Lỗ hổng an ninh được sử dụng trong cuộc tấn công nhằm vào cơ quan liên bang Mỹ là một lỗ hổng nổi tiếng và nằm trong số các lỗ hổng khai thác hàng đầu vào năm 2021.
“Lỗ hổng” của XE Group là đánh cắp thẻ tín dụng và lưu ý rằng băng đảng này có khả năng là người Việt Nam.
BY CHRISTIAN VASQUEZ – CyberScoop
Ngày 15 tháng 3 năm 2023
Nhóm tin tặc Anation-state và một băng nhóm tội phạm nổi tiếng với hành vi gian lận thẻ đã lén vào một cơ quan dân sự liên bang Mỹ từ tháng 8 năm 2022 đến tháng 1 năm 2023, theo một cảnh báo chung vào thứ Tư do Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA), FBI và Cơ quan thông tin đa tiểu bang đưa ra Trung Tâm Phân Tích và Chia Sẻ.
Theo cảnh báo, cả nhóm tin tặc do quốc gia hậu thuẫn và nhóm tội phạm có tên XE Group đều khai thác các lỗ hổng đã biết trong phần mềm Progress Telerik. Phần mềm Telerik nằm trong máy chủ web Microsoft Internet Information Services (IIS) của cơ quan chính phủ giấu tên. Phân tích mối đe dọa của Google Group, được ghi nhận trong cảnh báo, đã thông báo cho CISA rằng cơ quan giấu tên đã bị Hafnium, nhóm tin tặc có liên kết với Trung Quốc, được biết đến gần đây nhất với sự xâm nhập quy mô lớn vào Máy chủ Exchange của Microsoft, một phát ngôn viên nói với CyberScoop. Theo lời khuyên, chiến dịch gián điệp vào tháng 3 năm 2021 đã tác động đến hàng chục nghìn khách hàng trên khắp thế giới, bao gồm cả chính quyền một số tiểu bang. Tội phạm XE Group đã cố gắng xâm nhập vào cơ quan kể từ tháng 8 năm 2022 bằng cách sử dụng các DLL độc hại giả dạng PNG.
Công ty an ninh mạng Volexity cho biết trong một báo cáo từ tháng 12 năm 2021 rằng “mánh khóe” của XE Group là ăn cắp thẻ tín dụng và lưu ý rằng băng nhóm này có khả năng là người Việt Nam. Lỗ hổng này đã được nhiều người biết đến và mặc dù lỗi này không lọt vào danh sách 15 lỗ hổng bị khai thác hàng đầu trong năm 2021, nhưng nó đã nhận được danh hiệu cao quý là lỗ hổng "được khai thác thường xuyên". Lỗi này nằm trong danh sách các lỗ hổng bị khai thác đã biết mà CISA ủy quyền cho các cơ quan liên bang phải khóa lại.
Các quan chức cho biết nhóm quốc gia "chuyên phá hoại" đã khai thác lỗ hổng này, cho phép dùng mật mã từ xa, ngay từ tháng 8 năm 2022. CISA từ chối bình luận thêm.
Cập nhật ngày 16 tháng 3 năm 2023: Bài viết này đã được cập nhật để bao gồm ghi nhận tác giả từ Phân tích mối đe dọa của Trung tâm Google.
Richard Nguyễn phỏng dịch (3/17/2023)
