NCSC cáo buộc Trung Quốc nhắm mục tiêu MSP toàn cầu trong chiến dịch tấn công mạng
- Linh Le
HPE và IBM là hai trong số các công ty bị các tin tặc ATP10 liên kết với nhà nước nhắm đến tấn công trong một chiến dịch đánh cắp bí mật thương mại
Vương quốc Anh, Mỹ, Úc và một loạt các đồng minh đã cáo buộc Trung Quốc chỉ huy một chiến dịch tấn công mạng nhằm vào các doanh nghiệp toàn cầu, trong đó có hai nạn nhân được báo cáo là HPE và IBM.
Trung tâm an ninh mạng quốc gia (NCSC) đã đưa ra báo động vào ngày hôm qua, cảnh báo doanh nghiệp trên khắp Vương quốc Anh rằng họ đang phải đối mặt với mối đe dọa mới từ nhóm tin tặc ATP10, hành động với sự hậu thuẫn từ Bộ An ninh Quốc gia Trung Quốc.
Cơ quan tư vấn không gian mạng của Vương quốc Anh đánh giá “với xác suất cao nhất” rằng ATP10 chính là hung thủ gây ra chiến dịch tấn công mạng kéo dài và tập trung vào các nhà cung cấp dịch vụ quy mô lớn để lấy thông tin bí mật thương mại. Mặc dù khó có thể xác định được tầm ảnh hưởng của sự xâm nhập trong lần đầu tiên tấn công nhưng các doanh nghiệp nên kiểm tra xem có bị mất mát gì về tài sản trí tuệ (IP) và chi phí tài chính từ hành vi trộm cắp dữ liệu này hay không.
ATP10 cũng được xác định là đã lấy cắp rất nhiều dữ liệu cá nhân và bị đứng trước nguy cơ chính thức lãnh án phạt tài chính nặng nề theo Quy định bảo vệ dữ liệu chung (GDPR) của EU.
IBM và HPE trở thành nạn nhân
Bản chất của sự lây nhiễm chủ yếu phát sinh thông qua một phần mềm độc hại có tên là Quasar RAT, một công cụ quản trị từ xa có sẵn công khai, mà ATP10 đã triển khai từ năm 2017. Nhóm cũng sử dụng RedLeaves và PlugX, mặc dù Quasar RAT phổ biến hơn ở Anh.
NCSC cảnh báo rằng: “APT10 vẫn là một mối đe dọa đáng kể và rộng rãi đối với các tổ chức và các công ty con thuộc mọi quy mô tại Vương quốc Anh. Việc nhắm mục tiêu thành công vào MSP trong những năm gần đây đã cho phép những kẻ tấn công này truy cập vào các mạng lưới toàn cầu trên quy mô rộng lớn”.
“Tuy nhiên, các phương pháp nhắm mục tiêu được sử dụng không tinh vi lắm và trong nhiều trường hợp, tác động của chúng có thể được giảm thiểu thông qua việc thực hiện các biện pháp bảo mật cơ bản.
“Nếu bằng chứng về hoạt động độc hại được tìm thấy trên mạng lưới của một tổ chức, thì nên tiến hành điều tra và khắc phục đầy đủ, với sự hướng dẫn từ một công ty Ứng phó sự cố an ninh mạng có kinh nghiệm.”
Trong khi đó, Reuters đã xác định hai nhà cung cấp dịch vụ quản lý (Managed Services Provider – MSP) bị nhắm mục tiêu trong chiến dịch của Cloud Hopper là IBM và Hewlett Packard Enterprise (HPE). Tuy nhiên, các cơ quan an ninh mạng quốc gia đang từ chối xác định bất kỳ tên mục tiêu bị tấn công nào.
Theo các nguồn tin cung cấp choi Reuters, các tin tặc hành động dưới trướng của chính phủ Trung Quốc đã xâm phạm các mạng lưới của công ty HPE và IBM, và sau đó sử dụng quyền truy cập này để hack vào máy tính của khách hàng của họ.
NCSC cho biết họ biết hoạt động độc hại hiện tại ảnh hưởng đến các tổ chức của Anh đến một loạt các lĩnh vực và các cuộc tấn công do ATP10 dẫn đầu “gần như chắc chắn” được nhóm này trước hết nhắm mục tiêu vào MSP và các nhà cung cấp dịch vụ oursource khác.
Buộc tội Trung Quốc liên quan đến an ninh quốc gia
Bộ Ngoại giao Anh đã tuyên bố vụ việc là bằng chứng cho thấy các yếu tố có liên quan đến chính phủ Trung Quốc không ủng hộ một loạt các cam kết của quốc tế. Cụ thể trong số này là cam kết G20 rằng không quốc gia nào được phép tham gia vào hoạt động gián điệp mạng hoặc IP và đánh cắp bí mật thương mại chống lại các công ty có trụ sở tại các quốc gia G20 khác.
