Theo Cơ quan An ninh và Tình báo Quân đội (MIVD) của Hà Lan, một nhóm gián điệp mạng Trung Quốc đã xâm nhập Bộ Quốc phòng Hà Lan vào năm ngoái và triển khai phần mềm độc hại trên các thiết bị bị xâm nhập.
Tuy nhiên, mặc dù đã cài đặt backdoor cho các hệ thống bị tấn công nhưng thiệt hại do vi phạm vẫn bị hạn chế do phân đoạn mạng.
MIVD và Tổng cục Tình báo và An ninh (AIVD) cho biết trong một báo cáo chung: “Tác động của vụ xâm nhập bị hạn chế do mạng nạn nhân được phân chia từ các mạng MOD rộng hơn”.
“Mạng nạn nhân có ít hơn 50 người dùng. Mục đích của nó là nghiên cứu và phát triển (R&D) các dự án chưa được phân loại và hợp tác với hai viện nghiên cứu của bên thứ ba. Các tổ chức này đã được thông báo về vụ việc.”
Phần mềm độc hại RAT vẫn tồn tại sau khi nâng cấp chương trình cơ sở
Trong quá trình điều tra tiếp theo, một loại phần mềm độc hại chưa được biết đến trước đây có tên Coathanger, một trojan truy cập từ xa (RAT) được thiết kế để lây nhiễm các thiết bị bảo mật mạng Fortigate, cũng được phát hiện trên mạng bị tấn công.
Hai cơ quan Hà Lan cảnh báo: “Đáng chú ý là bộ cấy COATHANGER vẫn tồn tại dai dẳng, phục hồi sau mỗi lần khởi động lại bằng cách đưa một bản sao lưu của chính nó vào quá trình chịu trách nhiệm khởi động lại hệ thống. Hơn nữa, sự lây nhiễm vẫn tồn tại sau khi nâng cấp chương trình cơ sở”.
“Do đó, ngay cả các thiết bị FortiGate đã được vá đầy đủ cũng có thể bị nhiễm virus nếu chúng bị xâm phạm trước khi áp dụng bản vá mới nhất.”
Phần mềm độc hại hoạt động lén lút và liên tục, ẩn mình bằng cách chặn các cuộc gọi hệ thống để tránh bị phát hiện. Nó cũng vẫn tồn tại thông qua việc khởi động lại hệ thống và nâng cấp chương trình cơ sở.
Mặc dù các cuộc tấn công không được quy cho một nhóm đe dọa cụ thể, nhưng MIVD rất tin tưởng liên kết vụ việc này với một nhóm hack do nhà nước Trung Quốc tài trợ và nói thêm rằng hoạt động độc hại này là một phần trong mô hình gián điệp chính trị rộng lớn hơn của Trung Quốc nhắm vào Hà Lan và các đồng minh của nước này.
Tường lửa FortiGate đang bị tấn công
Tin tặc Trung Quốc đã triển khai phần mềm độc hại Coathanger cho mục đích gián điệp mạng trên tường lửa FortiGate dễ bị tấn công mà chúng đã xâm phạm bằng cách khai thác lỗ hổng CVE-2022-42475 FortiOS SSL-VPN.
CVE-2022-42475 cũng bị khai thác như lỗ hổng zero-day trong các cuộc tấn công nhắm vào các tổ chức chính phủ và các mục tiêu liên quan, như Fortinet tiết lộ vào tháng 1 năm 2023.
Các cuộc tấn công này cũng có nhiều điểm tương đồng với một chiến dịch hack khác của Trung Quốc nhắm vào các thiết bị SonicWall Secure Mobile Access (SMA) chưa được vá bằng phần mềm độc hại gián điệp mạng cũng được thiết kế để tồn tại khi nâng cấp chương trình cơ sở.
Các tổ chức được khuyến khích áp dụng kịp thời các bản vá bảo mật từ các nhà cung cấp cho tất cả các thiết bị kết nối Internet (cạnh) ngay khi chúng có sẵn để ngăn chặn các nỗ lực tấn công tương tự.
Bộ trưởng Quốc phòng Kajsa Ollongren cho biết: “Lần đầu tiên MIVD chọn công khai một báo cáo kỹ thuật về phương pháp làm việc của tin tặc Trung Quốc. Điều quan trọng là phải quy kết các hoạt động gián điệp như vậy của Trung Quốc”.
“Bằng cách này, chúng tôi tăng cường khả năng phục hồi quốc tế chống lại loại gián điệp mạng này.”
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/tin-tac-trung-quoc-lay-nhiem-phan-mem-doc-hai-vao-mang-quan-su-ha-lan