Nhóm hacker Fire Ant khai thác lỗ hổng VMware tấn công ESXi và môi trường vCenter

[WhiteHat Team]

Một chiến dịch gián điệp mạng với mức độ tinh vi cao và âm thầm đã được phát hiện đang nhắm vào hạ tầng ảo hóa và thiết bị mạng quan trọng. Nhóm tấn công có tên "Fire Ant", được cho là có liên quan đến UNC3886 (nhóm tin tặc có liên hệ với Trung Quốc) đã âm thầm thâm nhập vào các hệ thống sử dụng VMware ESXi và vCenter Server, hai thành phần cốt lõi trong các hạ tầng ảo hóa hiện đại.
​

​

Fire Ant là mã định danh tạm đặt cho nhóm hacker được cho là có liên hệ với UNC3886. Điểm chung giữa hai nhóm là đều sử dụng các công cụ và kỹ thuật giống nhau, nhắm vào các tài sản nằm ngoài phạm vi bảo vệ của các phần mềm bảo mật truyền thống.

Cuộc tấn công không chỉ nhằm lấy cắp thông tin mà còn có thể gây mất kiểm soát hoàn toàn hệ thống, đặc biệt là các hệ thống trọng yếu đang bị "bỏ rơi" trong chiến lược bảo mật hiện nay.

Fire Ant tập trung tấn công vào:​

• VMware ESXi và vCenter Server (hệ thống quản lý máy ảo)​
• Thiết bị mạng như F5 load balancer​
• Các môi trường được cho là "cô lập", không kết nối mạng công cộng​

Những hệ thống này thường ít được giám sát an ninh sát sao, ít nhật ký giám sát và thường không có phần mềm chống virus.
Các lỗ hổng bị khai thác:​

• CVE-2023-34048: Lỗ hổng trong VMware vCenter Server, cho phép truy cập từ xa.​
• CVE-2023-20867: Lỗ hổng trong VMware Tools, cho phép can thiệp trực tiếp vào máy ảo đang chạy.​

Đáng chú ý, UNC3886 đã từng khai thác CVE-2023-34048 từ khi nó còn là lỗ hổng zero-day, trước khi được Broadcom vá vào tháng 10/2023.

Fire Ant sử dụng chuỗi tấn công nhiều lớp (kill chain) với các kỹ thuật phức tạp:​

• Cài backdoor dai dẳng (kiểu “VIRTUALPITA”) vào cả ESXi và vCenter, tồn tại qua các lần khởi động lại hệ thống.​
• Sử dụng implant Python để thực thi lệnh từ xa và gửi/nhận tập tin.​
• Khai thác lỗ hổng VMware Tools để thao túng máy ảo từ hypervisor.​
• Chặn và xóa log hệ thống bằng cách tắt dịch vụ ghi log vmsyslogd, khiến việc giám sát và phân tích sau tấn công trở nên vô nghĩa.​
• Tạo máy ảo giả mạo không đăng ký nhằm tránh phát hiện.​
• Tạo đường hầm mạng (V2Ray) để vượt qua rào cản phân đoạn mạng và duy trì quyền truy cập.​

Mức độ ảnh hưởng và hệ quả​

• Các cuộc tấn công đang diễn ra trên toàn cầu, không chỉ ở khu vực châu Á - Thái Bình Dương.​
• Mục tiêu là các tổ chức vận hành hạ tầng quan trọng, có giá trị chiến lược về kinh tế và an ninh.​
• Singapore gần đây đã chính thức cáo buộc UNC3886 liên quan đến các vụ tấn công vào hạ tầng trọng yếu quốc gia, ảnh hưởng đến các dịch vụ thiết yếu.​
• Nguy cơ tiềm ẩn: Hacker có thể truy cập vào toàn bộ hệ thống mạng nội bộ, vượt qua mọi rào chắn nếu một lỗ hổng duy nhất bị khai thác.​

Chiến dịch của Fire Ant là lời cảnh tỉnh nghiêm trọng về lỗ hổng trong chính tư duy bảo mật hiện nay, khi hệ thống hạ tầng và thiết bị mạng trọng yếu bị bỏ quên trong các chiến lược phát hiện, phản ứng sự cố. Việc chỉ tập trung vào máy người dùng (endpoint) không còn đủ.

Giải pháp bảo mật được các chuyên gia khuyến nghị:​

• Cập nhật ngay lập tức tất cả các bản vá bảo mật cho VMware vCenter, ESXi và VMware Tools.​
• Giám sát và thu thập log đầy đủ cho hệ thống ảo hóa – không được để trống hoặc không lưu log.​
• Triển khai giám sát bảo mật ở tầng ảo hóa (hypervisor visibility), dùng các giải pháp chuyên biệt nếu cần.​
• Kiểm tra và theo dõi truy cập đặc quyền (privileged accounts) như vpxuser.​
• Tái đánh giá phân đoạn mạng, hạn chế truy cập giữa các vùng mạng nhạy cảm.​
• Tăng cường kiểm tra máy ảo mới, ngăn chặn việc triển khai máy lạ không kiểm soát.​

Chiến dịch Fire Ant cho thấy một thế hệ tấn công mới đã xuất hiện, tập trung vào các lớp hạ tầng ít được chú ý, sử dụng kỹ thuật vượt trội và hoạt động âm thầm lâu dài. Bảo mật ngày nay không còn là chuyện "chống virus" mà còn là cuộc đua giữa sự hiểu biết hệ thống và khả năng phát hiện hành vi bất thường.​

WhiteHat, The Hacker News​