-
16/07/2025
-
1
-
11 bài viết
Chiến dịch gián điệp “Jewelbug” lan sang Nga, Đông Nam Á nằm trong vùng đỏ
Một nhóm tin tặc được cho là có liên quan với Trung Quốc mang tên Jewelbug đã xâm nhập âm thầm trong 5 tháng, cụ thể từ tháng 1 đến tháng 5/2025 vào mạng nội bộ của một nhà cung cấp dịch vụ IT tại Nga. Vụ việc đánh dấu bước mở rộng đáng chú ý của Jewelbug sang Nga, nối tiếp chuỗi tấn công trước đó tại Đông Nam Á và Nam Mỹ.
Jewelbug đã truy cập kho mã nguồn và hệ thống build, tạo nguy cơ tấn công chuỗi cung ứng đối với khách hàng tại Nga. Dữ liệu bị đánh cắp được chuyển lên Yandex Cloud, trong khi nhóm sử dụng các công cụ hợp pháp như Microsoft Console Debugger, Mimikatz, LSASS cùng các kỹ thuật BYOVD để ẩn mình, duy trì quyền truy cập và né tránh hệ thống phòng thủ.
Cụ thể, Yandex Cloud là nền tảng điện toán đám mây của Yandex, tập đoàn công nghệ lớn nhất nước Nga (được ví như “Google của Nga”). Dịch vụ này cung cấp máy chủ ảo, lưu trữ dữ liệu, AI, container, CaaS, và dịch vụ quản lý dữ liệu tương tự như AWS, Google Cloud hoặc Microsoft Azure.
Các chuyên gia cho rằng Jewelbug có khả năng đã mở rộng tấn công sang Đông Nam Á, bao gồm Việt Nam nhưng chưa bị phát hiện. Cũng như vụ tại Nga, chiến dịch có thể âm thầm kéo dài nhiều tháng trước khi bị công bố.
Chuyên gia nhận định, nhóm này hoạt động tinh vi, khai thác các công cụ hợp pháp và dịch vụ đám mây để ẩn mình, duy trì quyền truy cập lâu dài và né tránh hệ thống phòng vệ. Do đó, các tổ chức tại Việt Nam cần tăng cường giám sát lưu lượng đám mây và API, kiểm tra an toàn chuỗi cung ứng phần mềm, đồng thời triển khai giải pháp EDR/XDR và phân tích hành vi bất thường nhằm phát hiện sớm dấu hiệu xâm nhập tiềm ẩn.
Jewelbug đã truy cập kho mã nguồn và hệ thống build, tạo nguy cơ tấn công chuỗi cung ứng đối với khách hàng tại Nga. Dữ liệu bị đánh cắp được chuyển lên Yandex Cloud, trong khi nhóm sử dụng các công cụ hợp pháp như Microsoft Console Debugger, Mimikatz, LSASS cùng các kỹ thuật BYOVD để ẩn mình, duy trì quyền truy cập và né tránh hệ thống phòng thủ.
Cụ thể, Yandex Cloud là nền tảng điện toán đám mây của Yandex, tập đoàn công nghệ lớn nhất nước Nga (được ví như “Google của Nga”). Dịch vụ này cung cấp máy chủ ảo, lưu trữ dữ liệu, AI, container, CaaS, và dịch vụ quản lý dữ liệu tương tự như AWS, Google Cloud hoặc Microsoft Azure.
Các chuyên gia cho rằng Jewelbug có khả năng đã mở rộng tấn công sang Đông Nam Á, bao gồm Việt Nam nhưng chưa bị phát hiện. Cũng như vụ tại Nga, chiến dịch có thể âm thầm kéo dài nhiều tháng trước khi bị công bố.
Góc nhìn từ chuyên gia WhiteHat
Theo chuyên gia WhiteHat, chiến dịch của Jewelbug cho thấy hoạt động gián điệp mạng có liên quan đến Trung Quốc đang mở rộng phạm vi toàn cầu, thậm chí nhắm tới cả các đối tác thân cận như Nga. Điều này cảnh báo nguy cơ hiện hữu đối với Việt Nam có thể nằm trong vùng đỏ như các nước Đông Nam Á khác, đặc biệt trong các lĩnh vực công nghệ thông tin, viễn thông và chính phủ điện tử.Chuyên gia nhận định, nhóm này hoạt động tinh vi, khai thác các công cụ hợp pháp và dịch vụ đám mây để ẩn mình, duy trì quyền truy cập lâu dài và né tránh hệ thống phòng vệ. Do đó, các tổ chức tại Việt Nam cần tăng cường giám sát lưu lượng đám mây và API, kiểm tra an toàn chuỗi cung ứng phần mềm, đồng thời triển khai giải pháp EDR/XDR và phân tích hành vi bất thường nhằm phát hiện sớm dấu hiệu xâm nhập tiềm ẩn.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: