Mạng botnet của nhóm tin tặc Volt Typhoon
Nhóm tin tặc Volt Typhoon (còn được gọi là Bronze Silhouette) sử dụng mạng botnet KV để chiếm quyền điều khiển hàng trăm thiết bị văn phòng nhỏ, văn phòng tại nhà (SOHO), nhằm che dấu các hoạt động độc hại phía sau lưu lượng mạng để tránh bị phát hiện.
Trong báo cáo của hãng bảo mật SecurityScorecard (Mỹ) đầu tháng 01/2024 ước tính rằng tin tặc Volt Typhoon có thể chiếm quyền điều khiển khoảng 30% tất cả các thiết bị Cisco RV320/325 trực tuyến chỉ trong hơn một tháng.
“Phần mềm độc hại Volt Typhoon cho phép các tin tặc Trung Quốc che giấu hoạt động trinh sát trước khi thực hiện các hành vi độc hại chống lại các cơ sở hạ tầng quan trọng như trong lĩnh vực thông tin liên lạc, năng lượng, vận tải và cung cấp nước của Mỹ. Nói cách khác, đây là các bước chuẩn bị của Trung Quốc nhằm trinh sát và tấn công phá hủy cơ sở hạ tầng dân sự quan trọng. Vì vậy, FBI đã thực hiện các hoạt động trên không gian mạng để vô hiệu hóa Volt Typhoon và quyền truy cập mà nó đã kích hoạt”, Giám đốc FBI Christopher Wray cho biết.
Ngày 06/12/2023, FBI lần đầu tiên nhận được lệnh của tòa án cho phép họ gỡ bỏ mạng KV botnet sau khi xâm nhập vào máy chủ điều khiển và ra lệnh (C2). Các đặc vụ FBI đã gửi lệnh đến các thiết bị bị xâm nhập nhằm vô hiệu hóa chúng khỏi mạng botnet và ngăn chặn tin tặc Trung Quốc kết nối lại với mạng độc hại.
Theo thông cáo báo chí của Bộ Tư pháp Mỹ (DOJ) cho biết, phần lớn các thiết bị bị nhiễm phần mềm độc hại botnet KV là bộ định tuyến Cisco và NetGear đã đạt đến trạng thái “end of life”, nghĩa là chúng không còn được hỗ trợ thông qua các bản vá bảo mật của nhà sản xuất hoặc các bản cập nhật phần mềm khác nữa. Hoạt động của FBI đã xóa phần mềm độc hại botnet KV khỏi bộ định tuyến và thực hiện các bước bổ sung để ngắt kết nối với mạng botnet này, chẳng hạn như chặn liên lạc với các thiết bị khác được sử dụng để kiểm soát botnet.
Ngoài ra, DOJ lưu ý rằng chủ sở hữu các thiết bị ảnh hưởng bởi botnet KV có thể khởi động lại bộ định tuyến. Tuy nhiên, nếu việc khởi động mà không kèm theo các bước giảm thiểu tương tự như các bước mà lệnh của tòa án cho phép sẽ khiến thiết bị dễ bị lây nhiễm trở lại.
FBI giải thích việc phá vỡ mạng botnet KV không ảnh hưởng đến khả năng hoạt động của các bộ định tuyến bị tấn công cũng như không thu thập thông tin được lưu trữ.
Ngày 31/01/2024, Cơ quan an ninh mạng và cơ sở hạ tầng Mỹ (CISA) và FBI ban hành hướng dẫn dành cho các nhà sản xuất bộ định tuyến SOHO, kêu gọi họ đảm bảo an toàn trước các cuộc tấn công đang diễn ra của nhóm tin tặc Volt Typhoon.
Các đề xuất bao gồm tự động cập nhật bảo mật và cho phép truy cập vào giao diện quản lý web chỉ từ mạng LAN theo mặc định, cũng như loại bỏ các lỗi bảo mật trong giai đoạn thiết kế và phát triển.
Một báo cáo của Microsoft vào tháng 5/2023 tiết lộ rằng, tin tặc Volt Typhoon đã nhắm mục tiêu và xâm nhập các tổ chức cơ sở hạ tầng quan trọng của Mỹ từ giữa năm 2021. Mạng truyền dữ liệu bí mật botnet KV của nhóm tin tặc Volt Typhoon được sử dụng trong các cuộc tấn công nhắm vào nhiều tổ chức ít nhất kể từ tháng 8/2022, bao gồm các tổ chức quân sự của Mỹ, nhà cung cấp dịch vụ viễn thông và Internet cũng như một công ty năng lượng tái tạo của châu Âu.
