Các cơ quan an ninh mạng Mỹ và Canada vừa phát đi cảnh báo vẽ về một chiến dịch tấn công mạng tinh vi nhắm vào hệ thống chính phủ và các tổ chức hạ tầng trọng yếu. Mục tiêu của nhóm tin tặc không chỉ là do thám mà còn nhằm duy trì sự kiểm soát lâu dài để phục vụ khả năng gây gián đoạn hoặc phá hoại trong tương lai.
Loại malware mới, được đặt tên
“Brickstorm”, cho phép tin tặc duy trì sự hiện diện dài hạn bên trong mạng lưới
mục tiêu – điều mà các cơ quan an ninh đánh giá là “cực kỳ nguy hiểm” vì tạo
khả năng cho tin tặc đánh cắp thông tin nhạy cảm; điều khiển hệ thống từ xa; và
đặc biệt là kích hoạt các hành vi phá hoại (sabotage) khi cần thiết.
Ông Madhu Gottumukkala, quyền Giám
đốc CISA, nhận định: “Đây là ví dụ mới nhất về việc các nhóm tin tặc cố tình
xâm nhập, cài cắm và duy trì quyền truy cập dài hạn vào các hệ thống trọng yếu
nhằm phục vụ các mục đích chiến lược.”
MALWARE
“BRICKSTORM” NHẮM VÀO HỆ THỐNG QUẢN LÝ MÁY ẢO
Theo báo cáo kỹ thuật đi kèm, phần
mềm độc hại Brickstorm chủ yếu nhắm vào VMware vSphere – một nền tảng của VMware
(thuộc Broadcom) được sử dụng rộng rãi trong hệ thống chính phủ và doanh nghiệp
để quản lý máy chủ ảo.
Khi xâm nhập thành công, tin tặc có
thể chiếm quyền điều khiển các máy ảo, mở rộng sang những hệ thống liên quan,
đánh cắp thông tin đăng nhập cùng nhiều dữ liệu nhạy cảm, đồng thời tạo các
“điểm bám” sâu trong mạng để có thể quay lại và tái kiểm soát hệ thống vào bất
kỳ thời điểm nào.
Một trường hợp điển hình được ghi
nhận vào tháng 4/2024, khi Brickstorm xâm nhập một doanh nghiệp và duy trì
quyền truy cập kéo dài ít nhất đến 3/9/2024 – thời điểm vụ việc mới bị phát
hiện.
Broadcom cho biết họ đã ghi nhận các
báo cáo liên quan và khuyến cáo khách hàng cập nhật bản vá bảo mật khẩn cấp.
Công ty nhấn mạnh tin tặc chỉ có thể triển khai Brickstorm sau khi đã lọt vào
môi trường của khách hàng, cho thấy các kẽ hở ban đầu đến từ việc vận hành hệ
thống không chặt chẽ.
Tháng 9 vừa qua, Google Threat
Intelligence Group cũng công bố xử lý hàng loạt vụ xâm nhập liên quan đến
Brickstorm tại các ngành luật, phần mềm, công nghệ và dịch vụ thuê ngoài.
Điều đáng lo ngại, theo Google, là
ngoài mục đích gián điệp truyền thống, các tin tặc còn tận dụng hoạt động tấn
công để phát triển lỗ hổng mới, tạo điểm trung chuyển, mở rộng phạm vi kiểm
soát sang nhiều nạn nhân hơn.
NGUY CƠ ĐỐI VỚI CHIẾN LƯỢC AN NINH SỐ TOÀN CẦU
Đại diện CISA cho biết có ít nhất 8
mẫu Brickstorm được phân tích từ các tổ chức bị nhắm mục tiêu, song cơ quan này
từ chối công bố danh tính nạn nhân hoặc mức độ thiệt hại.
Giới phân tích an ninh mạng nhận
định: “Các nhóm tin tặc nhà nước ngày càng theo đuổi chiến lược dài hạn: không
phá hoại ngay lập tức, mà âm thầm cài đặt công cụ cho đến khi cần ra tay.”
Vụ việc Brickstorm tiếp tục làm gia
tăng căng thẳng trong quan hệ an ninh mạng Mỹ – Trung, đặt ra câu hỏi lớn về an
toàn của các hệ thống trọng yếu trong bối cảnh thế giới phụ thuộc ngày càng
nhiều vào công nghệ thông tin, trí tuệ nhân tạo và điện toán đám mây.
Với khả năng ẩn mình lâu dài trong
mạng lưới mục tiêu, các chiến dịch như Brickstorm có thể trở thành mối đe dọa
nghiêm trọng đối với hoạt động của các cơ quan chính phủ, lĩnh vực quốc phòng,
quá trình phát triển kinh tế số cũng như các hệ thống hạ tầng thiết yếu như
điện, nước và viễn thông.
Các cơ quan an ninh Mỹ và Canada kêu
gọi các tổ chức cập nhật hệ thống, tăng cường kiểm soát truy cập và giám sát
liên tục để phát hiện bất thường. Giới chuyên gia nhận định cuộc chiến an ninh
mạng giữa các cường quốc sẽ còn kéo dài và phức tạp hơn trong thời gian tới.
The Straitimes, Reuters-Trọng Hoàng
