Ban đầu, các cuộc tấn công zero-day bị giới hạn về phạm vi, nhưng xu hướng này đã nhanh chóng được nhiều nhóm tin tặc sử dụng.
Trong Báo cáo Quốc phòng Kỹ thuật số dài 114 trang, Microsoft nhận thấy thời gian khai thác lỗ hổng của tin tặc đã giảm chỉ còn khoảng 14 ngày sau khi thông tin của lỗ hổng được tiết lộ công khai. Điều này đồng nghĩa với việc các tổ chức bị ảnh hưởng phải phát hành bản vá lỗi càng sớm càng tốt.
 |
Vào tháng 4-2022, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) phát hiện ra rằng tin tặc đang đẩy mạnh khai thác, tấn công bằng cách tận dụng các lỗ hổng phần mềm.
Công ty cáo buộc các nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn đặc biệt thành thạo trong việc phát hiện và khai thác lỗ hổng zero-day.
Vào tháng 9-2021, Cục Quản lý Không gian mạng Trung Quốc (CAC) đã ban hành một quy định mới liên quan đến việc báo cáo lỗ hổng bảo mật. Cụ thể, quy định yêu cầu lỗ hổng bảo mật phải được báo cáo cho chính phủ trước khi chia sẻ cho các nhà phát triển sản phẩm.
Microsoft nói rằng quy định này cho phép các nhóm tin tặc được chính phủ hậu thuẫn khai thác lỗ hổng trước khi chúng được vá, thúc đẩy hoạt động gián điệp vì lợi ích kinh tế và quân sự của Trung Quốc, theo The Hacker News.
Có khá nhiều lỗ hổng được các tác nhân Trung Quốc khai thác trước khi bị phát hiện, đơn cử như:
- CVE-2021-35211 (điểm CVSS: 10.0) - Một lỗ hổng thực thi mã từ xa trong SolarWinds Serv-U Managed File Transfer Server và phần mềm Serv-U Secure FTP đã bị DEV-0322 khai thác.
- CVE-2021-40539 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực trong Zoho ManageEngine ADSelfService Plus đã bị DEV-0322 (TiltedTemple) khai thác.
- CVE-2021-44077 (điểm CVSS: 9.8) - Một lỗ hổng thực thi mã từ xa chưa được xác thực trong Zoho ManageEngine ServiceDesk Plus đã bị DEV-0322 (TiltedTemple) khai thác.
- CVE-2021-42321 (điểm CVSS: 8.8) - Một lỗ hổng thực thi mã từ xa trong Microsoft Exchange Server đã bị khai thác ba ngày sau khi nó được tiết lộ trong cuộc thi hack Tianfu Cup vào ngày 16 và 17-10-2021.
- CVE-2022-26134 (điểm CVSS: 9.8) - Một lỗ hổng trong Atlassian Confluence, có khả năng đã được tận dụng bởi một tác nhân liên kết với Trung Quốc chống lại một thực thể giấu tên của Mỹ vài ngày trước khi lỗ hổng được tiết lộ vào ngày 2-6.
Những phát hiện này cũng được đưa ra gần một tháng sau khi CISA công bố danh sách các lỗ hổng hàng đầu được tin tặc Trung Quốc sử dụng kể từ năm 2020 để đánh cắp tài sản trí tuệ, và phát triển quyền truy cập vào các mạng nhạy cảm.
“Lỗ hổng zero-day là một phương tiện đặc biệt hiệu quả để khai thác ban đầu, dễ dàng được tái sử dụng bởi các quốc gia quốc gia và các tin tặc”, công ty cho biết.