Hệ thống mạng của các công ty viễn thông trên toàn thế giới liên tục bị tấn công

Mai Linh, Phạm Thu Trang, Trịnh Đình Trọng| 01/07/2019 16:58
Theo dõi ICTVietnam trên

Operation Soft Cell ghi nhận các công ty viễn thông trên toàn thế giới đã mất hơn 100 GB dữ liệu ghi âm cuộc gọi, nhưng thực tế nó có thể tồi tệ hơn nhiều. Những kẻ tấn công còn có thể đánh sập mạng di động nếu chúng muốn.

Telecom tower

Một cuộc tấn công dài hạn, quy mô lớn nhắm vào các công ty viễn thông trên toàn thế giới đã được phát hiện. Cuộc tấn công, được công ty bảo mật Cyberory đặt tên là Operation Soft Cell, đã ghi nhận ​​hàng trăm gigabyte thông tin bị rò rỉ. Công ty đồng thời đưa ra tuyên bố những kẻ tấn công đã có toàn quyền kiểm soát các mạng bị xâm nhập và có thể dễ dàng hạ gục toàn bộ mạng di động nếu chúng muốn.

Amit Serper, chuyên gia nghiên cứu bảo mật chính tại Cyberory và là tác giả của báo cáo cho biết, “Dịch vụ di động là một cơ sở hạ tầng quan trọng hiện nay. Điều thực sự làm tôi lo lắng là lượng truy cập chúng đang kiểm soát – liệu chúng có khả năng thâu tóm toàn bộ quyền truy cập mạng hay không. Điều tồi tệ nhất chúng có thể làm không phải là phá hoại nó mà là một ngày nào đó chúng sẽ đánh sập toàn bộ hệ thống mạng”.

Cyberory đã không nêu tên cụ thể 10 công ty viễn thông có liên quan, nhưng Serper nói rằng chúng nằm trải khắp Châu Âu, Châu Á, Trung Đông và Châu Phi. Công ty cho biết họ chưa tìm thấy bằng chứng về các công ty Bắc Mỹ bị xâm phạm.

Công ty đang quy kết vụ tấn công này do APT10, nhóm hacker đến từ Trung Quốc dựa trên sự giống nhau của các công cụ, chiến thuật và quy trình được sử dụng trong các cuộc tấn công trước đây đã được quy cho nhóm.

Kẻ tấn công đe dọa giành quyền kiểm soát hoàn toàn hệ thống mạng viễn thông

Theo Cyberory, những kẻ tấn công đã khai thác hơn 100 GB thông tin chủ yếu dưới dạng các bản ghi chi tiết cuộc gọi (CDR). Lượng thông tin này có khả năng là hoạt động thu thập dữ liệu cho một cơ quan tình báo tương đương khoảng thời gian bảy năm. Đây là một cuộc tấn công tinh vi chứ không phải là một hoạt động ồn ào. Đây chính là một hoạt động chiến lược của một cơ quan thu thập thông tin tình báo.

CDR bao gồm nhật ký cuộc gọi và tin nhắn, thông tin thiết bị và dữ liệu vị trí tháp truyền tin, từ đó có thể cung cấp vị trí thực cho thiết bị điện thoại và chủ sở hữu của nó. Siêu dữ liệu này không chỉ không cung cấp thông tin về nội dung của các cuộc gọi và tin nhắn được gửi, mà còn có thể cung cấp một bức tranh chi tiết về đặc tính cá nhân chủ sở hữu và mạng di động cá nhân. Điều này cho thấy hoạt động khai thác dữ liệu này được thực hiện dựa trên mục đích khác hơn là mục đích tài chính. Các bản ghi này về cơ bản có tất cả thông tin thô và siêu dữ liệu thô mà điện thoại của bạn đang gửi đi và nhận đến.

Theo báo cáo, những kẻ tấn công đã có được quyền truy cập thông qua một máy chủ dễ bị tấn công, trước khi tiến hành hành động và phát tán trên mạng. Bằng cách thỏa hiệp thông tin đăng nhập, chúng có thể tạo tài khoản người dùng từng miền có đặc quyền cao. Từ đó chúng có tài khoản quản trị miền riêng, và hoàn thành việc khai thác toàn bộ cơ sở dữ liệu Active Directory, vì vậy chúng có quyền truy cập vào mọi bản ghi trong Active Directory.

