canada, New Zealand và Vương quốc Anh, gây ra rủi ro bảo mật nghiêm trọng.

Kỹ thuật Khai thác Ban đầu và Chiếm quyền Điều khiển

Lợi dụng Lỗ hổng Công khai

Các nhóm APT Trung Quốc đã thể hiện sự thành thạo đáng kể trong việc khai thác các lỗ hổng đã được công bố để thiết lập quyền truy cập ban đầu vào mạng mục tiêu.

Theo một báo cáo từ Cyble, mặc dù chưa có khai thác zero-day nào được xác nhận trong các chiến dịch này, các tác nhân nhanh chóng thích nghi để lợi dụng các điểm yếu trong router, tường lửa và switch từ các nhà cung cấp lớn trên thế giới.

Các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa, leo thang đặc quyền và chiếm quyền điều khiển các giao diện quản lý. Đây là bước đầu tiên trong một cuộc tấn công mạng phức tạp.

Chuỗi Khai thác

Các tác nhân đe dọa thường kết hợp nhiều mã khai thác (exploit) để đạt được quyền kiểm soát hoàn toàn các thiết bị mạng được nhắm mục tiêu, đặc biệt là trong các chiến dịch khai thác router. Việc này giúp chúng thiết lập quyền kiểm soát sâu rộng hơn.

Duy trì Hiện diện và Che giấu Hoạt động

Điều chỉnh Cấu hình Router

Sau khi có được quyền truy cập ban đầu, các tác nhân do nhà nước Trung Quốc hậu thuẫn sử dụng các kỹ thuật tinh vi để duy trì sự hiện diện lâu dài trong các mạng bị xâm nhập.

Chúng sửa đổi cấu hình router để đảm bảo quyền truy cập liên tục bằng cách thay đổi Access Control Lists (ACLs). Các sửa đổi này cho phép lưu lượng truy cập từ các địa chỉ IP do kẻ tấn công kiểm soát và mở các dịch vụ trên cả cổng chuẩn và không chuẩn, bao gồm SSH, SFTP, RDP, FTP, HTTP và HTTPS.

Sử dụng Tính năng Router Nâng cao

Kẻ tấn công tận dụng các khả năng nâng cao của router, như tính năng kịch bản nhúng của Cisco với Tcl scripts, liệt kê SNMP và các container Linux nhúng thông qua môi trường Guest Shell.

Điều này cho phép chúng thực thi các lệnh gốc mà vẫn duy trì khả năng ẩn danh trong quá trình tấn công mạng.

Thiết lập Kênh C2 Mã hóa

Để che giấu hoạt động, các tác nhân thiết lập các đường hầm mã hóa sử dụng các giao thức như GRE, multipoint GRE (mGRE) hoặc IPsec.

Kỹ thuật này giúp pha trộn lưu lượng command-and-control (C2) với lưu lượng mạng hợp pháp, gây khó khăn cho việc phát hiện và là một phần quan trọng của chiến lược xâm nhập mạng.

Kỹ thuật Đánh cắp Thông tin Xác thực

Khai thác Tính năng Native Packet Capture của Cisco

Một khía cạnh đáng lo ngại của các chiến dịch tấn công mạng này là việc khai thác khả năng Native Packet Capture (PCAP) của các router Cisco để chặn lưu lượng xác thực.

Sử dụng tính năng Embedded Packet Capture của Cisco, các tác nhân đe dọa tạo các tệp PCAP với tên vô hại như mycap.pcap hoặc tac.pcap để thu thập thông tin xác thực.

// Ví dụ lệnh tạo PCAP trên router Cisco (minh họa) 
monitor capture point ip cef fastethernet 0/0 in 
monitor capture buffer capbuf size 1024 
monitor capture filter capbuf match ip any any 
monitor capture start 

Chúng sau đó chuyển hướng lưu lượng xác thực đến cơ sở hạ tầng do kẻ tấn công kiểm soát. Kỹ thuật này cho phép chúng thu hoạch thông tin đăng nhập một cách có hệ thống, đồng thời duy trì tính bí mật trong hoạt động xâm nhập mạng.

Mục tiêu Giao thức Xác thực

Các giao thức TACACS+ và RADIUS thường được nhắm mục tiêu. Các giao thức này đôi khi truyền thông tin xác thực với mã hóa yếu hoặc dưới dạng văn bản rõ (plaintext), làm tăng nguy cơ rò rỉ dữ liệu nhạy cảm và tạo điều kiện cho các cuộc tấn công mạng tiếp theo.

Khuyến nghị và Biện pháp Phòng ngừa

Các chuyên gia bảo mật mạng trên toàn thế giới được khuyến khích chủ động tìm kiếm các dấu hiệu thỏa hiệp phù hợp với hành vi đã được quan sát của các tác nhân APT Trung Quốc.

Việc duy trì các biện pháp giảm thiểu bảo mật được cập nhật và đảm bảo tuân thủ các quy định an ninh mạng tại địa phương là rất quan trọng để chống lại các mối đe dọa mạng này. Cập nhật bản vá bảo mật thường xuyên cho các thiết bị mạng là một biện pháp phòng ngừa thiết yếu.

Bản chất dai dẳng và tinh vi của các tấn công mạng này đòi hỏi sự cảnh giác liên tục và nỗ lực phối hợp quốc tế để bảo vệ cơ sở hạ tầng quan trọng khỏi các nỗ lực khai thác liên tục. Nâng cao an toàn thông tin cho toàn bộ hệ thống là ưu tiên hàng đầu.