Đây không phải là lần đầu tiên các cơ quan chính phủ thực hiện một hoạt động nhằm phá vỡ mạng botnet. Vào tháng 4/2022, FBI đã đánh sập mạng botnet Cyclops Blin, được cho là do các tin tặc được Chính phủ Nga bảo trợ điều hành.
Một hoạt động gần đây hơn diễn ra vào tháng 8/2023, khi các cơ quan thực thi pháp luật từ một số quốc gia đã phá vỡ mạng botnet Qakbot bằng cách buộc các bot tải xuống một mô-đun do FBI tạo ra để làm gián đoạn hoạt động liên lạc với máy chủ C2 của chúng và một chương trình bổ sung để gỡ cài đặt phần mềm độc hại Qakbot.
Hồng Đạt
(Tổng hợp)
10:00 | 21/02/2024
14:00 | 24/08/2023
14:00 | 22/02/2024
11:00 | 05/12/2024
17:00 | 01/03/2024
15:00 | 15/07/2024
14:00 | 19/05/2023
07:00 | 23/09/2024
08:00 | 12/10/2022
10:00 | 28/02/2024
14:00 | 14/03/2024
14:00 | 10/12/2024
Ngày 03/12, Cục Điều tra Liên bang Mỹ (FBI) đã đưa ra cảnh báo về việc gia tăng các nguy cơ lừa đảo sử dụng trí tuệ nhân tạo (AI). Đồng thời cơ quan này cũng đã đưa ra một số ví dụ về các chiến dịch gian lận được hỗ trợ bởi AI và lời khuyên dành cho người dân nhằm bảo vệ bản thân trước tình trạng này.
08:00 | 03/12/2024
Ngày 25/11, Công ty môi giới bảo hiểm Howden cho biết các vụ tấn công mạng đã khiến các doanh nghiệp tại Anh thiệt hại hơn 55 tỷ USD doanh thu trong 5 năm qua và khoảng 52% các công ty tư nhân đã ghi nhận ít nhất một cuộc tấn công mạng trong thời gian đó.
10:00 | 27/10/2024
Ngày 21/10, IBM đã cho ra mắt phiên bản mới nhất của các mô hình trí tuệ nhân tạo dành cho doanh nghiệp, với mục đích tận dụng sự gia tăng nhu cầu sử dụng trong các doanh nghiệp áp dụng công nghệ AI tạo sinh.
14:00 | 16/10/2024
Vào ngày 21/10 tới đây, tại Thành phố Hà Nội, Viện nghiên cứu 486, Bộ Tư lệnh 86 sẽ tổ chức Hội thảo khoa học với chủ đề “An toàn thông tin trong Chuyển đổi số, xu thế và công nghệ”.
Mới đây, Tòa án Mỹ đã bác bỏ đơn kháng cáo của TikTok, khiến ứng dụng chia sẻ video ngắn này đứng trước nguy cơ bị cấm hoạt động tại quốc gia này.
10:00 | 12/12/2024
Chiều ngày 05/12, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu Quân đội nhân dân Việt Nam tổ chức Hội nghị Tổng kết công tác năm 2024, triển khai nhiệm vụ năm 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tới dự và chỉ đạo Hội nghị.
10:00 | 06/12/2024
Chiều 5/12, tại Trụ sở Chính phủ, Thủ tướng Phạm Minh Chính đã làm việc với ông Jensen Huang, nhà sáng lập, Chủ tịch Tập đoàn NVIDIA và chứng kiến lễ ký Thỏa thuận giữa Chính phủ Việt Nam và Tập đoàn NVIDIA về hợp tác thành lập Trung tâm Nghiên cứu và Phát triển về trí tuệ nhân tạo (AI) của NVIDIA và Trung tâm Dữ liệu AI tại Việt Nam được gọi là Vietnam Research and Development Center (VRDC), cùng với Trung tâm Dữ liệu AI tại Việt Nam.
16:00 | 06/12/2024