Salt Typhoon đã lợi dụng lỗ hổng để theo dõi liên lạc toàn cầu ra sao?

[CyberThao]

Salt Typhoon mở rộng quy mô tấn công trên hạ tầng mạng trọng yếu​

Nhóm tin tặc có liên hệ với Trung Quốc mang tên Salt Typhoon tiếp tục thực hiện các chiến dịch gián điệp mạng trên quy mô toàn cầu, nhắm vào viễn thông, chính phủ, giao thông, khách sạn và hạ tầng quân sự.

Theo cảnh báo chung từ cơ quan an ninh mạng của 13 quốc gia, Salt Typhoon chủ yếu tấn công vào bộ định tuyến xương sống, bộ định tuyến biên nhà cung cấp (PE) và biên khách hàng (CE). Chúng khai thác các thiết bị Cisco, Ivanti và Palo Alto để duy trì quyền truy cập lâu dài, thậm chí chỉnh sửa cấu hình, thêm đường hầm GRE và thay đổi danh sách kiểm soát truy cập (ACL) để mở cổng, tạo tài khoản ẩn và duy trì kết nối.

Bản tin cũng chỉ ra mối liên hệ giữa nhóm này với ba công ty Trung Quốc: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology, và Sichuan Zhixin Ruijie Network Technology. Những công ty này bị cáo buộc cung cấp sản phẩm và dịch vụ cho cơ quan tình báo, giúp Bắc Kinh khai thác dữ liệu từ các ISP để theo dõi liên lạc và di chuyển toàn cầu.

Từ năm 2019, Salt Typhoon đã duy trì các chiến dịch gián điệp mạng, vi phạm nghiêm trọng quyền riêng tư và an ninh viễn thông. Theo The Wall Street Journal và The Washington Post, nhóm đã tấn công không dưới 600 tổ chức trên 80 quốc gia, trong đó có 200 tại Mỹ.

Chiến thuật và rủi ro từ Salt Typhoon​

Salt Typhoon còn được biết đến với các bí danh GhostEmperor, Operator Panda, RedMike và UNC5807. Nhóm này khai thác nhiều lỗ hổng nghiêm trọng:

• Cisco: CVE-2018-0171, CVE-2023-20198, CVE-2023-20273
• Ivanti: CVE-2023-46805, CVE-2024-21887
• Palo Alto Networks: CVE-2024-3400

Sau khi xâm nhập, chúng dùng thiết bị bị kiểm soát để di chuyển ngang, thu thập dữ liệu và chạy lệnh trong vùng chứa Linux tích hợp. Các giao thức xác thực như TACACS+ bị lợi dụng để lấy thông tin đăng nhập quản trị viên, từ đó leo thang quyền truy cập. Ngoài ra, nhóm còn kích hoạt dịch vụ sshd_operns trên thiết bị Cisco IOS XR, tạo tài khoản cục bộ với quyền root để kiểm soát hoàn toàn.

Các cơ quan tình báo châu Âu cho biết, tại Hà Lan và một số nước, Salt Typhoon đã xâm nhập vào bộ định tuyến của ISP và nhà cung cấp dịch vụ lưu trữ nhỏ, nhưng chưa có bằng chứng về việc xâm nhập sâu hơn.

Theo Mandiant (thuộc Google), Salt Typhoon có lợi thế đặc biệt nhờ sự am hiểu hệ thống viễn thông, giúp né tránh biện pháp phòng thủ. Ông John Hultquist, chuyên gia tại Google Threat Intelligence Group, cho biết một hệ sinh thái gồm các nhà thầu, học giả và tổ chức hỗ trợ đang thúc đẩy hoạt động gián điệp mạng của Trung Quốc, từ phát triển công cụ, khai thác lỗ hổng đến mở rộng quy mô xâm nhập.

Ngoài viễn thông, việc nhóm này tấn công vào khách sạn và vận tải có thể phục vụ giám sát cá nhân, theo dõi hành trình, liên lạc và các mối quan hệ của mục tiêu.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/salt-typhoon-exploits-cisco-ivanti-palo.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview