Tin tặc Trung Quốc sử dụng phần mềm độc hại tùy chỉnh để do thám các mạng viễn thông

Nhóm tin tặc Salt Typhoon đến từ Trung Quốc đã sử dụng một tiện ích tùy chỉnh có tên là JumbledPath để theo dõi lưu lượng mạng một cách bí mật và có khả năng thu thập dữ liệu nhạy cảm khi tham gia tấn công mạng vào các nhà cung cấp dịch vụ viễn thông của Hoa Kỳ.

Salt Typhoon (hay còn gọi là Earth Estries, GhostEmperor và UNC2286) là một nhóm tin tặc tinh vi hoạt động ít nhất từ ​​năm 2019, chủ yếu tập trung vào việc xâm phạm các thực thể chính phủ và công ty viễn thông.

Gần đây, cơ quan quản lý của Hoa Kỳ đã xác nhận rằng, Salt Typhoon đứng sau một số vụ xâm phạm thành công các nhà cung cấp dịch vụ viễn thông tại xứ cờ hoa, bao gồm Verizon, AT&T, Lumen Technologies và T-Mobile.

Salt Typhoon đã khai thác được thông tin liên lạc riêng tư của một số quan chức chính phủ Hoa Kỳ và đánh cắp thông tin liên quan đến các yêu cầu nghe lén.

Theo các chuyên gia nghiên cứu, Salt Typhoon đã nhắm mục tiêu vào hơn 1.000 thiết bị mạng Cisco, hơn một nửa trong số đó đến từ Hoa Kỳ, Nam Mỹ và Ấn Độ, trong khoảng thời gian từ tháng 12/2024 đến tháng 01/2025,

Cisco Talos đã tiết lộ thêm thông tin chi tiết về hoạt động của tác nhân đe dọa khi chúng xâm phạm các công ty viễn thông lớn tại Hoa Kỳ, trong một số trường hợp kéo dài hơn ba năm.

Chiến thuật của Salt Typhoon

Cisco cho biết, tin tặc Salt Typhoon đã xâm nhập vào cơ sở hạ tầng mạng cốt lõi chủ yếu thông qua thông tin đăng nhập bị đánh cắp.Ngoại trừ một trường hợp liên quan đến việc khai thác lỗ hổng Cisco CVE-2018-0171 đã biết hoặc lỗ hổng zero-day bị khai thác trong chiến dịch này.

"Không có lỗ hổng Cisco mới nào được phát hiện trong chiến dịch này", Cisco Talos tuyên bố trong báo cáo của mình."Mặc dù có một số báo cáo cho rằng, Salt Typhoon đang lợi dụng ba lỗ hổng Cisco đã biết khác, nhưng chưa xác định được bất kỳ bằng chứng nào để xác nhận những tuyên bố này".

Trong khi Salt Typhoon chủ yếu truy cập vào các mạng mục tiêu bằng thông tin đăng nhập đánh cắp được, tuy nhiên, phương pháp chính xác để lấy được thông tin đăng nhập thì vẫn chưa rõ ràng.

Khi đã xâm nhập, chúng mở rộng quyền truy cập bằng cách trích xuất thông tin đăng nhập bổ sung từ cấu hình thiết bị mạng và chặn lưu lượng xác thực (SNMP, TACACS và RADIUS).

Chúng cũng đã đánh cắp cấu hình thiết bị qua giao thức truyền tập tin như TFTP và FTP để tạo điều kiện cho việc di chuyển ngang, trong đó có dữ liệu xác thực nhạy cảm, mật khẩu được mã hóa yếu và thông tin chi tiết về bản đồ mạng.

Những kẻ tấn công đã chứng minh các kỹ thuật tiên tiến để truy cập và trốn tránh các cơ quan quản lý, bao gồm thường xuyên xoay vòng giữa các thiết bị mạng khác nhau để che dấu vết của chúng và sử dụng các thiết bị biên bị xâm phạm để xoay vòng vào các mạng viễn thông khác.

Những kẻ đe dọa cũng theo dõi được quá trình sửa đổi cấu hình mạng, cho phép truy cập Guest Shell để thực thi lệnh, thay đổi danh sách kiểm soát truy cập (ACL) và tạo tài khoản ẩn.

Phần mềm độc hại JumbledPath tùy chỉnh

Chức năng chính của các cuộc tấn công Salt Typhoon là theo dõi hoạt động mạng, đánh cắp dữ liệu bằng các công cụ như Tcpdump, Tpacap, Embedded Packet Capture và một công cụ tùy chỉnh có tên là JumbledPath.

JumpedPath là một tệp nhị phân được xây dựng cho các hệ thống dựa trên nền tảng Linux x86_64, cho phép chạy trên nhiều thiết bị mạng biên từ các nhà sản xuất khác nhau, bao gồm cả thiết bị Cisco Nexus.

JumbledPath cho phép Salt Typhoon khởi tạo việc bắt gói tin trên thiết bị Cisco được nhắm mục tiêu thông qua hệ thống trung gian jump-host, khiến các yêu cầu bắt tin xuất hiện như thể chúng xuất phát từ một thiết bị đáng tin cậy bên trong mạng, đồng thời che giấu vị trí thực sự của kẻ tấn công.

Công cụ tương tự cũng có thể vô hiệu hóa việc ghi nhật ký và xóa nhật ký hiện có để che dấu vết hoạt động của nó và khiến việc điều tra trở nên khó khăn hơn.

Cisco liệt kê một số khuyến nghị để có thể phát hiện hoạt động của Salt Typhoon, chẳng hạn như giám sát hoạt động trái phép trên các cổng không chuẩn, theo dõi các bất thường trong nhật ký, bao gồm các tệp '.bash_history' bị thiếu hoặc có kích thước lớn bất thường và kiểm tra các thay đổi cấu hình bất ngờ.

Trong vài năm qua, các tác nhân đe dọa đến từ Trung Quốc ngày càng nhắm mục tiêu vào các thiết bị mạng biên để cài đặt phần mềm độc hại tùy chỉnh, cho phép chúng giám sát thông tin liên lạc mạng, đánh cắp thông tin đăng nhập hoặc hoạt động như máy chủ proxy cho các cuộc tấn công được chuyển tiếp.

Các cuộc tấn công này nhắm vào các nhà sản xuất nổi tiếng, bao gồm Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear và Sophos.

Trong khi nhiều cuộc tấn công bằng phần mềm độc hại khai thác lỗ hổng zero-day, các thiết bị khác đã bị xâm phạm thông qua thông tin đăng nhập bị xâm phạm hoặc các lỗ hổng cũ hơn.Do đó, quản trị viên phải áp dụng các bản vá cho các thiết bị mạng biên ngay khi chúng có sẵn.