Captive portal là một trang web đặc biệt xuất hiện khi bạn kết nối vào một mạng Wi-Fi công cộng hoặc mạng có dây (chẳng hạn như trang đăng nhập Wi-Fi Free của Starbucks trên). Trang web này sẽ yêu cầu bạn thực hiện một thao tác để tiến hành kết nối, chẳng hạn như đăng nhập (với tài khoản đăng nhập được cấp sẵn), nhập một loại thông tin nào đó (chẳng hạn như mã chuyến bay, mã đơn hàng), hoặc nhấn chấp nhận điều khoản. Captive portal được sử dụng phổ biến với các mạng Wi-Fi công cộng tại sân bay, nhà ga, trung tâm thương mại, doanh nghiệp, cơ quan chính phủ …
Theo phát hiện của đơn vị tình báo mối đe dọa bảo mật (GTIG) của Google, kẻ tấn công đã chiếm quyền điều khiển các thiết bị biên trên hệ thống mạng mục tiêu và sử dụng các thiết bị này để phát tán malware. Người dùng khi kết nối mạng sẽ bị chuyển hướng đến một trang giả thay vì trang captive portal hợp lệ và được yêu cầu tải về một bản cập nhật cần thiết. Bản cập nhật này thực chất là malware, nó tự động tải về một file cài đặt .msi sau đó cài đặt thêm một malware khác có tên CANONSTAGER để triển khai backdoor SOGU.SEC kết nối với máy chủ chỉ huy và điều khiển của kẻ tấn công. ![[IMG]](https://photo2.tinhte.vn/data/attachment-files/2025/08/8823380_Captive_Portal_hack.jpg)
Google cho biết bản cập nhật giả mạo này có tên AdobePlugins.exe và được chứng thực bởi một công ty có tên Chengdu Nuoxin Times Technology Co. Ltd (Công ty trách nhiệm hữu hạn công nghệ thời đại Thành Đô Nặc Hân). Google đã theo dõi 25 mẫu malware được ký bởi một chứng chỉ được cấp cho Chengdu Nuoxin và phát hiện ra những chứng chỉ này đang được sử dụng bởi nhiều nhóm tin tặc có liên kết với Trung Quốc.
Google cũng đã xác định được tác nhân độc hại đứng sau chiến dịch tấn công tinh vi trên là UNC6384 và tác nhân này gắn liền với TEMP.Hex – các nhóm tin tặc được biết đến với tên gọi như Mustang Panda/Silk Typhoon/Hafnium.
Mục tiêu của chiến dịch là các nhà ngoại giao tại Đông Nam Á, số khác là các tổ chức trên thế giới trong đó bao gồm các cơ quan chính phủ. Google quả quyết rằng chiến dịch do Bắc Kinh hậu thuẫn, hãng tự tin về điều này đến độ trong email cảnh báo gởi đến các khách hàng có nguy cơ bị ảnh hưởng, Google không ngại đề cập đến tổ chức đứng sau chiến dịch tấn công. Chi tiết về hình thức tấn công được Google chia sẻ tại đây.
Trung Quốc như thường lệ bác bỏ cáo buộc liên quan đến các cuộc tấn công như vậy. Bắc Kinh chỉ ra rằng những thông tin rò rỉ Edward Snowden cho thấy chính phủ Mỹ đang thực hiện nhiều chiêu trò để hạ uy tín của Bắc Kinh và phát hiện của Google là một trong số đó.
Nguồn:Baochinhphu.vn