#Mandiant #TrungQuốc #tinTặc #Barracuda #zero_day #sựKiệnHômNay #AnNinhMạng
Các nhà nghiên cứu bảo mật tại Mandiant vừa công bố rằng các tin tặc được cho là được Trung Quốc hậu thuẫn đứng đằng sau việc khai thác lỗ hổng zero-day của Barracuda để theo dõi các chính phủ. Thiết bị bảo mật email của Barracuda Networks đã phát hiện hàng loạt lỗ hổng bảo mật và Mandiant đã được gọi đến để xử lý sự cố. Theo Mandiant, tin tặc đã khai thác lỗ hổng này để xâm nhập vào hàng trăm tổ chức, có khả năng là một phần của chiến dịch gián điệp hỗ trợ chính phủ Trung Quốc. Một phần ba trong số các tổ chức bị nhắm mục tiêu được cho là các cơ quan chính phủ.
Barracuda đã phát hiện lỗ hổng bảo mật trên thiết bị Cổng bảo mật email (ESG) của họ, được sử dụng để lọc lưu lượng email và tìm kiếm nội dung độc hại. Tin tặc đã khai thác lỗ hổng này từ tháng 10 năm 2022. Dù công ty đã cố gắng cung cấp các bản vá lỗi, nhưng họ cũng khuyến nghị khách hàng gỡ bỏ và thay thế các thiết bị bị ảnh hưởng, cho thấy các bản vá lỗi không hiệu quả.
Mandiant cảnh báo khách hàng về việc thay thế các thiết bị bị ảnh hưởng sau khi tìm thấy bằng chứng cho thấy tin tặc do Trung Quốc hậu thuẫn đã xâm nhập vào mạng của các tổ chức bị ảnh hưởng. Barracuda có khoảng 200.000 khách hàng doanh nghiệp trên toàn thế giới.
Sau khi quy kết các vụ tấn công, các nhà nghiên cứu của Mandiant đã xác định một nhóm tin tặc chưa được phân loại với tên gọi UNC4841, có cơ sở hạ tầng và mã độc trùng lặp với các nhóm tin tặc khác được cho là do Trung Quốc hậu thuẫn. UNC4841 đã khai thác lỗ hổng Barracuda ESG để triển khai phần mềm độc hại tùy chỉnh, giúp duy trì quyền truy cập của tin tặc vào thiết bị trong khi lọc dữ liệu.
Mandiant cung cấp bằng chứng cho thấy UNC4841 đã tìm kiếm các tài khoản email của các cá nhân làm việc cho một chính phủ có lợi ích chính trị hoặc chiến lược đối với Trung Quốc. Tuy nhiên, các nhà nghiên cứu cho biết phần lớn các mục tiêu là các tổ chức chính phủ, điều này cho thấy nhóm tin tặc có mục tiêu thu thập thông tin tình báo chứ không phải tấn công dữ liệu phá hoại.
Giám đốc công nghệ của Mandiant, Charles Carmakal, cho biết các vụ tấn công nhắm vào khách hàng của Barracuda là “chiến dịch gián điệp mạng rộng lớn nhất” được thực hiện bởi một nhóm tin tặc do Trung Quốc hậu thuẫn kể từ sau vụ tấn công mạng Microsoft Exchange vào năm 2021, mà Mandiant cũng được cho là do Trung Quốc hậu thuẫn.
Trả lời lại các cáo buộc, phát ngôn viên của Đại sứ quán Trung Quốc tại Washington DC tuyên bố rằng chính phủ Trung Quốc không hỗ trợ các hoạt động hack và cáo buộc rằng các cáo buộc này là sai sự thật. Ông cũng cáo buộc chính phủ Hoa Kỳ vi phạm luật pháp quốc tế khi thực hiện các hoạt động gián điệp tương tự nhưng không cung cấp bằng chứng cho các tuyên bố của mình.
Nguồn: https://techcrunch.com/2023/06/15/mandiant-china-hackers-barracuda-espionage-governments/
Các nhà nghiên cứu bảo mật tại Mandiant cho biết các tin tặc do Trung Quốc hậu thuẫn có khả năng đứng đằng sau việc khai thác hàng loạt lỗ hổng bảo mật được phát hiện gần đây trong thiết bị bảo mật email của Barracuda Networks, khiến khách hàng phải cảnh báo loại bỏ và thay thế các thiết bị bị ảnh hưởng.