Mặc dù có vẻ như các mục tiêu đe dọa của kẻ tấn công là thu thập thông tin tình báo, nhưng nhóm này đã kiểm soát hoàn toàn hệ thống mạng và có thể đã đóng cửa một số dịch vụ nếu chúng muốn. “Chúng có toàn quyền kiểm soát trên mạng. Hôm nay, chúng có thể muốn thu thập CDR, nhưng ngày mai chúng có thể khóa mạng nếu chúng muốn.”

Điều gì đang diễn ra?

Nhóm tấn công đã nhắm mục tiêu ít nhất 20 cá nhân cụ thể để thu thập thông tin CDR tương ứng của họ, cho thấy đây là một cuộc tấn công được nhắm mục tiêu cao, đại diện cho một cơ quan, chứ không phải là một hành động mang tính cơ hội. Nạn nhân không hề nhận được dữ liệu về bất kỳ khoản thanh toán nào, do vậy, chúng đã không ăn cắp bất kỳ thẻ tín dụng nào. “Chúng đã đánh cắp CDR, một thứ rất cụ thể, và theo kinh nghiệm công việc trước đây của tôi tại một cơ quan tình báo, thì CDR liên quan đến thu thập thông tin tình báo và rất hữu ích cho các cơ quan tình báo”.

Cyberory đã điều tra hoạt động này trong chín tháng và đã thông báo cho cả khách hàng và các công ty mà họ xác định là có khả năng bị xâm phạm. Khi các cuộc điều tra vẫn đang tiếp diễn, công ty không thể đưa ra thông báo gì mới nếu các cuộc tấn công đã được khắc phục trên các mạng bị ảnh hưởng.

Các thông tin cụ thể của thỏa hiệp chưa được công bố vì Serper nói rằng bản chất mục tiêu của các cuộc tấn công này là các nạn nhân, nhưng cho biết thêm rằng Cyberory đã gặp các nhà lãnh đạo của 25 công ty viễn thông lớn nhất trên toàn cầu để cung cấp cho họ chi tiết về cuộc tấn công.

Serper đưa ra lời khuyên: “Các công ty của Vương quốc Anh nên kiểm soát những người có quyền truy cập vào cơ sở dữ liệu có chứa CDR của họ và ​​giám sát họ thật chặt chẽ. Hãy chắc chắn rằng tất cả các máy chủ có kết nối với bên ngoài đều được vá các lỗi đầy đủ và không chứa mã dễ bị tấn công trên chúng.”

APT10 là ai?

Mặc dù sự quy kết là khó khăn trong những trường hợp như vậy và cuộc tấn công có thể đã được thực hiện bởi một nhóm khác bằng cách sử dụng chiến thuật sao chép, do vậy, với sự tự tin nhận định rằng đó có thể là APT10, Cyberory nói rằng họ có thể đưa ra tuyên bố với “xác suất rất cao” rằng cuộc tấn công này là một hành động đe dọa mang tính chất quốc gia.

APT10, còn được gọi là Nhóm Menupass, đã hoạt động từ năm 2009. Nhóm này trước đây đã nhắm đến các công ty xây dựng và kỹ thuật, hàng không vũ trụ và viễn thông, cũng như các chính phủ Mỹ, Châu Âu và Nhật Bản.

Năm 2016, chúng được xác định là đứng sau một chiến dịch nhắm mục tiêu vào các nhà cung cấp dịch vụ được quản lý (MSP) được đặt tên là Chiến dịch Cloud Hopper của PwC. Phần mềm độc hại được xác định trong cuộc tấn công này bao gồm Haymaker, Snugride, Bugjuice và Quasarrat. Trong cuộc tấn công này, nhóm tấn công đã sử dụng các phiên bản tùy chỉnh của các công cụ đã biết. Chúng bao gồm một phiên bản tùy chỉnh của Công cụ truy cập từ xa Poison Ivy (RAT), trình web China Chopper, công cụ nbtscan đã sửa đổi và một phiên bản công cụ đánh cắp thông tin được sửa đổi và tùy chỉnh rất tinh vi của Mimikatz.

