• NSA xác nhận hacker tận dụng lỗ hổng trên thiết bị VPN Ivanti để nhắm vào ngành quốc phòng Mỹ.
• Phát ngôn viên NSA, Edward Bennett, thông báo qua email rằng cơ quan này cùng các đối tác đang theo dõi và nhận thức về tác động rộng lớn từ việc khai thác sản phẩm Ivanti.
• Mandiant báo cáo rằng hacker nghi ngờ là gián điệp Trung Quốc đã cố gắng khai thác nhiều lỗ hổng ảnh hưởng đến Ivanti Connect Secure, phần mềm VPN truy cập từ xa phổ biến.
• Hacker sử dụng kỹ thuật sống trên đất đã có (living-off-the-land) và triển khai malware mới để duy trì sự hiện diện trong thiết bị Ivanti, kể cả sau khi reset máy, nâng cấp hệ thống và vá lỗi.
• Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) cảnh báo hacker có thể duy trì quyền truy cập cấp root sau khi reset máy, và công cụ Integrity Checker Tool của Ivanti có thể không phát hiện được sự xâm nhập.
📌 Việc NSA xác nhận theo dõi các cuộc tấn công mạng vào ngành quốc phòng Mỹ do lỗ hổng từ sản phẩm VPN của Ivanti là một diễn biến đáng lo ngại, cho thấy mức độ nghiêm trọng và phức tạp của vấn đề an ninh mạng hiện nay. Các báo cáo từ Mandiant và CISA cung cấp cái nhìn sâu sắc về kỹ thuật và phương pháp mà các hacker, đặc biệt là nhóm được cho là có liên kết với Trung Quốc, sử dụng để khai thác lỗ hổng và duy trì sự hiện diện trong hệ thống mục tiêu. Sự phối hợp giữa NSA và các đối tác nhằm phát hiện và giảm thiểu hoạt động này là bước đi quan trọng trong việc bảo vệ an ninh quốc gia và cơ sở hạ tầng quan trọng khỏi các mối đe dọa mạng ngày càng tinh vi.
Citations:
[1] https://techcrunch.com/2024/03/01/nsa-says-its-tracking-ivanti-cyberattacks-as-hackers-hit-us-defense-sector/