Chiến dịch Houken nhắm mục tiêu vào các tổ chức Pháp
Cơ quan An ninh Hệ thống Thông tin Quốc gia Pháp (ANSSI) đã phát hiện một chiến dịch tấn công mạng tinh vi được thực hiện bởi nhóm tác chiến mạng có tên là Houken. Nhóm này, bị nghi ngờ có liên hệ với nhóm tấn công UNC5174 của Trung Quốc, đã khai thác nhiều lỗ hổng zero-day trong các thiết bị Ivanti Cloud Service Appliance (CSA) để giành quyền truy cập trái phép vào mạng lưới của các tổ chức Pháp.
Các mục tiêu chính của chiến dịch bao gồm các cơ quan chính phủ, viễn thông, truyền thông, tài chính và vận tải. Đây là một nỗ lực tấn công có chủ đích, thể hiện khả năng kỹ thuật cao và tính cơ hội trong việc khai thác các điểm yếu trong hạ tầng mạng.
Bối cảnh và Các lỗ hổng Ivanti bị khai thác
Chiến dịch tấn công của Houken bắt đầu vào đầu tháng 9 năm 2024 và tiếp tục cho đến tháng 11 năm 2024. Các tác nhân đe dọa đã tận dụng một loạt các lỗ hổng zero-day chưa được công bố trước đó để xâm nhập vào các hệ thống mục tiêu. Các lỗ hổng này được định danh là CVE-2024-8190, CVE-2024-8963, và CVE-2024-9380. Việc khai thác thành công các lỗ hổng này cho phép thực thi mã từ xa (Remote Code Execution – RCE) trên các hệ thống dễ bị tấn công của Ivanti CSA, cung cấp cho kẻ tấn công quyền kiểm soát đáng kể.
Điểm đáng chú ý của chiến dịch này là việc triển khai một rootkit Linux chưa từng thấy trước đây, cho thấy sự kết hợp giữa năng lực kỹ thuật tiên tiến và các chiến thuật khai thác cơ hội.
Kỹ thuật tấn công và Chuỗi khai thác
Cuộc điều tra chi tiết của ANSSI mô tả Houken là một nhóm tấn công có mức độ tinh vi vừa phải, nhiều khả năng hoạt động như một môi giới truy cập ban đầu (Initial Access Broker). Các tác nhân đã xâu chuỗi các lỗ hổng zero-day một cách tỉ mỉ để xâm nhập vào các thiết bị Ivanti CSA. Sau khi có quyền truy cập ban đầu, chúng thực thi các kịch bản Python được mã hóa Base64 để thu thập thông tin xác thực nhạy cảm từ hệ thống bị xâm nhập.
Để duy trì quyền truy cập lâu dài và củng cố vị trí của mình trong mạng, Houken đã triển khai các webshell PHP. Webshell là một công cụ độc hại dựa trên web, cho phép kẻ tấn công thực thi các lệnh từ xa trên máy chủ web bị xâm nhập thông qua trình duyệt, cung cấp một kênh liên lạc và kiểm soát linh hoạt.
Công cụ và Mã độc tinh vi của Houken
Ngoài việc khai thác lỗ hổng và sử dụng các kịch bản tùy chỉnh, Houken còn được biết đến với việc sử dụng các công cụ tinh vi khác, bao gồm một rootkit Linux đặc biệt và một cơ sở hạ tầng đa dạng.
Rootkit Linux chuyên biệt
Trong một trường hợp đặc biệt đáng báo động trong lĩnh vực quốc phòng Pháp, các nhà điều hành của Houken đã cài đặt một rootkit bao gồm một module kernel (sysinitd.ko) và một tệp thực thi trong không gian người dùng (sysinitd). Rootkit này được thiết kế để:
- Chiếm quyền điều khiển lưu lượng TCP: Cho phép rootkit chặn và sửa đổi lưu lượng mạng đi qua hệ thống bị xâm nhập.
- Tạo điều kiện thực thi lệnh từ xa với đặc quyền root: Cung cấp cho kẻ tấn công khả năng thực thi các lệnh tùy ý với quyền cao nhất trên hệ thống, cho phép kiểm soát hoàn toàn.
Việc triển khai rootkit này cho thấy chiến lược nhắm mục tiêu vào các hệ thống có giá trị cao, đảm bảo khả năng truy cập lâu dài và bền bỉ vào các hệ thống bị xâm phạm, ngay cả khi các lỗ hổng ban đầu bị vá hoặc phát hiện.
Cơ sở hạ tầng và Công cụ sử dụng
Bên cạnh các mã độc tiên tiến, các nhà điều hành của Houken còn sử dụng một loạt các công cụ mã nguồn mở, nhiều trong số đó được phát triển bởi các lập trình viên nói tiếng Trung Quốc. Chúng cũng duy trì một cơ sở hạ tầng tấn công đa dạng để che giấu hoạt động của mình, bao gồm:
- Các dịch vụ VPN thương mại như NordVPN và ExpressVPN, được sử dụng để ẩn danh địa chỉ IP nguồn.
- Các máy chủ riêng (dedicated servers) từ các nhà cung cấp như HostHatch.
- Thậm chí cả các địa chỉ IP dân cư (residential IP addresses) từ các nhà cung cấp dịch vụ Internet (ISP) như China Unicom, nhằm pha trộn với lưu lượng truy cập hợp pháp và tránh bị phát hiện.
