Pháp cảnh báo tấn công mạng các nhà cung cấp dịch vụ và văn phòng kỹ thuật

Cơ quan an ninh mạng của Pháp (Agence Nationale de la Sécurité des Systèmes d'In information - ANSSI), vừa phát đi một cảnh báo về các chiến dịch gián điệp mạng nhắm vào cơ sở hạ tầng của các nhà cung cấp dịch vụ và các công ty kỹ thuật của nước này.

ANSSI cho biết: "Những kẻ tấn công đang thâm nhập các mạng doanh nghiệp này để truy cập dữ liệu và cuối cùng là mạng của khách hàng của các doanh nghiệp này".

Samuel Hassine, người đứng đầu bộ phận tình báo đe dọa mạng của ANSSI cho biết: cơ quan này đã biên soạn báo cáo với thông tin từ các cuộc điều tra ANSSI gần đây sau các hoạt động ứng phó sự cố.

Các quan chức ANSSI cho biết: "Vào thời điểm này, phân tích cho thấy hai làn sóng tấn công được tách ra theo thời gian và không có bằng chứng kỹ thuật về mối liên kết giữa chúng. Làn sóng đầu tiên sử dụng phần mềm độc hại PlugX là chủ yếu. Làn sóng thứ hai phụ thuộc vào các công cụ hợp pháp và đánh cắp thông tin đăng nhập".

Các quan chức ANSSI đã không nêu tên nạn nhân hoặc gán các cuộc tấn công cho bất kỳ nhóm tin tặc cụ thể hoặc quốc gia nước ngoài nào; tuy nhiên, trojan cửa hậu PlugX được đề cập trong báo cáo là một tiện ích phổ biến thường được sử dụng bởi các nhóm tin tặc được hậu thuẫn trong nhiều cuộc xâm nhập trong thập kỷ qua.

Một xu hướng

Báo cáo ANSSI phù hợp với xu hướng đã được quan sát trong năm qua, trong đó nhiều câu chuyện tin tức, báo cáo kỹ thuật và cảnh báo bảo mật từ các cơ quan an ninh mạng đã đổ lỗi (và thậm chí là cáo buộc) tin tặc đã tấn công nhiều nhà cung cấp dịch vụ đám mây và ngành công nghiệp này của châu Âu.

Điều này bao gồm các cuộc tấn công được điều phối vào một loạt các nhà cung cấp đám mây trên toàn thế giới (Chiến dịch Cloudhopper) như Visma, HPE và IBM; Airbus của Pháp; Nhà cung cấp và tư vấn kỹ thuật và công nghệ Pháp Expleo; Nhà sản xuất động cơ Rolls-Royce của Anh; một chiến dịch kéo dài nhiều năm nhắm vào hầu hết các công ty lớn nhất của Đức như các công ty ThyssenKrupp, BASF, Siemens, Henkel, Teamviewer, Valve và Bayer.

Báo cáo thứ 2

Ngoài báo cáo về các cuộc tấn công nhắm vào các nhà cung cấp dịch vụ và các công ty kỹ thuật, ANSSI cũng công bố một báo cáo thứ hai.

Báo cáo thứ hai này nêu chi tiết một chiến dịch thu thập thông tin lừa đảo và thông tin quy mô lớn mà chủ yếu nhắm vào các cơ quan chính phủ.

"Phạm vi của các mục tiêu được cho là rộng, bao gồm cả các quan chức quốc gia và các chuyên gia đầu ngành. Năm cơ quan ngoại giao có thể nhắm mục tiêu thuộc về các quốc gia thành viên của Hội đồng Bảo an Liên hợp quốc (Trung Quốc, Pháp, Bỉ, Peru, Nam Phi)”.

ANSSI cho biết báo cáo của họ mô tả các hoạt động tương tự đã được ghi nhận trước đó vào mùa hè và năm qua bởi các công ty an ninh mạng như Anomali, Cisco Talos, ESTsecurance và Palo Alto Networks.

Những cuộc tấn công này, vẫn đang tiếp diễn, được liên kết với một tác nhân đe dọa được gọi là Kimsuky (Group123), liên kết với Bắc Triều Tiên.

ANSSI và mục tiêu mở đối với bảo mật mạng

ANSSI cho biết hai báo cáo này chỉ là khởi đầu và họ dự định xuất bản nhiều hơn trong tương lai, trên một trang dành riêng mà họ đã thiết lập trên trang web của cơ quan này.

Các báo cáo được cơ quan này hy vọng sẽ cung cấp các chi tiết kỹ thuật để các công ty Pháp và nước ngoài có thể thiết lập các biện pháp phòng thủ tại chỗ để ngăn chặn hoặc ngăn chặn các cuộc tấn công trong tương lai.

Cơ quan an ninh mạng Pháp đang theo xu hướng được các cơ quan an ninh mạng của Hoa Kỳ và Vương quốc Anh là trong năm qua đã bắt đầu chia sẻ thêm thông tin với khu vực tư nhân về các hoạt động gián điệp không gian mạng đang diễn ra, kêu gọi nước ngoài và phát hành các công cụ nội bộ cho công chúng (như khung phân tích phần mềm độc hại Ghidra của Cơ quan An ninh mạng quốc gia Mỹ - NSA).

Trên mặt trận cuối cùng này, ANSSI là cơ quan phát triển nhất trong tất cả các cơ quan. Trong năm vừa qua, hệ điều hành CLIP nguồn mở của cơ quan này, một hệ điều hành dựa trên nền tảng bảo mật Linux được chính phủ Pháp sử dụng; Tchap, một ứng dụng nhắn tin tức thời được mã hóa cuối tới cuối; và gần đây hơn là OpenCTI, một nền tảng xử lý và chia sẻ thông tin tình báo mối đe dọa trên mạng.