Serper cho biết cũng giống như việc đảm bảo các công cụ hoạt động trong môi trường mà chúng nhắm mục tiêu, nhiều sửa đổi được tùy chỉnh là để tránh bị các sản phẩm bảo mật phát hiện. Nhóm tấn công tiến hành hoạt động một cách chậm chạp, đôi khi chờ đợi hàng tháng giữa các hành động. Đây là những gì chúng ta gọi là một cuộc tấn công thấp và chậm. Đôi khi, chúng cần thời gian để tùy chỉnh các công cụ để công cụ của chúng hoạt động chính xác trong mạng, thậm chí chúng có thể nghĩ rằng chúng đã bị phát hiện nên chúng đã thay đổi một số công cụ để chúng không bị phát hiện nữa.

Cyberory tin rằng những kẻ tấn công có thể đã ở trên các mạng bị xâm nhập trong vòng bảy năm. Theo một số vi phạm, chúng tôi đã tìm thấy các phiên bản phần mềm độc hại cũ tương ứng với các vi phạm đã có từ bảy năm trước - năm 2012.

Mặc dù đó có thể không phải là một chỉ báo rõ ràng về thời điểm của cuộc tấn công, nhưng các tác nhân đe dọa đã có mặt đủ lâu để cho thấy việc cài đặt hệ thống VPN của riêng chúng nhằm mục đích truy cập mạng dễ dàng hơn.

Các công ty Viễn thông cần phải nâng cấp hệ thống an ninh mạng của họ

Trong khi phần lớn sự tập trung gần đây đều dồn vào mạng 5G và bảo mật viễn thông thì tập trung vào Huawei, cuộc tấn công này cho thấy các công ty viễn thông vẫn chưa đuổi kịp hệ thống bảo mật của thế hệ kết nối di động tiếp theo. Theo báo cáo về các Mối đe dọa DNS toàn cầu của EfficientIP năm 2018, 1/3 các công ty viễn thông đã mất thông tin nhạy cảm của khách hàng trong 12 tháng qua.

Trong một sự kiện gần đây, Giám đốc điều hành NCSC Ciaran Martin tuyên bố, “Vấn đề về kết cấu trong cách thị trường viễn thông hoạt động trong quá khứ đã không khuyến khích an ninh mạng hoạt động đủ tốt. Chúng ta cần sử dụng cơ hội này để thay đổi căn bản cách chúng ta thực hiện bảo mật viễn thông để tăng cường an ninh mạng và tăng khả năng phục hồi vào cơ sở hạ tầng của chúng ta. Vì vậy, cần tập trung rất nhiều vào hoạt động bảo mật cho mạng 5G hơn so với Huawei”.

Khi được hỏi liệu bảo mật kém có dẫn đến cho sự tấn công thành công của Operation Soft Cell hay không, Serper đã bảo vệ công ty viễn thông. “Nếu một quốc gia quan tâm đến việc tiến vào một nơi nào đó, họ sẽ tham gia. Đó chỉ là vấn đề thời gian, sự nỗ lực và số lượng tài nguyên mà họ muốn đưa vào. Cuối cùng, điều đó sẽ xảy ra và họ sẽ có quyền truy cập. Tôi không nghĩ rằng nhất thiết phải nói bất cứ điều gì về động thái bảo mật của tổ chức bị tấn công.”