Sự đa dạng trong cơ sở hạ tầng, cùng với việc nhóm này tự vá các lỗ hổng đã khai thác sau khi xâm nhập để ngăn chặn các tác nhân đe dọa khác, phản ánh một cách tiếp cận có tính toán nhưng đôi khi cũng khá lỏng lẻo đối với an ninh hoạt động (Operational Security – OPSEC).
Phân tích Hoạt động và Động cơ của Houken
Hoạt động của Houken cung cấp cái nhìn sâu sắc về bản chất, động cơ và liên kết tiềm năng của nhóm này trong hệ sinh thái tấn công mạng toàn cầu.
Đánh giá về Houken và Liên kết
Các hoạt động của Houken có sự trùng khớp với Giờ chuẩn Trung Quốc (UTC+8), càng củng cố thêm suy đoán về mối liên hệ với Trung Quốc. Báo cáo của ANSSI cũng gợi ý về một động cơ kép đằng sau các hoạt động của Houken.
Mối liên hệ với UNC5174, một nhóm đã được Google Threat Intelligence Group ghi nhận trước đây về việc nhắm mục tiêu vào các thiết bị biên (edge devices) và chuyển giao quyền truy cập cho các nhóm liên quan đến Trung Quốc khác, củng cố giả thuyết Houken là một nhà môi giới trong một hệ sinh thái gián điệp mạng rộng lớn hơn.
Mục tiêu kép: Tình báo và Lợi nhuận
Mặc dù chủ yếu, nhóm này dường như tập trung vào việc bảo đảm các quyền truy cập ban đầu có giá trị, có khả năng để bán lại cho các tác nhân liên kết với nhà nước tìm kiếm thông tin tình báo. Điều này cho thấy vai trò của Houken như một nhà cung cấp quyền truy cập quan trọng cho các hoạt động gián điệp.
Tuy nhiên, các trường hợp rò rỉ dữ liệu, chẳng hạn như vụ vi phạm email quy mô lớn từ một thiết bị của Bộ Ngoại giao Nam Mỹ vào tháng 3 năm 2025, và việc triển khai các công cụ đào tiền điện tử Monero trên các hệ thống Pháp, gợi ý về các mục tiêu hướng lợi nhuận. Điều này cho thấy Houken có thể không chỉ giới hạn hoạt động trong phạm vi gián điệp mà còn có thể khai thác các hệ thống bị xâm nhập để thu lợi tài chính trực tiếp.
Phạm vi nhắm mục tiêu của Houken trải rộng khắp Đông Nam Á, các nước phương Tây và các tổ chức phi chính phủ. Tuy nhiên, việc tập trung vào các thực thể chính phủ và quốc phòng cho thấy một mục đích chiến lược vượt ra ngoài mục tiêu tài chính đơn thuần, nhấn mạnh khả năng thu thập thông tin tình báo là ưu tiên hàng đầu.
Các chỉ số thỏa hiệp (IOCs) và Khuyến nghị
Việc nắm bắt các chỉ số liên quan đến hoạt động của Houken là rất quan trọng để các tổ chức có thể tăng cường khả năng phòng thủ của mình.
Các chỉ số từ hoạt động của Houken
Dựa trên thông tin được ANSSI công bố, các chỉ số thỏa hiệp và các đặc điểm hoạt động chính của Houken bao gồm:
- Các CVE được khai thác:
- CVE-2024-8190 (Ivanti Cloud Service Appliance)
- CVE-2024-8963 (Ivanti Cloud Service Appliance)
- CVE-2024-9380 (Ivanti Cloud Service Appliance)
- Mã độc và thành phần rootkit:
- Module kernel: sysinitd.ko
- Tệp thực thi trong không gian người dùng: sysinitd
- Kịch bản Python được mã hóa Base64 (dùng cho thu thập thông tin xác thực)
- Webshell PHP (dùng cho duy trì quyền truy cập)
- Nhà cung cấp cơ sở hạ tầng được sử dụng:
- Dịch vụ VPN thương mại: NordVPN, ExpressVPN
- Nhà cung cấp máy chủ riêng: HostHatch
- Nhà cung cấp dịch vụ Internet (ISP) dân cư: China Unicom
- Phần mềm độc hại đào tiền điện tử:
- Công cụ đào Monero
- Các yếu tố OPSEC:
- Hoạt động trùng khớp múi giờ UTC+8 (China Standard Time)
- Chiến thuật tự vá các lỗ hổng đã khai thác sau khi xâm nhập để ngăn chặn các tác nhân khác.
Khuyến nghị bảo mật
Vì nhóm tác nhân đe dọa Houken vẫn đang hoạt động, các tổ chức trên toàn thế giới phải ưu tiên bảo mật các thiết bị kết nối Internet của mình. Đặc biệt, việc cập nhật các bản vá bảo mật cho các thiết bị Ivanti Cloud Service Appliance và các hệ thống biên là cực kỳ quan trọng. Ngoài ra, việc triển khai các giải pháp giám sát mạng tiên tiến để phát hiện sớm các hoạt động bất thường, đặc biệt là các dấu hiệu của thực thi mã từ xa, việc cài đặt mã độc dai dẳng như rootkit hoặc webshell, và các kết nối đến cơ sở hạ tầng đã biết của kẻ tấn công, là điều cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công cơ hội nhưng gây thiệt hại nặng nề như của Houken.
