Theo ông Krebs, chiến dịch trên đã khai thác những lỗ hổng bị phát hiện gần đây trong phần mềm Microsoft Exchange, nhờ đó đánh cắp được email và thâm nhập vào các máy chủ bằng những công cụ cho phép các tin tặc điều khiển từ xa.

Ông Krebs viết: “Ít nhất 30.000 tổ chức trên toàn nước Mỹ - trong đó có rất nhiều doanh nghiệp nhỏ, thị trấn, thành phố và chính quyền địa phương - trong những ngày qua đã trở thành mục tiêu tấn công của một nhóm gián điệp mạng hung hăng bất thường từ Trung Quốc, vốn chú trọng đánh cắp email từ các tổ chức”.

Microsoft nghi ngờ nhóm hacker Hafnium khai thác lỗ hổng của máy chủ Exchange của họ, qua đó tấn công vào nhiều cơ quan trọng yếu của Mỹ. "Dựa trên các mục tiêu, chiến thuật và quy trình quan sát được, chúng tôi tin rằng chiến dịch này được thực hiện bởi Hafnium", Microsoft chia sẻ trên blog của công ty, sau khi hệ thống Exchange Server của họ bị tấn công.

Hafnium là nhóm hacker có trụ sở tại Trung Quốc, nhưng hoạt động bằng máy chủ ảo đặt tại Mỹ để tránh bị phát hiện. Mục tiêu của nhóm hầu hết là các thực thể tại Mỹ, tập trung ở các lĩnh vực như công nghiệp, luật, giáo dục, quốc phòng, các tổ chức nghiên cứu bệnh truyền nhiễm, tổ chức phi chính phủ.

Cuộc tấn công mới đây của nhóm này nhắm vào các cơ quan như trên, thông qua hệ thống máy chủ email Exchange của Microsoft.

Tin tặc đã khai thác các lỗ hổng zero-day của Exchange gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065, để cấp quyền cho các email có thểhacker Trung Quốc truy cập vào hệ thống, sau đó cài mã độc để có thể truy cập hệ thống này một cách lâu dài. Các khách hàng cá nhân không phải mục tiêu của cuộc tấn công lần này.

Trước thông tin nhóm hacker liên quan Trung Quốc, người phát ngôn của Đại sứ quán Trung Quốc tại Washington cho rằng "đây là cáo buộc vô căn cứ", đồng thời nhấn mạnh lại "bản chất là không gian mạng là ảo" và có đủ các loại tác nhân trực tuyến rất khó theo dõi, vì vậy, "việc truy tìm nguồn gốc của các cuộc tấn công mạng là một vấn đề phức tạp".