Các lĩnh vực hạ tầng quan trọng của Singapore, bao gồm năng lượng, nước, viễn thông, tài chính và dịch vụ chính phủ, đang đối mặt với chiến dịch tấn công mạng tích cực từ UNC3886. Đây là một nhóm tấn công dai dẳng nâng cao (APT) tinh vi, có liên kết với Trung Quốc, nổi tiếng với việc khai thác các lỗ hổng zero-day và sử dụng mã độc tùy chỉnh.
Tổng quan về Nhóm APT UNC3886
UNC3886 được Mandiant xác định lần đầu vào năm 2022 nhưng đã hoạt động ít nhất từ năm 2021. Nhóm này có liên quan đến các hoạt động gián điệp mạng của Trung Quốc. Các hoạt động đã được xác nhận bao gồm khai thác các lỗ hổng trong FortiOS, VMware và bộ ảo hóa ESXi.
Kỹ thuật và Thủ đoạn Tấn công (TTPs)
Tác nhân do nhà nước bảo trợ này sử dụng các kỹ thuật duy trì quyền truy cập (persistence) tinh vi. Các kỹ thuật này bao gồm phương pháp “sống dựa vào tài nguyên có sẵn” (living-off-the-land), thu thập thông tin xác thực SSH và sử dụng các cửa hậu (backdoor).
Nhóm tận dụng các nền tảng phổ biến như Google Drive và GitHub cho các liên lạc điều khiển và kiểm soát (C2). Việc này giúp chúng che giấu lưu lượng độc hại trong lưu lượng hợp pháp.
UNC3886 cũng thể hiện các chiến thuật nâng cao sau khi xâm nhập hệ thống. Chúng thường vô hiệu hóa chức năng ghi nhật ký (logging), giả mạo các hiện vật pháp y số (forensic artifacts) và thiết lập duy trì quyền truy cập sâu (deep persistence) trong hạ tầng mạng và ảo hóa.
Những hành động này khiến việc phát hiện và khắc phục trở nên đặc biệt khó khăn đối với các nhà phòng thủ.
Khai thác Lỗ hổng Zero-day và Bộ công cụ Mã độc của UNC3886
Khả năng khai thác lỗ hổng zero-day là một điểm nổi bật của UNC3886. Sau khi có được quyền truy cập ban đầu thông qua các lỗ hổng chưa được vá, nhóm này thường chuyển sang duy trì quyền truy cập dựa trên thông tin xác thực.
Các lỗ hổng được khai thác bao gồm CVE-2023-34048 và CVE-2022-41328 trong các thiết bị Fortinet, VMware và Juniper.
Kho vũ khí của nhóm bao gồm các biến thể mã độc tùy chỉnh như MOPSLED, RIFLESPINE, REPTILE, TINYSHELL, VIRTUALSHINE, VIRTUALPIE, CASTLETAP và LOOKOVER. Các mã độc này thường được triển khai sau khi đạt được quyền truy cập ban đầu.
Tác động đến Hạ tầng Quan trọng của Singapore
Chiến dịch tấn công mạng đang diễn ra của UNC3886 tiềm ẩn những hậu quả nghiêm trọng đối với Singapore. Rủi ro bao gồm gián đoạn dây chuyền, như mất điện dẫn đến mất nguồn cung cấp nước, gián đoạn dịch vụ chăm sóc sức khỏe, suy thoái hệ thống tài chính và ngừng hoạt động tại sân bay cùng các dịch vụ khẩn cấp.
Các tác động này có thể gây ra thiệt hại kinh tế trên diện rộng, tổn hại danh tiếng và ảnh hưởng đến an ninh quốc gia. Đặc biệt, nhóm này tập trung vào các điểm hội tụ giữa công nghệ vận hành (OT) và công nghệ thông tin (IT).
