Nguyễn Tiến Đạt
Intern Writer
Cơ quan An ninh mạng Singapore (Cyber Security Agency – CSA) cho biết nhóm gián điệp mạng UNC3886, được cho là có liên hệ với Trung Quốc, đã tiến hành một chiến dịch tấn công có chủ đích nhằm vào lĩnh vực viễn thông của quốc đảo này.
Theo thông báo của CSA công bố ngày 9/2, chiến dịch được triển khai một cách bài bản, nhắm trực tiếp vào bốn nhà mạng viễn thông lớn nhất Singapore gồm M1, SIMBA Telecom, Singtel và StarHub. Đây được đánh giá là một trong những hoạt động gián điệp mạng nghiêm trọng nhất nhằm vào hạ tầng thông tin trọng yếu của nước này trong thời gian gần đây.
CSA cho biết UNC3886 đã hoạt động ít nhất từ năm 2022 và được xếp vào nhóm mối đe dọa dai dẳng nâng cao (APT) với năng lực kỹ thuật chuyên sâu. Nhóm này thường nhắm đến các công nghệ ảo hóa, thiết bị mạng và hệ thống đầu cuối để giành quyền truy cập ban đầu, sau đó duy trì hiện diện lâu dài trong hệ thống nạn nhân.
Trong một số trường hợp được ghi nhận, các tin tặc đã sử dụng công cụ tấn công tinh vi, bao gồm cả việc khai thác lỗ hổng bảo mật chưa được công bố (zero-day) nhằm vượt qua tường lửa của các nhà mạng. Mục tiêu chính được xác định là thu thập dữ liệu kỹ thuật phục vụ hoạt động gián điệp, chứ không nhằm gây gián đoạn dịch vụ.
Ngoài ra, CSA cũng cho biết UNC3886 đã triển khai rootkit để che giấu dấu vết và duy trì quyền truy cập trái phép trong thời gian dài. Một số phân đoạn mạng viễn thông quan trọng đã bị xâm nhập, tuy nhiên mức độ ảnh hưởng chưa đủ nghiêm trọng để gây gián đoạn hoạt động hoặc làm tê liệt hệ thống.
Thông tin này được đưa ra trong bối cảnh các công ty an ninh mạng quốc tế, bao gồm Sygnia, từng công bố báo cáo về một chiến dịch gián điệp mạng kéo dài do nhóm Fire Ant thực hiện – nhóm được cho là có nhiều điểm tương đồng về công cụ và mục tiêu với UNC3886, đặc biệt là việc tấn công các hệ thống VMware ESXi và vCenter.
Để đối phó với mối đe dọa, CSA đã triển khai chiến dịch an ninh mạng mang tên Cyber Guardian, phối hợp cùng các nhà mạng nhằm khắc phục lỗ hổng, đóng các điểm truy cập trái phép và tăng cường giám sát hệ thống. Cơ quan này khẳng định hiện không có bằng chứng cho thấy dữ liệu cá nhân của khách hàng bị đánh cắp hay kết nối internet bị gián đoạn.
CSA nhấn mạnh rằng các biện pháp phòng vệ đã được triển khai kịp thời, đồng thời cảnh báo các tổ chức vận hành hạ tầng trọng yếu cần tiếp tục nâng cao khả năng phòng thủ trước các chiến dịch gián điệp mạng ngày càng tinh vi và có chủ đích.
Theo thông báo của CSA công bố ngày 9/2, chiến dịch được triển khai một cách bài bản, nhắm trực tiếp vào bốn nhà mạng viễn thông lớn nhất Singapore gồm M1, SIMBA Telecom, Singtel và StarHub. Đây được đánh giá là một trong những hoạt động gián điệp mạng nghiêm trọng nhất nhằm vào hạ tầng thông tin trọng yếu của nước này trong thời gian gần đây.
CSA cho biết UNC3886 đã hoạt động ít nhất từ năm 2022 và được xếp vào nhóm mối đe dọa dai dẳng nâng cao (APT) với năng lực kỹ thuật chuyên sâu. Nhóm này thường nhắm đến các công nghệ ảo hóa, thiết bị mạng và hệ thống đầu cuối để giành quyền truy cập ban đầu, sau đó duy trì hiện diện lâu dài trong hệ thống nạn nhân.
Trong một số trường hợp được ghi nhận, các tin tặc đã sử dụng công cụ tấn công tinh vi, bao gồm cả việc khai thác lỗ hổng bảo mật chưa được công bố (zero-day) nhằm vượt qua tường lửa của các nhà mạng. Mục tiêu chính được xác định là thu thập dữ liệu kỹ thuật phục vụ hoạt động gián điệp, chứ không nhằm gây gián đoạn dịch vụ.
Ngoài ra, CSA cũng cho biết UNC3886 đã triển khai rootkit để che giấu dấu vết và duy trì quyền truy cập trái phép trong thời gian dài. Một số phân đoạn mạng viễn thông quan trọng đã bị xâm nhập, tuy nhiên mức độ ảnh hưởng chưa đủ nghiêm trọng để gây gián đoạn hoạt động hoặc làm tê liệt hệ thống.
Thông tin này được đưa ra trong bối cảnh các công ty an ninh mạng quốc tế, bao gồm Sygnia, từng công bố báo cáo về một chiến dịch gián điệp mạng kéo dài do nhóm Fire Ant thực hiện – nhóm được cho là có nhiều điểm tương đồng về công cụ và mục tiêu với UNC3886, đặc biệt là việc tấn công các hệ thống VMware ESXi và vCenter.
Để đối phó với mối đe dọa, CSA đã triển khai chiến dịch an ninh mạng mang tên Cyber Guardian, phối hợp cùng các nhà mạng nhằm khắc phục lỗ hổng, đóng các điểm truy cập trái phép và tăng cường giám sát hệ thống. Cơ quan này khẳng định hiện không có bằng chứng cho thấy dữ liệu cá nhân của khách hàng bị đánh cắp hay kết nối internet bị gián đoạn.
CSA nhấn mạnh rằng các biện pháp phòng vệ đã được triển khai kịp thời, đồng thời cảnh báo các tổ chức vận hành hạ tầng trọng yếu cần tiếp tục nâng cao khả năng phòng thủ trước các chiến dịch gián điệp mạng ngày càng tinh vi và có chủ đích.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
