Trung Quốc tấn công mạng quan trọng của Mỹ

Theo tiết lộ của hãng phần mềm Mỹ, Microsoft, trong một bài đăng trên blog, công ty đã theo dõi một nhóm hacker mà họ tin là tin tặc do nhà nước Trung Quốc tài trợ, kể từ năm 2021. Nhóm tin tặc này đã thực hiện chiến dịch tấn công quy mô lớn nhằm vào các hệ thống cơ sở hạ tầng quan trọng ở các bang của Hoa Kỳ và đảo Guam, bao gồm mạng lưới thông tin liên lạc, cơ sở sản xuất, điện, xây dựng và giao thông vận tải.

THÂM NHẬP VÀO MẠNG LƯỚI CƠ SỞ HẠ TẦNG QUAN TRỌNG CỦA MỸ

Mục đích của nhóm, mà Microsoft đặt tên là Volt Typhoon, có thể chỉ đơn giản là hoạt động gián điệp vì dường như nhóm này không sử dụng quyền truy cập của mình vào các mạng quan trọng đó để thực hiện phá hủy dữ liệu hoặc các cuộc tấn công mạng khác. Nhưng Microsoft cảnh báo rằng bản chất nhắm mục tiêu của nhóm, bao gồm cả lãnh thổ Thái Bình Dương có thể đóng vai trò chính trong xung đột quân sự hoặc ngoại giao với Trung Quốc, vẫn có thể gây ra sự gián đoạn cho các cơ sở hạ tầng.

"Hành vi được quan sát cho thấy tác nhân đe dọa có ý định thực hiện hoạt động gián điệp và duy trì quyền truy cập mà không bị phát hiện càng lâu càng tốt", bài đăng trên blog của công ty viết. Tuyên bố cho rằng các tin tặc đang “theo đuổi khả năng có thể phá vỡ cơ sở hạ tầng liên lạc quan trọng giữa Hoa Kỳ và khu vực châu Á trong các cuộc khủng hoảng tương lai”.

Công ty an ninh mạng Mandiant thuộc sở hữu của Google cho biết họ cũng đã theo dõi một loạt các vụ xâm nhập của nhóm và đưa ra cảnh báo tương tự về việc nhóm này tập trung vào cơ sở hạ tầng quan trọng. John Hultquist, người đứng đầu tình báo mối đe dọa tại Mandiant cho biết: “Điều đó khiến chúng tôi đặt câu hỏi liệu họ có ở đó vì các mục tiêu rất quan trọng hay không. Mối quan tâm của chúng tôi là hoạt động theo dõi tập trung vào cơ sở hạ tầng quan trọng, liệu đó có phải là sự chuẩn bị cho cuộc tấn công gây rối hoặc phá hoại tiềm tàng”.

Bài đăng trên blog Microsoft cho thấy chi tiết kỹ thuật về các cuộc xâm nhập của tin tặc có thể giúp những người bảo vệ mạng phát hiện và loại bỏ chúng. Ví dụ, nhóm này sử dụng các bộ định tuyến, tường lửa và các thiết bị mạng làm proxy để khởi chạy hoạt động tấn công của mình - nhắm mục tiêu vào các thiết bị bao gồm những sản phẩm được bán bởi các nhà sản xuất phần cứng ASUS, Cisco, D-Link, Netgear và Zyxel. Nhóm này cũng thường khai thác quyền truy cập từ các tài khoản bị xâm phạm của người dùng hợp pháp thay vì phần mềm độc hại của chính họ để làm cho hoạt động của họ khó bị phát hiện hơn bằng cách tỏ ra lành tính.

Marc Burnard, chuyên gia tư vấn cấp cao về nghiên cứu bảo mật thông tin tại Secureworks, cho biết trà trộn vào lưu lượng truy cập mạng thông thường nhằm tránh bị phát hiện là dấu hiệu nổi bật của Volt Typhoon và cách tiếp cận của các tác nhân Trung Quốc khác trong những năm gần đây. Giống như Microsoft và Mandiant, Secureworks đã theo dõi nhóm và quan sát các chiến dịch của nhóm. Ông nói thêm rằng nhóm đã “liên tục tìm kiếm giải pháp thích nghi” để theo đuổi hoạt động gián điệp của mình.