Bộ trưởng ngoại giao Jeremy Hunt cho biết: “Chiến dịch này là một trong những cuộc xâm nhập mạng có lớn và trải rộng nhất đối với Vương quốc Anh và các đồng minh chưa được khám phá cho đến nay, nhắm vào các bí mật thương mại và nền kinh tế trên toàn thế giới”.
“Thông điệp của chúng tôi với các chính phủ chuẩn bị cho phép các hoạt động này rất rõ ràng: cùng với các đồng minh của mình, chúng tôi sẽ vạch trần hành động của các bạn và thực hiện các bước cần thiết khác để đảm bảo luật pháp được duy trì.”
Thông báo chung được đưa ra ngay sau khi cựu cố vấn an ninh mạng của tổng thống Mỹ Rob Joyce phát ra một cảnh báo rằng các nỗ lực tấn công mạng của Trung Quốc chống lại Mỹ đang gia tăng.
Cựu sĩ quan tình báo cấp cao của NSA cho biết, trong khi mối đe dọa tấn công của Trung Quốc chủ yếu tập trung vào việc đánh cắp IP và bí mật thương mại, dường như có một sự chuyển đổi nhắm mục tiêu vào cơ sở hạ tầng quan trọng.
Chẳng hạn, các nhà điều tra, đã ám chỉ cuộc tấn công mạng nhằm vào chuỗi khách sạn Starwood của ERICot, ảnh hưởng đến 500 triệu khách, bắt nguồn từ các tin tặc có trụ sở tại Trung Quốc.
Đây là lần đầu tiên chính phủ Anh công khai nêu tên các thành phần của nhà nước Trung Quốc chịu trách nhiệm về một chiến dịch mạng, trước đó đã chỉ ra Triều Tiên đối với phần mềm độc hại WannaCry, cũng như nêu tên Iran và Nga trong một số sự cố riêng biệt.
Ăn cắp bí mật của công ty vì lợi thế công nghệ
“Thứ nhất, rõ ràng rằng Vương quốc Anh và Hoa Kỳ tin rằng Trung Quốc đang sử dụng khả năng tình báo của nhà nước để nhắm mục tiêu vào các công ty phương Tây”, Malcolm Taylor, giám đốc tư vấn không gian mạng của ITC Secure cho biết.
“Tất cả các công ty đều có những thứ vô cùng quý giá để bảo vệ – nhưng cách xa tất cả chúng để bảo vệ bí mật của họ như họ nên. Đây là một lời nhắc nhở khác rằng các công ty thuộc mọi quy mô thuộc các lĩnh vực khác nhau nên thực hiện tất cả các bước cần thiết để tự bảo vệ mình.
“Thứ hai, đó là một động thái ngoại giao hấp dẫn để công khai ngay bây giờ. Nó xuất hiện sau vụ Huawei, vụ bắt giữ phản ứng rõ ràng ở Trung Quốc của các doanh nhân Canada, và cuộc chiến thương mại, và nó trông giống như một sự mở rộng của những phương tiện khác.
Trong khi đó, CTO của McAfee, Steve Grobman, cho biết các nghiên cứu đã chỉ ra hình thức trộm cắp tài sản trí tuệ này chiếm một phần tư khoản lỗ kinh tế hàng năm ước tính trị giá 600 tỷ USD do tội phạm mạng gây ra.
“Trong thời đại công nghệ phát triển, các quốc gia và ngành công nghiệp sẽ thành công hay thất bại một phần dựa trên mức độ hiệu quả mà họ có thể phát triển, thực hiện và bảo vệ các công nghệ mới”, ông nói.
“Việc đánh cắp tài sản trí tuệ đằng sau các công nghệ này có thể mang lại lợi thế kỹ thuật to lớn mà không cần đầu tư vốn, tài năng của con người hoặc các yếu tố nền tảng khác liên quan đến đổi mới.
“Những lợi thế như vậy có thể được áp dụng để tăng cường khả năng cạnh tranh của các doanh nghiệp của một quốc gia cũng như tiềm năng của các lực lượng vũ trang của nó.”
NCSC đã ban hành một số bước giảm thiểu mà các công ty có thể thực hiện, nếu họ nghi ngờ đã bị nhắm mục tiêu, bao gồm sử dụng xác thực đa yếu tố (MFA) trên toàn tổ chức và các ứng dụng danh sách trắng.
Hướng dẫn của NCSC cũng khuyến nghị các doanh nghiệp liên hệ với MSP của họ, nếu họ là khách hàng và hỏi họ cách tổ chức của họ xử lý tình huống.
Nguồn bài viết : https://www.itpro.co.uk