Trong báo cáo gần đây trên Recorded Future tới từ các nhà nghiên cứu bảo mật thuộc Insikt Group cho biết, giai đoạn cuối năm 2024 tới đầu năm 2025, diễn ra một chiến dịch tấn công với quy mô toàn cầu, nhắm tới các thiết bị mạng chưa được cập nhật bản vá bảo mật của hãng Cisco. Nạn nhân trong chiến dịch tấn công này đa số là các nhà cung cấp viễn thông có trụ sở tại Hoa Kỳ, Vương Quốc Anh và Nam Phi. Các nhà nghiên cứu bảo mật cũng cho rằng chiến dịch tấn công này được triển khai bởi nhóm tin tặc RedMike hay còn được biết tới với cái tên Salt Typhoon, đồng thời cũng cảnh báo hành vi mở rộng phạm vi khai thác đối với các trường đại học tại Việt Nam, Thái Lan, Bangladesh, Malaysia,...

Salt Typhoon

Salt Typhoon, hay còn được biết đến với những cái tên như RedMike, Earth Estries, FamousSparrow, GhostEmperor và UNC2286, được cho là do Bộ An ninh Quốc gia Trung Quốc (MSS) điều hành, đã tiến hành nhiều chiến dịch gián điệp mạng quy mô lớn, đặc biệt nhắm vào Hoa Kỳ. Hoạt động của nhóm tập trung vào các mục tiêu phản gián và đánh cắp tài sản trí tuệ quan trọng của các tập đoàn. Salt Typhoon đã xâm nhập vào các mục tiêu tại hàng chục quốc gia trên hầu hết các châu lục.

Salt Typhoon chủ yếu tập trung khai thác các lỗ hổng trong thiết bị của Cisco, cho phép chúng xâm nhập và kiểm soát các thiết bị mạng quan trọng. Nhóm này cũng sử dụng các kỹ thuật chống phân tích và chống pháp y để tránh bị phát hiện.

Vào cuối năm 2024, nhóm đã gây tiếng vang lớn trong giới bảo mật khi xâm nhập vào hệ thống của chín công ty viễn thông Hoa Kỳ, bao gồm Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications và Windstream. Cuộc tấn công này nhắm vào các thành phần cốt lõi của mạng lưới băng thông rộng Hoa Kỳ, đặc biệt là các bộ định tuyến do Cisco sản xuất. Tin tặc đã truy cập vào siêu dữ liệu của các cuộc gọi và tin nhắn văn bản của hơn một triệu người dùng, chủ yếu ở khu vực Washington D.C., và trong một số trường hợp, đã thu được bản ghi âm các cuộc gọi của các cá nhân quan trọng.

Hình 1: Phạm vi tấn công của Salt Typhoon nhắm tới các thiết bị Cisco

Trong báo cáo mới nhất, Salt Typhoon triển khai các chiến dịch tấn công nhắm tới các nhà cung cấp viễn thông toàn cầu của Hoa Kỳ, Anh, Nam Phi, Ấn Độ thông qua khai thác các lỗ hổng trong thiết bị Cisco. Ngoài ra, nhóm các nhà nghiên cứu bảo mật cũng cảnh báo một số trường đại học tại Việt Nam (Đại học Y Dược Thành phố Hồ Chí Minh), Thái Lan, Bangladesh,... cũng đã bị Salt Typhoon xâm nhập và đánh cắp dữ liệu nhạy cảm.

Phân tích kỹ thuật

Salt Typhoon đã kết hợp khai thác hai lỗ hổng nghiêm trọng CVE-2023-20198 và CVE-2023-20273 trên Web UI của Cisco IOS XE, cho phép kẻ tấn công có thể leo thang đặc quyền, thay đổi cấu hình của thiết bị và thêm đường hầm GRE (Generic Routing Encapsulation) nhằm truy cập liên tục và đánh cắp dữ liệu nhạy cảm.

Hình 2: Cơ sở hạ tầng của Salt Typhoon phục vụ cho việc khai thác các thiết bị Cisco

CVE-2023-20198 là bước đầu của cuộc tấn công, khai thác thành công lỗ hổng cho tin tặc quyền truy cập ban đầu vào các thiết bị chưa vá bảo mật, đồng thời cho phép tin tặc thực hiện lệnh privilege 15 để tạo tài khoản người dùng cục bộ và mật khẩu trên thiết bị. Tiếp tục kết hợp việc khai thác lỗ hổng CVE-2023-273, tin tặc có thể nâng quyền của các tài khoản mới tạo ở trên với quyền root trên hệ thống.

Dữ liệu đánh cắp được gửi về nhóm thông qua các đường hầm GRE, một giao thức đóng gói đóng gói (encapsulation) các loại lưu lượng mạng khác nhau vào trong một kết nối điểm-điểm (point-to-point) giữa hai thiết bị mạng, được sử dụng để tạo ra các mạng riêng ảo (VPN) hoặc để kết nối hai mạng từ xa với nhau thông qua một mạng trung gian như Internet. Đường hầm GRE được các nhóm tin tặc sử dụng rộng rãi do nó duy trì tính bền vững bằng cách thiết lập các kênh liên lạc bí mật vượt qua tường lửa và hệ thống phát hiện xâm nhập. Các đường hầm này cũng tạo điều kiện thuận lợi cho việc lấy cắp dữ liệu lén lút bằng cách đóng gói dữ liệu bị đánh cắp trong các gói GRE, vốn có khả năng vượt qua giám sát mạng.

Khuyến nghị

Các chuyên gia bảo mật thuộc Recorded Future cũng đưa ra những khuyến nghị dành cho người dùng trong báo cáo của mình, trong đó việc ưu tiên áp dụng các bản vá bảo mật và các bản cập nhật có sẵn cho các thiết bị mạng tiếp xúc với Internet được coi là cấp thiết. Ngoài ra một số các khuyến nghị khác người dùng có thể thực hiện như:

Tránh để lộ các giao diện quản trị hoặc các dịch vụ không cần thiết trên các thiết bị kết nối trực tiếp với Internet, đặc biệt là các thiết bị đã hết vòng đời (end-of-life).
Giám sát các thay đổi trong cấu hình thiết bị mạng.
Theo dõi lưu lượng mạng để phát hiện các giao thức không được triển khai trong mạng, chẳng hạn như GRE.
Sử dụng tính năng truy vấn nâng cao trong Recorded Future để giám sát các công nghệ đang bị khai thác trong hệ thống và thiết lập cảnh báo khi có tài sản nào gặp rủi ro.