Các nhà nghiên cứu an ninh mạng tại Silent Push đã phát hiện một chiến dịch gián điệp tinh vi của Trung Quốc, liên kết hai tác nhân đe dọa nổi bật là Salt Typhoon và UNC4841, tiết lộ hạ tầng chưa từng được báo cáo trước đây để nhắm mục tiêu vào các mạng lưới chính phủ và doanh nghiệp tại hơn 80 quốc gia. Phát hiện này làm nổi bật một mối đe dọa mạng đáng kể trong bối cảnh an ninh toàn cầu.

Phát hiện Chiến dịch Gián điệp và Hạ tầng Advanced Persistent Threat (APT)

Khám phá 45 tên miền độc hại có từ năm 2020 cho thấy phạm vi rộng lớn và khả năng duy trì lâu dài của các nhóm Advanced Persistent Threat (APT) do nhà nước Trung Quốc tài trợ. Những nhóm này đã triển khai các hoạt động gián điệp mạng kéo dài nhiều năm, tạo ra một mối đe dọa mạng liên tục.

Các nhà phân tích mối đe dọa của Silent Push đã xác định được một mạng lưới hạ tầng chỉ huy và kiểm soát (C2) toàn diện. Việc này thông qua phân tích chi tiết các mô hình đăng ký tên miền và dữ liệu WHOIS, cung cấp cái nhìn sâu sắc về chiến thuật của mối đe dọa mạng này.

Kỹ thuật Đăng ký Tên miền Giả mạo

Nhóm nghiên cứu đã phát hiện nhiều tên miền chia sẻ các đặc điểm đăng ký chung, đặc biệt là việc sử dụng địa chỉ email ProtonMail. Các địa chỉ email này được dùng để đăng ký tên miền dưới các danh tính giả mạo với địa chỉ tại Hoa Kỳ không tồn tại.

Các danh tính hư cấu bao gồm “Tommie Arnold” ở Miami, Florida, và “Monica Burch” ở Los Angeles, California. Việc này cho thấy nỗ lực che giấu danh tính và nguồn gốc hoạt động của tác nhân đe dọa. Đây là một đặc điểm phổ biến của các mối đe dọa mạng cấp quốc gia.

Phân tích Hồ sơ SOA và Dữ liệu Lịch sử

Thông qua phân tích hồ sơ Start of Authority (SOA) và đối chiếu cơ sở dữ liệu WHOIS, các nhà nghiên cứu đã mở rộng phát hiện của mình. Họ bao gồm các tên miền được đăng ký từ tháng 5 năm 2020.

Điều này chỉ ra rằng các vụ vi phạm viễn thông năm 2024 chỉ là một giai đoạn của một chiến dịch kéo dài nhiều năm. Tên miền lâu đời nhất được xác định, onlineeylity.com, đã được đăng ký bởi nhân vật “Monica Burch” cách đây hơn 5 năm, thể hiện cam kết của các tác nhân đe dọa đối với an ninh hoạt động lâu dài. Sự kiên trì này làm tăng thêm mức độ nghiêm trọng của mối đe dọa mạng.

Salt Typhoon và Phạm vi Tấn công Toàn cầu

Salt Typhoon, còn được biết đến với các biệt danh như “GhostEmperor,” “FamousSparrow,” và “Earth Estries,” hoạt động dưới sự chỉ đạo của Bộ An ninh Quốc gia Trung Quốc (MSS). Nhóm này nổi tiếng với việc thâm nhập thành công ít nhất chín công ty viễn thông lớn của Hoa Kỳ vào năm 2024.

Các hoạt động tương tự cũng nhắm vào hạ tầng viễn thông ở hơn 80 quốc gia trên toàn thế giới. Nhóm này tránh các chiến thuật kỹ thuật xã hội truyền thống, thay vào đó tập trung vào khai thác kỹ thuật các lỗ hổng zero-day phần mềm để giành quyền truy cập ban đầu vào mạng. Đây là một chiến lược tấn công tinh vi, tạo ra một mối đe dọa mạng đáng kể.

Tác động Nghiêm trọng đến Hạ tầng Viễn thông

Phạm vi vi phạm viễn thông của Salt Typhoon là chưa từng có. Nó đã cung cấp cho các tác nhân đe dọa quyền truy cập vào siêu dữ liệu ảnh hưởng đến gần như mọi người dùng điện thoại di động tại Mỹ. Đáng lo ngại hơn, nhóm đã thành công trong việc xâm nhập các hệ thống được sử dụng cho hoạt động nghe lén được tòa án cấp phép, có khả năng làm lộ các hoạt động giám sát nhạy cảm của cơ quan thực thi pháp luật.

Vụ vi phạm bao gồm quyền truy cập vào siêu dữ liệu truyền thông cho hơn một triệu người dùng di động tại Hoa Kỳ. Đây là một trong những vụ xâm nhập tình báo nước ngoài đáng kể nhất vào hạ tầng viễn thông của Mỹ. Mối đe dọa mạng này cho thấy khả năng tinh vi và mục tiêu chiến lược của nhóm.

Công cụ và Kỹ thuật Khai thác của Nhóm APT

Salt Typhoon sử dụng các phương pháp tấn công tinh vi, chủ yếu khai thác lỗ hổng zero-day và các lỗ hổng bảo mật chưa được biết đến trước đây trên các máy chủ công cộng. Phân tích lịch sử cho thấy Salt Typhoon đã từng khai thác các lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) trong phần mềm kinh doanh để xâm nhập vào khách sạn, cơ quan chính phủ và các công ty tư nhân trên toàn cầu.

Mã độc được Sử dụng

Các nhà nghiên cứu an ninh mạng tại Silent Push đã phát hiện các công cụ phần mềm độc hại của Salt Typhoon. Chúng bao gồm rootkit Demodex, và các backdoor Snappybee và Ghostspider. Đây là những công cụ có khả năng cao để duy trì quyền truy cập và kiểm soát hệ thống bị xâm nhập, góp phần vào sự phức tạp của mối đe dọa mạng này.

Sự chồng chéo Hạ tầng giữa Salt Typhoon và UNC4841

Cuộc điều tra đã tiết lộ sự chồng chéo đáng kể về hạ tầng giữa Salt Typhoon và UNC4841. UNC4841 là một tác nhân đe dọa do Trung Quốc tài trợ khác, nổi tiếng với việc khai thác lỗ hổng zero-day trong các thiết bị Barracuda Email Security Gateway Appliances vào năm 2023.

Các chiến thuật, kỹ thuật và quy trình (TTPs) của UNC4841 phản ánh chặt chẽ những gì Salt Typhoon đã sử dụng. Điều này gợi ý sự phối hợp hoạt động hoặc chia sẻ tài nguyên giữa các nhóm. Phân tích dữ liệu đăng ký cho thấy UNC4841 cũng sử dụng các danh tính giả mạo và địa chỉ ProtonMail tương tự, bao gồm danh tính hư cấu “Geralyn Pickens.” Cả hai nhóm đều đại diện cho một mối đe dọa mạng đáng kể.

Kết nối Hạ tầng và Ý nghĩa

Phân tích hạ tầng đã tiết lộ chín tên miền liên quan đến UNC4841, một số trong đó chưa từng được báo cáo trong nghiên cứu an ninh mạng trước đây. Những tên miền này chia sẻ các đặc điểm chung với hạ tầng của Salt Typhoon, bao gồm việc sử dụng cùng một máy chủ tên (name server) và các mô hình thời gian đăng ký tương tự.

Mối liên hệ giữa các nhóm này đặt ra những câu hỏi đáng kể về cấu trúc tổ chức của các hoạt động mạng do nhà nước Trung Quốc tài trợ. Hạ tầng được chia sẻ cho thấy sự phối hợp trực tiếp giữa các đơn vị riêng biệt hoặc khả năng cả hai tên gọi đều đề cập đến các giai đoạn hoạt động khác nhau của cùng một chương trình tình báo tổng thể của Trung Quốc. Đây là một mối đe dọa mạng phức tạp và khó theo dõi.

Phương pháp Phân tích và Tầm quan trọng của Threat Intelligence

Phân tích toàn diện đã xác định 45 tên miền chưa được báo cáo trước đây, kéo dài nhiều năm hoạt động. Nhiều tên miền sử dụng địa chỉ IP mật độ cao và dịch vụ đỗ tên miền (domain parking) để duy trì an ninh hoạt động. Bằng cách kiểm tra các mô hình đăng ký tên miền, hồ sơ SOA và tương quan dữ liệu WHOIS, các nhà nghiên cứu có thể xác định hạ tầng tác nhân đe dọa chưa biết trước đây và hiểu rõ hơn về phạm vi cũng như dòng thời gian của các chiến dịch gián điệp mạng tinh vi.

Các địa chỉ IP mật độ thấp được xác định là đặc biệt đáng lo ngại. Một số tên miền cho thấy bằng chứng bị chuyển hướng đến các lỗ đen bảo mật (security sinkholes) bởi các nhà nghiên cứu hoặc cơ quan thực thi pháp luật. Điều này giúp nỗ lực phát hiện xâm nhập và làm giảm tác động của các cuộc tấn công.

Phương pháp điều tra của Silent Push thể hiện giá trị của phân tích hạ tầng có hệ thống trong việc theo dõi các nhóm đe dọa dai dẳng nâng cao. Khám phá này nhấn mạnh bản chất dai dẳng và ngày càng phát triển của các hoạt động mạng do nhà nước Trung Quốc tài trợ, với những hàm ý vượt xa các sự cố bảo mật cá nhân, bao gồm các lo ngại rộng lớn hơn về sự xâm nhập tình báo nước ngoài vào cơ sở hạ tầng quan trọng và mạng viễn thông. Để biết thêm chi tiết về mối đe dọa mạng này, bạn có thể tham khảo báo cáo gốc từ Silent Push tại đây.

Các Chỉ số Thỏa hiệp (IOCs)

Mặc dù chi tiết về 45 tên miền độc hại chưa được công bố đầy đủ, một tên miền tiêu biểu được nhắc đến là:

• onlineeylity.com (đăng ký bởi “Monica Burch” từ hơn 5 năm trước)

Việc theo dõi và phân tích các IOC như vậy là rất quan trọng trong việc tăng cường khả năng phát hiện xâm nhập và phòng thủ trước các mối đe dọa mạng tiên tiến.