Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng tinh vi kéo dài nhiều năm, được cho là có liên hệ với Trung Quốc, vừa bị phanh phui khi nhắm vào các hệ thống viễn thông và mạng lưới chính phủ tại nhiều khu vực trên thế giới. Trung tâm của chiến dịch này là nhóm tin tặc Red Menshen cùng loại phần mềm gián điệp nguy hiểm mang tên BPFDoor.
Theo các chuyên gia an ninh mạng, Red Menshen (còn được biết đến với các tên gọi như Earth Bluecrow hay Red Dev 18) đã hoạt động ít nhất từ năm 2021, tập trung vào các nhà cung cấp dịch vụ viễn thông tại Trung Đông và châu Á. Mục tiêu chính của nhóm là thiết lập các “cửa hậu” bí mật nhằm duy trì quyền truy cập lâu dài vào hệ thống, phục vụ cho hoạt động do thám.
Điểm đáng chú ý của chiến dịch nằm ở việc sử dụng BPFDoor – một loại backdoor hoạt động ở cấp độ nhân hệ điều hành Linux. Không giống các phần mềm độc hại thông thường, BPFDoor không mở cổng truy cập hay duy trì kết nối điều khiển rõ ràng. Thay vào đó, nó tận dụng cơ chế Berkeley Packet Filter (BPF) để âm thầm theo dõi lưu lượng mạng và chỉ kích hoạt khi nhận được một “gói tin đặc biệt” được thiết kế riêng.
Các chuyên gia từ Rapid7 nhận định đây là một trong những kỹ thuật xâm nhập tinh vi nhất từng được phát hiện trong môi trường viễn thông. Việc không để lại dấu hiệu rõ ràng giúp phần mềm này gần như “tàng hình” trước các hệ thống giám sát truyền thống.
Chuỗi tấn công thường bắt đầu bằng việc khai thác các thiết bị biên như VPN, tường lửa hoặc các nền tảng web có lỗ hổng từ những hãng lớn như Cisco, Fortinet, VMware hay Palo Alto Networks. Sau khi xâm nhập thành công, tin tặc triển khai thêm nhiều công cụ khác để thu thập thông tin đăng nhập, di chuyển ngang trong hệ thống và mở rộng quyền kiểm soát.
Không dừng lại ở đó, BPFDoor còn được nâng cấp với các biến thể mới có khả năng ẩn mình trong lưu lượng HTTPS hợp pháp hoặc sử dụng giao thức ICMP để liên lạc giữa các máy chủ bị nhiễm. Một số phiên bản thậm chí hỗ trợ giao thức SCTP – cho phép theo dõi sâu vào các hoạt động viễn thông, từ đó có thể suy ra hành vi và vị trí người dùng.
Giới phân tích cảnh báo rằng việc nhắm vào hạ tầng viễn thông – nơi kết nối các hệ thống quan trọng như mạng 4G/5G và dịch vụ chính phủ – tạo điều kiện lý tưởng cho các chiến dịch gián điệp dài hạn. Khi phần mềm độc hại được cài cắm sâu vào lõi hệ thống, khả năng phát hiện và loại bỏ trở nên vô cùng khó khăn.
Vụ việc một lần nữa cho thấy xu hướng mới của tội phạm mạng: thay vì chỉ tấn công ở ứng dụng, các nhóm tin tặc đang dần chuyển sang kiểm soát trực tiếp hạ tầng cốt lõi, nơi có thể mang lại lợi thế chiến lược lâu dài trong các hoạt động gián điệp toàn cầu.
Theo các chuyên gia an ninh mạng, Red Menshen (còn được biết đến với các tên gọi như Earth Bluecrow hay Red Dev 18) đã hoạt động ít nhất từ năm 2021, tập trung vào các nhà cung cấp dịch vụ viễn thông tại Trung Đông và châu Á. Mục tiêu chính của nhóm là thiết lập các “cửa hậu” bí mật nhằm duy trì quyền truy cập lâu dài vào hệ thống, phục vụ cho hoạt động do thám.
Điểm đáng chú ý của chiến dịch nằm ở việc sử dụng BPFDoor – một loại backdoor hoạt động ở cấp độ nhân hệ điều hành Linux. Không giống các phần mềm độc hại thông thường, BPFDoor không mở cổng truy cập hay duy trì kết nối điều khiển rõ ràng. Thay vào đó, nó tận dụng cơ chế Berkeley Packet Filter (BPF) để âm thầm theo dõi lưu lượng mạng và chỉ kích hoạt khi nhận được một “gói tin đặc biệt” được thiết kế riêng.
Các chuyên gia từ Rapid7 nhận định đây là một trong những kỹ thuật xâm nhập tinh vi nhất từng được phát hiện trong môi trường viễn thông. Việc không để lại dấu hiệu rõ ràng giúp phần mềm này gần như “tàng hình” trước các hệ thống giám sát truyền thống.
Chuỗi tấn công thường bắt đầu bằng việc khai thác các thiết bị biên như VPN, tường lửa hoặc các nền tảng web có lỗ hổng từ những hãng lớn như Cisco, Fortinet, VMware hay Palo Alto Networks. Sau khi xâm nhập thành công, tin tặc triển khai thêm nhiều công cụ khác để thu thập thông tin đăng nhập, di chuyển ngang trong hệ thống và mở rộng quyền kiểm soát.
Không dừng lại ở đó, BPFDoor còn được nâng cấp với các biến thể mới có khả năng ẩn mình trong lưu lượng HTTPS hợp pháp hoặc sử dụng giao thức ICMP để liên lạc giữa các máy chủ bị nhiễm. Một số phiên bản thậm chí hỗ trợ giao thức SCTP – cho phép theo dõi sâu vào các hoạt động viễn thông, từ đó có thể suy ra hành vi và vị trí người dùng.
Giới phân tích cảnh báo rằng việc nhắm vào hạ tầng viễn thông – nơi kết nối các hệ thống quan trọng như mạng 4G/5G và dịch vụ chính phủ – tạo điều kiện lý tưởng cho các chiến dịch gián điệp dài hạn. Khi phần mềm độc hại được cài cắm sâu vào lõi hệ thống, khả năng phát hiện và loại bỏ trở nên vô cùng khó khăn.
Vụ việc một lần nữa cho thấy xu hướng mới của tội phạm mạng: thay vì chỉ tấn công ở ứng dụng, các nhóm tin tặc đang dần chuyển sang kiểm soát trực tiếp hạ tầng cốt lõi, nơi có thể mang lại lợi thế chiến lược lâu dài trong các hoạt động gián điệp toàn cầu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