Mandiant, được gọi đến để điều hành phản ứng sự cố của Barracuda, cho biết các tin tặc đã khai thác lỗ hổng này để xâm phạm hàng trăm tổ chức có khả năng là một phần của chiến dịch gián điệp hỗ trợ chính phủ Trung Quốc.
Mandiant cho biết gần một phần ba các tổ chức bị nhắm mục tiêu là các cơ quan chính phủ. một bản báo cáo xuất bản thứ năm.
Tháng trước, Barracuda đã phát hiện ra lỗ hổng bảo mật ảnh hưởng đến các thiết bị Cổng bảo mật email (ESG), nằm trên mạng của công ty và lọc lưu lượng email để tìm nội dung độc hại. cá nhồng phát hành bản vá lỗi và cảnh báo rằng tin tặc đã khai thác lỗ hổng kể từ tháng 10 năm 2022. Tuy nhiên, công ty sau đó đã khuyến nghị khách hàng gỡ bỏ và thay thế các thiết bị ESG bị ảnh hưởng, bất kể cấp độ bản vá, cho thấy các bản vá lỗi đã bị lỗi hoặc không thể chặn quyền truy cập của tin tặc.
Trong hướng dẫn mới nhất của mình, Mandiant cũng cảnh báo khách hàng thay thế thiết bị bị ảnh hưởng sau khi tìm thấy bằng chứng cho thấy tin tặc do Trung Quốc hậu thuẫn đã truy cập sâu hơn vào mạng của các tổ chức bị ảnh hưởng.
Barracuda có khoảng 200.000 khách hàng doanh nghiệp trên khắp thế giới.
Mandiant quy kết các vụ tấn công cho một nhóm đe dọa chưa được phân loại có tên là UNC4841, nhóm chia sẻ cơ sở hạ tầng và mã phần mềm độc hại trùng lặp với các nhóm hack khác do Trung Quốc hậu thuẫn. Các nhà nghiên cứu của Mandiant cho biết nhóm đe dọa đã khai thác lỗ hổng Barracuda ESG để triển khai phần mềm độc hại tùy chỉnh, giúp duy trì quyền truy cập của tin tặc vào thiết bị trong khi nó lọc dữ liệu.
Theo báo cáo của mình, Mandiant cho biết họ đã tìm thấy bằng chứng cho thấy UNC4841 “đã tìm kiếm các tài khoản email của các cá nhân làm việc cho một chính phủ có lợi ích chính trị hoặc chiến lược đối với (Trung Quốc) cùng lúc với việc chính phủ nạn nhân này đang tham gia các cuộc họp ngoại giao cấp cao. với các nước khác.”
Cho rằng phần lớn các mục tiêu là các tổ chức chính phủ, các nhà nghiên cứu cho biết điều này hỗ trợ cho đánh giá của họ rằng nhóm đe dọa có động cơ thu thập thông tin tình báo, thay vì tiến hành các cuộc tấn công dữ liệu phá hoại.
Giám đốc công nghệ của Mandiant, Charles Carmakal, cho biết các vụ tấn công nhắm vào khách hàng của Barracuda là “chiến dịch gián điệp mạng rộng lớn nhất” được thực hiện bởi một nhóm tin tặc do Trung Quốc hậu thuẫn kể từ sau vụ tấn công mạng. khai thác hàng loạt máy chủ Microsoft Exchange vào năm 2021, mà Mandiant cũng được quy cho tới Trung Quốc.
Liu Pengyu, phát ngôn viên của Đại sứ quán Trung Quốc tại Washington DC, cho biết những cáo buộc rằng chính phủ Trung Quốc hỗ trợ hack là “hoàn toàn bóp méo sự thật”.
“Lập trường của chính phủ Trung Quốc về an ninh mạng là nhất quán và rõ ràng. Chúng tôi luôn kiên quyết phản đối và trấn áp mọi hình thức tấn công mạng theo quy định của pháp luật,” người phát ngôn cho biết, đồng thời cáo buộc chính phủ Hoa Kỳ vi phạm luật pháp quốc tế khi thực hiện các hoạt động gián điệp tương tự nhưng không cung cấp bằng chứng cho các tuyên bố.
[ad_2]