Các nhà phân tích đã ghi nhận rằng các hoạt động của UNC3886 phù hợp với các mục tiêu gián điệp rộng lớn hơn. Nhóm này không chỉ tìm kiếm thông tin tình báo mà còn chuẩn bị cho các kịch bản gây gián đoạn. Điều này được thể hiện qua lịch sử nhắm mục tiêu vào các lĩnh vực tương tự ở các khu vực khác. Tham khảo thêm về hoạt động tấn công gián điệp của APT-C-60 có liên quan đến việc sử dụng Google Drive làm C2 tại đây.
Các Biện pháp Phòng ngừa và Bản vá Bảo mật Khẩn cấp
Trước mối đe dọa hiện hữu, các biện pháp tăng cường bảo mật tức thì là cần thiết. Các tổ chức phải áp dụng các bản vá bảo mật mới nhất cho các thiết bị Fortinet, VMware và Juniper bị ảnh hưởng. Đồng thời, cần cô lập các phần cứng đã lỗi thời và tăng cường giám sát để phát hiện việc giả mạo nhật ký và lưu lượng C2 bất thường đến GitHub hoặc Google Drive.
Vệ sinh Thông tin Xác thực và Sẵn sàng Pháp y
Vệ sinh thông tin xác thực là tối quan trọng. Điều này bao gồm việc thường xuyên thay đổi thông tin xác thực SSH và quản trị. Việc triển khai xác thực đa yếu tố (MFA) và xác minh danh tính mạnh mẽ khi truy cập thiết bị là cần thiết.
Sự sẵn sàng về pháp y bao gồm việc duy trì các bản sao lưu firmware ngoại tuyến. Các tổ chức cần thực hiện quét toàn vẹn để phát hiện rootkit và tích hợp các chỉ số thỏa hiệp (IOCs) cũng như các kỹ thuật, thủ đoạn và quy trình (TTPs) của UNC3886 vào các khung phát hiện như MITRE ATT&CK.
Chỉ số Thỏa hiệp (IOCs) của UNC3886
Mặc dù các địa chỉ IP hoặc hàm băm (hash) cụ thể không được cung cấp, các hành vi và tài nguyên sau có thể được xem là IOCs quan trọng dựa trên TTPs của nhóm:
- Lưu lượng C2 bất thường đến docs.google.com hoặc raw.githubusercontent.com.
- Sự hiện diện của các mã độc tùy chỉnh: MOPSLED, RIFLESPINE, REPTILE, TINYSHELL, VIRTUALSHINE, VIRTUALPIE, CASTLETAP, LOOKOVER.
- Sử dụng khóa SSH bất thường hoặc trái phép.
- Các thay đổi đáng ngờ đối với cấu hình ghi nhật ký hệ thống.
- Các nỗ lực khai thác CVE-2023-34048 và CVE-2022-41328.
- Hoạt động giám sát giao thức TACACS+ không giải thích được.
Chiến lược Tăng cường Khả năng Phục hồi Toàn ngành
Để thúc đẩy khả năng phục hồi trên toàn ngành, các chuyên gia khuyến nghị chia sẻ thông tin tình báo về mối đe dọa một cách tập thể. Cần phát triển các quy tắc phát hiện dựa trên cộng đồng cho các bất thường mạng và tổ chức các cuộc diễn tập liên ngành mô phỏng các cuộc xâm nhập APT đa miền.
Hợp tác với các nhà cung cấp để rút ngắn thời gian phát hành bản vá bảo mật và thiết lập các giao thức ứng phó chung sẽ tăng cường khả năng leo thang khủng hoảng và phục hồi.
Quản trị thông qua các cuộc diễn tập trên bàn (tabletop exercises) có sự tham gia của các cơ quan như CSA và MINDEF cũng sẽ nâng cao hiệu quả ứng phó với chiến dịch tấn công mạng này.
Theo ghi nhận của các nhà phân tích tại OTISAC, mối đe dọa này có mức độ rủi ro 4 (tác động đáng kể, khẩn cấp) và mức độ khẩn cấp 3 (hành động được khuyến nghị mạnh mẽ). Các bên liên quan được kêu gọi tham gia chia sẻ thông tin và tìm kiếm hỗ trợ từ các tổ chức như OT-ISAC.
