Chiến dịch gián điệp mạng Fire Ant khai thác lỗ hổng VMware đe dọa hạ tầng số toàn cầu

Theo báo cáo mới nhất từ Công ty an ninh mạng Sygnia, các cuộc tấn công được ghi nhận trong năm nay cho thấy Fire Ant đã sử dụng hàng loạt kỹ thuật phức tạp và tinh vi để thâm nhập vào các môi trường được cho là biệt lập, khai thác các điểm yếu trong hệ thống ảo hóa để truy cập vào những tài sản mạng nhạy cảm, thậm chí đã có hành vi vượt qua các biện pháp phân vùng mạng và phá vỡ khả năng giám sát của hệ thống.

Fire Ant khai thác lỗ hổng VMware để xâm phạm máy chủ ESXi và môi trường vCenter là những nền tảng hạ tầng then chốt của nhiều doanh nghiệp và tổ chức.

Đáng chú ý, nhóm này được cho là có liên hệ với UNC3886 - một nhóm gián điệp mạng bị nghi có liên hệ với Trung Quốc, đã từng bị phát hiện sử dụng lỗ hổng zero-day trong các sản phẩm VMware từ năm 2022. Trong chiến dịch lần này, Fire Ant đã khai thác lỗ hổng CVE-2023-34048 trong VMware vCenter Server - một lỗ hổng được Broadcom vá vào tháng 10/2023 để đánh cắp tài khoản dịch vụ "vpxuser", từ đó truy cập vào các máy chủ ESXi có liên kết.

Sau khi chiếm được quyền điều khiển hệ thống, nhóm tin tặc cài đặt các cửa hậu (backdoor) độc hại có tên trùng khớp với dòng mã độc VIRTUALPITA nhằm duy trì truy cập ngay cả sau khi hệ thống khởi động lại. Ngoài ra, chúng còn triển khai một tập tin thực thi dưới dạng daemon viết bằng Python (“autobackup.bin”) để cho phép điều khiển từ xa, tải và gửi tệp dữ liệu.

Một kỹ thuật đáng lo ngại khác là việc Fire Ant tận dụng lỗ hổng CVE-2023-20867 trong VMware Tools để tương tác trực tiếp với các máy ảo, qua đó vượt qua lớp bảo vệ phân vùng mạng và chiếm quyền điều khiển các thiết bị trong hệ thống, bao gồm cả bộ điều khiển miền (domain controller). Chúng còn sử dụng PowerCLI để truy vấn máy khách, can thiệp vào công cụ bảo mật, và trích xuất dữ liệu đăng nhập từ ảnh bộ nhớ.

Fire Ant cho thấy năng lực tấn công có tổ chức, khả năng thích nghi cao với các nỗ lực khắc phục và đặc biệt là khả năng che giấu dấu vết. Nhóm này thậm chí đã ngụy trang mã độc bằng cách đổi tên tệp thành các công cụ pháp y, và vô hiệu hóa các tiến trình ghi nhật ký (như “vmsyslogd” trên ESXi) nhằm xóa bỏ dấu vết xâm nhập.

Sygnia cảnh báo rằng Fire Ant đặc biệt nhắm vào các thành phần hạ tầng như máy chủ ESXi, máy chủ vCenter và thiết bị cân bằng tải F5 vốn thường không được tích hợp vào các chương trình giám sát an ninh truyền thống. Những hệ thống này thiếu công cụ phát hiện và phản ứng sự cố, tạo điều kiện lý tưởng cho các hoạt động ngầm và lâu dài.

Vụ việc diễn ra trong bối cảnh Singapore vừa lên tiếng cáo buộc nhóm UNC3886 thực hiện các cuộc tấn công vào hạ tầng thiết yếu quốc gia. Bộ trưởng Điều phối An ninh Quốc gia Singapore K. Shanmugam, cho biết nhóm này “đe dọa nghiêm trọng an ninh quốc gia” và nhắm vào “các mục tiêu chiến lược có giá trị cao”. Đáp lại, Đại sứ quán Trung Quốc tại Singapore gọi cáo buộc này là “vu khống vô căn cứ”.

Ông Yoav Mazor - Giám đốc Ứng phó Sự cố của Sygnia nhấn mạnh: “Hoạt động của nhóm này gây rủi ro cho hạ tầng trọng yếu không chỉ tại Singapore mà còn trên toàn khu vực châu Á – Thái Bình Dương và toàn cầu.”

Trước nguy cơ trên, các chuyên gia kêu gọi doanh nghiệp cần tăng cường giám sát tại lớp hạ tầng ảo hóa nơi mà các công cụ an ninh truyền thống khó phát hiện được mối đe dọa. Việc chậm trễ cập nhật bản vá, thiếu cảnh báo sớm và không giám sát hệ thống ESXi, vCenter hay thiết bị mạng chuyên dụng sẽ khiến doanh nghiệp trở thành “mục tiêu dễ bị tổn thương” cho các chiến dịch gián điệp mạng hiện đại như Fire Ant.

Duy Trinh (theo The Hacker News)