-
09/04/2020
-
94
-
676 bài viết
Chiến dịch toàn cầu tấn công hơn 1.000 thiết bị Cisco qua 2 lỗ hổng nghiêm trọng
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch gián điệp mạng do nhóm RedMike (còn được gọi là Salt Typhoon) thực hiện, nhằm vào các nhà cung cấp dịch vụ viễn thông trên toàn thế giới.
Nhóm tin tặc được cho là có liên quan đến Trung Quốc, chúng đang khai thác các lỗ hổng leo thang đặc quyền là CVE-2023-20198 và CVE-2023-20273 trên các thiết bị Cisco IOS XE để duy trì quyền truy cập vào hạ tầng mạng quan trọng.
Từ tháng 12/2024 đến tháng 1/2025, nhóm này đã tấn công hơn 1.000 thiết bị Cisco trên thế giới. RedMike không chỉ khai thác các lỗ hổng kỹ thuật mà nhen nhóm các âm mưu tình báo.
Sau khi kiểm soát thiết bị, RedMike sẽ thiết lập một đường hầm GRE (Generic Routing Encapsulation) để duy trì kết nối ẩn. Các đường hầm này giúp mã hóa và che giấu dữ liệu, cho phép tin tặc truyền dữ liệu ra ngoài mà không bị phát hiện và vượt qua các giải pháp bảo mật.
Mục tiêu của RedMike không chỉ giới hạn ở các công ty viễn thông mà còn mở rộng đến các trường đại học trên toàn cầu, đặc biệt là những tổ chức nghiên cứu về viễn thông, kỹ thuật và công nghệ tiên tiến. Các quốc gia bị ảnh hưởng bao gồm Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Mỹ và Việt Nam.
Báo cáo nhấn mạnh rằng các trường đại học là mục tiêu hàng đầu của các nhóm tin tặc này, nhằm thu thập dữ liệu nghiên cứu quan trọng và đánh cắp tài sản trí tuệ. Trước đây, các nhóm APT40, RedGolf (APT41) và RedBravo (APT31) cũng từng thực hiện những cuộc tấn công tương tự vào các tổ chức học thuật.
7 thiết bị Cisco đã bị RedMike xâm nhập và liên kết với cơ sở hạ tầng của nhóm này. Những thiết bị này thuộc về các công ty viễn thông và nhà cung cấp dịch vụ internet quan trọng, giúp RedMike duy trì quyền truy cập vào hệ thống mạng quan trọng, tạo điều kiện cho đánh chặn dữ liệu, giám sát, thậm chí làm gián đoạn dịch vụ, bao gồm:
Với mức độ nghiêm trọng của lỗ hổng và sự tinh vi của RedMike, các tổ chức đang sử dụng Cisco IOS XE cần khẩn trương kiểm tra và cập nhật hệ thống để giảm thiểu nguy cơ bị tấn công.
Nhóm tin tặc được cho là có liên quan đến Trung Quốc, chúng đang khai thác các lỗ hổng leo thang đặc quyền là CVE-2023-20198 và CVE-2023-20273 trên các thiết bị Cisco IOS XE để duy trì quyền truy cập vào hạ tầng mạng quan trọng.
- CVE-2023-20198: Đây là lỗ hổng trong giao diện quản lý web (UI) của Cisco IOS XE, cho phép tin tặc leo thang đặc quyền và tạo tài khoản quản trị cấp cao mới. Đây là bước đầu tiên của cuộc tấn công, giúp RedMike thực thi lệnh tùy ý trên các thiết bị mục tiêu.
- CVE-2023-20273: Sau khi có quyền truy cập ban đầu, RedMike khai thác lỗ hổng leo thang đặc quyền này để chiếm quyền root. Khi có quyền quản trị cao nhất, nhóm tin tặc có thể sửa đổi cấu hình thiết bị và cài đặt cửa hậu (backdoor) lâu dài.
Từ tháng 12/2024 đến tháng 1/2025, nhóm này đã tấn công hơn 1.000 thiết bị Cisco trên thế giới. RedMike không chỉ khai thác các lỗ hổng kỹ thuật mà nhen nhóm các âm mưu tình báo.
Sau khi kiểm soát thiết bị, RedMike sẽ thiết lập một đường hầm GRE (Generic Routing Encapsulation) để duy trì kết nối ẩn. Các đường hầm này giúp mã hóa và che giấu dữ liệu, cho phép tin tặc truyền dữ liệu ra ngoài mà không bị phát hiện và vượt qua các giải pháp bảo mật.
Mục tiêu của RedMike không chỉ giới hạn ở các công ty viễn thông mà còn mở rộng đến các trường đại học trên toàn cầu, đặc biệt là những tổ chức nghiên cứu về viễn thông, kỹ thuật và công nghệ tiên tiến. Các quốc gia bị ảnh hưởng bao gồm Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Mỹ và Việt Nam.
Báo cáo nhấn mạnh rằng các trường đại học là mục tiêu hàng đầu của các nhóm tin tặc này, nhằm thu thập dữ liệu nghiên cứu quan trọng và đánh cắp tài sản trí tuệ. Trước đây, các nhóm APT40, RedGolf (APT41) và RedBravo (APT31) cũng từng thực hiện những cuộc tấn công tương tự vào các tổ chức học thuật.
7 thiết bị Cisco đã bị RedMike xâm nhập và liên kết với cơ sở hạ tầng của nhóm này. Những thiết bị này thuộc về các công ty viễn thông và nhà cung cấp dịch vụ internet quan trọng, giúp RedMike duy trì quyền truy cập vào hệ thống mạng quan trọng, tạo điều kiện cho đánh chặn dữ liệu, giám sát, thậm chí làm gián đoạn dịch vụ, bao gồm:
- Một chi nhánh tại Mỹ của một công ty viễn thông Anh
- Một công ty viễn thông lớn ở Nam Phi
- Một nhà cung cấp dịch vụ internet (ISP) tại Ý
- Một nhà mạng viễn thông lớn ở Thái Lan
Với mức độ nghiêm trọng của lỗ hổng và sự tinh vi của RedMike, các tổ chức đang sử dụng Cisco IOS XE cần khẩn trương kiểm tra và cập nhật hệ thống để giảm thiểu nguy cơ bị tấn công.
Theo Security Online