Nhóm hacker tinh vi bị cáo buộc cài “cửa hậu” vào mạng chính phủ Mỹ - Canada

Loại malware mới, được đặt tên “Brickstorm”, cho phép tin tặc duy trì sự hiện diện dài hạn bên trong mạng lưới mục tiêu - điều mà các cơ quan an ninh đánh giá là “cực kỳ nguy hiểm” vì tạo khả năng cho tin tặc đánh cắp thông tin nhạy cảm; điều khiển hệ thống từ xa; và đặc biệt là kích hoạt các hành vi phá hoại (sabotage) khi cần thiết.

Ông Madhu Gottumukkala, quyền Giám đốc CISA, nhận định: “Đây là ví dụ mới nhất về việc các nhóm tin tặc cố tình xâm nhập, cài cắm và duy trì quyền truy cập dài hạn vào các hệ thống trọng yếu nhằm phục vụ các mục đích chiến lược.”

MALWARE “BRICKSTORM” NHẮM VÀO HỆ THỐNG QUẢN LÝ MÁY ẢO

Theo báo cáo kỹ thuật đi kèm, phần mềm độc hại Brickstorm chủ yếu nhắm vào VMware vSphere - một nền tảng của VMware (thuộc Broadcom) được sử dụng rộng rãi trong hệ thống chính phủ và doanh nghiệp để quản lý máy chủ ảo.

Khi xâm nhập thành công, tin tặc có thể chiếm quyền điều khiển các máy ảo, mở rộng sang những hệ thống liên quan, đánh cắp thông tin đăng nhập cùng nhiều dữ liệu nhạy cảm, đồng thời tạo các “điểm bám” sâu trong mạng để có thể quay lại và tái kiểm soát hệ thống vào bất kỳ thời điểm nào.

Một trường hợp điển hình được ghi nhận vào tháng 4/2024, khi Brickstorm xâm nhập một doanh nghiệp và duy trì quyền truy cập kéo dài ít nhất đến 3/9/2024 - thời điểm vụ việc mới bị phát hiện.

Broadcom cho biết họ đã ghi nhận các báo cáo liên quan và khuyến cáo khách hàng cập nhật bản vá bảo mật khẩn cấp. Công ty nhấn mạnh tin tặc chỉ có thể triển khai Brickstorm sau khi đã lọt vào môi trường của khách hàng, cho thấy các kẽ hở ban đầu đến từ việc vận hành hệ thống không chặt chẽ.

Tháng 9 vừa qua, Google Threat Intelligence Group cũng công bố xử lý hàng loạt vụ xâm nhập liên quan đến Brickstorm tại các ngành luật, phần mềm, công nghệ và dịch vụ thuê ngoài.

Điều đáng lo ngại, theo Google, là ngoài mục đích gián điệp truyền thống, các tin tặc còn tận dụng hoạt động tấn công để phát triển lỗ hổng mới, tạo điểm trung chuyển, mở rộng phạm vi kiểm soát sang nhiều nạn nhân hơn.

NGUY CƠ ĐỐI VỚI CHIẾN LƯỢC AN NINH SỐ TOÀN CẦU

Đại diện CISA cho biết có ít nhất 8 mẫu Brickstorm được phân tích từ các tổ chức bị nhắm mục tiêu, song cơ quan này từ chối công bố danh tính nạn nhân hoặc mức độ thiệt hại.

Giới phân tích an ninh mạng nhận định: “Các nhóm tin tặc nhà nước ngày càng theo đuổi chiến lược dài hạn: không phá hoại ngay lập tức, mà âm thầm cài đặt công cụ cho đến khi cần ra tay.”

Vụ việc Brickstorm tiếp tục làm gia tăng căng thẳng trong quan hệ an ninh mạng Mỹ - Trung, đặt ra câu hỏi lớn về an toàn của các hệ thống trọng yếu trong bối cảnh thế giới phụ thuộc ngày càng nhiều vào công nghệ thông tin, trí tuệ nhân tạo và điện toán đám mây.

Với khả năng ẩn mình lâu dài trong mạng lưới mục tiêu, các chiến dịch như Brickstorm có thể trở thành mối đe dọa nghiêm trọng đối với hoạt động của các cơ quan chính phủ, lĩnh vực quốc phòng, quá trình phát triển kinh tế số cũng như các hệ thống hạ tầng thiết yếu như điện, nước và viễn thông.

Các cơ quan an ninh Mỹ và Canada kêu gọi các tổ chức cập nhật hệ thống, tăng cường kiểm soát truy cập và giám sát liên tục để phát hiện bất thường. Giới chuyên gia nhận định cuộc chiến an ninh mạng giữa các cường quốc sẽ còn kéo dài và phức tạp hơn trong thời gian tới.