NGUY CƠ VỀ KHẢ NĂNG CUỘC CHIẾN TRANH MẠNG LEO THANG

Các cơ quan chính phủ Hoa Kỳ, bao gồm Cơ quan An ninh Quốc gia, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) và Bộ Tư pháp đã công bố một lời khuyên chung về hoạt động của Volt Typhoon với tình báo Canada, Anh và Úc. “Các đối tác khu vực tư nhân đã xác định rằng hoạt động này ảnh hưởng đến mạng lưới trên các lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ và các cơ quan tác giả tin rằng tác nhân có thể áp dụng các kỹ thuật tương tự đối với các lĩnh vực này và các lĩnh vực khác trên toàn thế giới”.

Mặc dù các tin tặc do nhà nước Trung Quốc bảo trợ chưa bao giờ thực hiện một cuộc tấn công mạng gây rối chống lại Hoa Kỳ - thậm chí trong nhiều thập kỷ đánh cắp dữ liệu từ các hệ thống của Hoa Kỳ - song các tin tặc của nước này đã định kỳ bị bắt quả tang bên trong các hệ thống cơ sở hạ tầng quan trọng của Hoa Kỳ. Ngay từ năm 2009, các quan chức tình báo Mỹ đã cảnh báo rằng gián điệp mạng Trung Quốc đã thâm nhập vào mạng lưới điện của Mỹ để “lập bản đồ” cơ sở hạ tầng của nước này nhằm chuẩn bị cho một cuộc xung đột tiềm tàng. Hai năm trước, CISA và FBI cũng đã đưa ra khuyến cáo rằng Trung Quốc đã thâm nhập vào các đường ống dẫn dầu và khí đốt của Hoa Kỳ từ năm 2011 đến 2013. Các tin tặc của Bộ An ninh Nhà nước Trung Quốc đã tiến xa hơn trong các cuộc tấn công mạng nhằm vào các nước láng giềng châu Á của nước này, thực sự đã vượt quá giới hạn chịu đựng.

Tập hợp các vụ xâm nhập mới nhất mà Microsoft và Mandiant phát hiện cho thấy hoạt động tấn công cơ sở hạ tầng quan trọng của Trung Quốc vẫn tiếp tục. Nhưng ngay cả khi tin tặc Volt Typhoon đã tìm cách vượt ra ngoài hoạt động gián điệp và đặt nền móng cho các cuộc tấn công mạng, thì bản chất của mối đe dọa đó vẫn chưa rõ ràng. Xét cho cùng, các tin tặc do nhà nước tài trợ thường được giao quyền truy cập vào cơ sở hạ tầng quan trọng của đối thủ như một biện pháp chuẩn bị trong trường hợp xảy ra xung đột trong tương lai, vì việc giành quyền truy cập cần thiết cho một cuộc tấn công gây rối thường đòi hỏi nhiều tháng làm việc nâng cao.

Sự mơ hồ đó trong động cơ của các tin tặc được nhà nước bảo trợ khi họ xâm nhập vào mạng của một quốc gia khác là điều mà giáo sư Ben Buchanan của Đại học Georgetown đã gọi là “thế tiến thoái lưỡng nan về an ninh mạng” trong cuốn sách cùng tên của ông.

Giống như các hacker được nhà nước bảo trợ của Nga, Iran và Bắc Triều Tiên, các tin tặc quân sự và tình báo của Trung Quốc thường chỉ nhằm mục đích gián điệp mà ít khi gây ra cuộc chiến tranh thực sự từ các hoạt động gián điệp đó. Nhưng khi những gián điệp mạng vi phạm cơ sở hạ tầng quan trọng ở Hoa Kỳ, thì hoạt động gián điệp, lập kế hoạch dự phòng xung đột và leo thang chiến tranh mạng đều có nguy cơ xảy ra.