Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch gián điệp mạng
do nhóm RedMike (còn được gọi là Salt Typhoon) thực hiện, nhằm vào các nhà cung
cấp dịch vụ viễn thông trên toàn thế giới.
Nhóm tin tặc được cho là có liên quan đến Trung Quốc, đang khai thác các lỗ hổng leo thang đặc quyền là CVE-2023-20198 và CVE-2023-20273 trên các thiết bị Cisco IOS XE để duy trì quyền truy cập vào hạ tầng mạng quan trọng. CVE-2023-20198 là lỗ hổng tồn tại trong giao diện quản lý web (UI) của Cisco IOS XE, cho phép tin tặc leo thang đặc quyền và tạo tài khoản quản trị cấp cao mới. Đây là bước đầu tiên của cuộc tấn công, giúp RedMike thực thi mã tùy ý trên các thiết bị mục tiêu.
Còn lỗ hổng CVE-2023-20273 cho phép sau khi có quyền truy cập ban đầu, RedMike sẽ khai thác lỗ hổng leo thang đặc quyền này để chiếm quyền root. Khi có quyền quản trị cao nhất, nhóm tin tặc có thể sửa đổi cấu hình thiết bị và cài đặt cửa hậu (backdoor) lâu dài.
Mặc dù, RedMike đã bị chính phủ Mỹ áp đặt lệnh trừng phạt và truyền thông quốc tế đưa tin rộng rãi về các hoạt động của nhóm, nhưng chúng vẫn không dừng lại mà tiếp tục thực hiện các cuộc tấn công nhắm vào các tổ chức quan trọng có giá trị cao. Từ tháng 12/2024 đến tháng 01/2025, nhóm này đã tấn công hơn 1.000 thiết bị Cisco trên thế giới. RedMike không chỉ khai thác các lỗ hổng kỹ thuật mà nhen nhóm các âm mưu tình báo.
Sau khi kiểm soát thiết bị, RedMike sẽ thiết lập một đường hầm Generic Routing Encapsulation (GRE) để duy trì kết nối ẩn. Các đường hầm này giúp mã hóa và che giấu dữ liệu, cho phép tin tặc truyền dữ liệu ra ngoài mà không bị phát hiện và vượt qua các giải pháp bảo mật.
Mục tiêu của RedMike không chỉ giới hạn ở các công ty viễn thông mà còn mở rộng đến các trường đại học trên toàn cầu, đặc biệt là những tổ chức nghiên cứu về viễn thông, kỹ thuật và công nghệ tiên tiến. Các quốc gia bị ảnh hưởng bao gồm Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Mỹ và Việt Nam.
Báo cáo nhấn mạnh rằng các trường đại học là mục tiêu hàng đầu của các nhóm tin tặc này, nhằm thu thập dữ liệu nghiên cứu quan trọng và đánh cắp tài sản trí tuệ. Trước đây, các nhóm APT40, RedGolf (APT41) và RedBravo (APT31) cũng từng thực hiện những cuộc tấn công tương tự vào các tổ chức học thuật.
7 thiết bị Cisco đã bị RedMike xâm nhập và liên kết với cơ sở hạ tầng của nhóm này. Những thiết bị này thuộc về các công ty viễn thông và nhà cung cấp dịch vụ Internet quan trọng, giúp RedMike duy trì quyền truy cập vào hệ thống mạng quan trọng, tạo điều kiện cho đánh chặn dữ liệu, giám sát, thậm chí làm gián đoạn dịch vụ.
RedMike không chỉ nhắm vào hạ tầng viễn thông mà còn dính nghi vấn theo dõi các chương trình nghe lén hợp pháp và các nhân vật chính trị Mỹ, phục vụ cho mục tiêu tình báo chiến lược. Với mức độ nghiêm trọng của lỗ hổng và sự tinh vi của RedMike, các tổ chức đang sử dụng Cisco IOS XE cần khẩn trương kiểm tra và cập nhật hệ thống để tránh các rủi ro đáng tiếc.
Nguồn: Tạp chí ATTT