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Để đổi mới sáng tạo không bị cản trở, mà được khơi thông và lan tỏa
    Theo Bộ trưởng Bộ KH&CN Nguyễn Mạnh Hùng: "Chúng ta cần tạo ra một hệ sinh thái ĐMST mà ở đó, doanh nghiệp có thể cải tiến sản phẩm phù hợp với thị trường trong nước, người dân có thể sáng tạo trong điều kiện thực tế của mình, nhà nước hỗ trợ môi trường, thể chế và động lực để đổi mới sáng tạo không bị cản trở, mà được khơi thông và lan toả".
  • "Báo chí trong kỷ nguyên mới phải sáng tạo, đổi mới mạnh mẽ"
    Phó Trưởng ban Tuyên giáo và Dân vận Trung ương Phan Xuân Thuỷ nhấn mạnh: Báo chí trong kỷ nguyên mới phải sáng tạo, đổi mới mạnh mẽ để đáp ứng nhu cầu của công chúng, theo kịp sự phát triển của thời đại, công cuộc chuyển đổi số của đất nước.
  • Thủ tướng: "Thần tốc táo bạo" để đưa Việt Nam trở thành trung tâm đổi mới sáng tạo
    Thủ tướng đánh giá thời gian qua, đất nước ta đã đạt được một số kết quả tích cực về sự phát triển khoa học công nghệ, đổi mới sáng tạo, trong đó có vai trò của hoạt động khởi nghiệp.
  • Đổi mới sáng tạo - Doanh nghiệp tiên phong - Quốc gia thịnh vượng
    Năm 2017, Đại hội đồng Liên hợp quốc đã chọn ngày 21/4 hằng năm là Ngày Sáng tạo và Đổi mới sáng tạo thế giới với mục đích nhằm nâng cao nhận thức về vai trò của sáng tạo và đổi mới sáng tạo trong phát triển kinh tế, xã hội và phát triển bền vững.
  • 75 năm thành lập Hội Nhà báo Việt Nam: Những truyền thống vẻ vang
    Cách đây 75 năm, ngày 21/4/1950, tại xóm Roòng Khoa, xã Ðiềm Mặc, huyện Ðịnh Hóa, tỉnh Thái Nguyên đã diễn ra Đại hội thành lập Hội Những người viết báo Việt Nam, nay là Hội Nhà báo Việt Nam.
  • Báo chí trong bối cảnh bùng nổ mạng xã hội và chuyển đổi số
    Báo chí là một trong những loại hình phương tiện truyền thông đại chúng hiện đại. Các tác phẩm, sản phẩm báo chí luôn phải mang đến công chúng những giá trị thông tin thời sự, chân thật, khách quan về các sự kiện, vấn đề diễn ra trong đời sống xã hội. Dù trong bối cảnh phát triển nào thì các loại hình báo chí vẫn đóng vai trò quan trọng là phương tiện truyền thông chủ lực, thiết yếu dẫn dắt, định hướng dư luận xã hội.
  • Duy trì cam kết với cổ đông, VPBank năm thứ 3 liên tiếp trả cổ tức tiền mặt
    Năm thứ 3 liên tiếp, VPBank dự kiến duy trì chính sách cổ tức tiền mặt, thể hiện năng lực tài chính vững mạnh, chiến lược tăng trưởng hợp lý và cam kết mang lại lợi ích lớn nhất cho cổ đông.
  • Cảnh báo lợi dụng hình thức "xe ôm công nghệ" để lừa đảo
    Công an thành phố Hà Nội cho biết thời gian qua, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố đã xử lý nhiều vụ việc liên quan đến hành vi chiếm đoạt tài sản của khách hàng do các đối tác tài xế xe công nghệ thực hiện.
  • Xuất bản Việt Nam cần đẩy mạnh ứng dụng khoa học công nghệ để sớm trở thành công nghiệp xuất bản
    Ngành xuất bản Việt Nam đang trải qua quá trình chuyển đổi mạnh mẽ để thích ứng với sự phát triển của khoa học công nghệ. Trong bối cảnh toàn cầu hóa và cuộc Cách mạng công nghiệp 4.0, việc ứng dụng công nghệ hiện đại không chỉ là xu hướng mà còn là yêu cầu cấp thiết giúp ngành xuất bản phát triển bền vững và tiệm cận với mô hình công nghiệp xuất bản hiện đại.
  • Chuyển đổi số - liều vắc-xin hiệu quả
    Trong thời cách mạng công nghiệp 4.0, chuyển đổi số được kỳ vọng là chiếc "đũa thần" giải quyết bài toán tăng trưởng chậm và năng suất thấp. Ở nhiều quốc gia, đó cũng là công cụ quan trọng để xử lý tình trạng lãng phí nguồn lực - căn bệnh kinh niên của khu vực công.
Hệ thống mạng của các công ty viễn thông trên toàn thế giới liên tục bị tấn công
POWERED BY ONECMS - A PRODUCT OF NEKO