Nhiều nhóm tin tặc đã khai thác lỗ hổng trong Microsoft Exchange để có được “quyền truy cập lâu dài” vào hạ tầng máy chủ của một công ty quốc phòng Mỹ.

Những kẻ tấn công đã khai thác lỗ hổng bảo mật vào đầu tháng 1/2020, đánh cắp các thông tin mà Giám đốc Cybersecurity and Infrastructure Security Agency (CISA) Jen Easterly gọi là dữ liệu nhạy cảm – email, cuộc họp, danh bạ và các hồ sơ khác của công ty.

CISA, Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Quốc gia (NSA) đã nhấn mạnh rằng phát hiện các cuộc tấn công có chủ đich (APT) trên mạng doanh nghiệp của tổ chức Cơ sở Công nghiệp Quốc phòng (DIB).

Các tin tặc đã sử dụng bộ công cụ mã nguồn mở Impacket để thâm nhập vào hạ tầng và công cụ lọc dữ liệu CovalentStealer để lấy cắp dữ liệu nhạy cảm của nạn nhân.

Theo CISA, các tác nhân không gian mạng APT đã sử dụng các nhà cung cấp mạng riêng ảo (VPN) và máy chủ riêng ảo (VPS), M247 và SurfShark, như một phần kỹ thuật của họ để truy cập từ xa vào máy chủ Microsoft Exchange. CISA cho biết việc sử dụng các nhà cung cấp dịch vụ lưu trữ này nhằm che giấu sự tương tác với các mạng nạn nhân là điều phổ biến đối với các tin tặc. Theo phân tích của CISA về nhật ký máy chủ Microsoft Exchange Internet Information Services (IIS) của nạn nhân, các tác nhân đã sử dụng tài khoản của một nhân viên cũ để truy cập EWS, cho phép truy cập vào các mục hộp thư như email, cuộc họp và danh bạ. Địa chỉ IP nguồn cho các kết nối này hầu hết là từ nhà cung cấp dịch vụ lưu trữ VPS, M247.

Tom Kellermann, CISM, phó chủ tịch cấp cao về chiến lược mạng tại Contrast Security, người từng phục vụ trong Ủy ban An ninh mạng của chính quyền Tổng thống Barack Obama, nơi đã làm việc về đánh giá và cải thiện cơ sở hạ tầng mạng của Hoa Kỳ, nói rằng tác động an ninh quốc gia của chiến dịch gián điệp này là rất quan trọng. “Tin tặc Trung Quốc đứng sau vụ xâm nhập này. Với những căng thẳng đang âm ỉ xung quanh Đài Loan, chúng tôi cho rằng nhiều vụ xâm nhập như thế này đang xảy ra nhiều hơn. Khả năng chúng nhảy từ hệ thống nạn nhân để vào mạng lưới quân sự là rất cao. Việc tìm kiếm mối đe dọa trên các máy chủ Exchange Microsoft và các Endpoint của quản trị viên là bắt buộc. Mối quan tâm lớn nhất của tôi là liệu tính toàn vẹn của dữ liệu có bị ảnh hưởng sau khi khai thác hay không”.

CSA cung cấp các chiến thuật APT, kỹ thuật và thủ tục (TTP) và các chỉ số thỏa hiệp (IOC) được CISA và mạng lưới ứng cứu sự cố xác định trong các hoạt động ứng phó.CSA ban hành các biện pháp phát hiện và giảm thiểu để giúp các tổ chức phát hiện và ngăn chặn hoạt động APT liên quan. CISA, FBI và NSA khuyến nghị DIB và các tổ chức cơ sở hạ tầng quan trọng khác thực hiện các biện pháp giảm thiểu này để đảm bảo họ đang quản lý và giảm tác động của các tin tặc đối với mạng của họ.

Theo https://www.securitymagazine.com/