“Hacker Trung Quốc xâm nhập vào cơ sở hạ tầng quan trọng của Mỹ và Guam, đánh cắp dữ liệu nhạy cảm”

Theo báo cáo của Microsoft và các cơ quan chính phủ, bao gồm cả NSA và FBI, các tin tặc do nhà nước Trung Quốc tài trợ đã xâm nhập thành công vào các hệ thống cơ sở hạ tầng quan trọng trên khắp Hoa Kỳ và đảo Guam, tiến hành các hoạt động gián điệp mạng bí mật và đánh cắp dữ liệu nhạy cảm.

Những tin tặc nước ngoài này, được gọi là nhóm ‘Volt Typhoon’, đã hoạt động ít nhất hai năm, không bị phát hiện trong khi nhắm mục tiêu thông tin quan trọng đối với Cộng hòa Nhân dân Trung Hoa.

Sống từ đất hack

Để duy trì sự hiện diện của mình một cách lặng lẽ, tin tặc Volt Typhoon sử dụng một kỹ thuật lén lút gọi là “sống ngoài mặt đất”. Tin tặc thường cài đặt các công cụ hoặc phần mềm độc hại bên ngoài để xâm nhập vào các thiết bị dễ bị tấn công. Tuy nhiên, kỹ thuật của Volt Typhoon nhắm vào phần mềm và tính năng hiện có trên thiết bị bị ảnh hưởng. Bằng cách đó, họ tránh thu hút sự chú ý của các hệ thống bảo mật thường phát hiện sự hiện diện của phần mềm độc hại.

Các nhà nghiên cứu của Microsoft đã viết trong báo cáo tư vấn của họ: “Để đạt được mục tiêu của mình, các tác nhân đe dọa đã tập trung mạnh vào khả năng tàng hình trong chiến dịch này, hầu như chỉ dựa vào các kỹ thuật trực tiếp và hoạt động trên bàn phím”.

Dữ liệu bị tin tặc Trung Quốc đánh cắp bao gồm thông tin đăng nhập, sau đó được sử dụng để làm xáo trộn thêm hoạt động hack. Ví dụ: dữ liệu này được sử dụng để kết hợp với lưu lượng mạng thông thường bằng cách sử dụng thiết bị mạng văn phòng nhỏ và văn phòng tại nhà (SOHO) bị xâm phạm, chẳng hạn như bộ định tuyến, tường lửa và phần cứng VPN.

Bằng cách này, khi các nhà phân tích bảo mật xem xét lưu lượng mạng để tìm kiếm các mẫu hoạt động đáng ngờ, họ sẽ không thấy bất kỳ dấu hiệu đỏ nào. Tuy nhiên, lưu lượng truy cập từ Guam hoặc California là sai, các hoạt động trá hình được điều phối từ Trung Quốc.

Để có quyền truy cập đầu tiên vào cơ sở hạ tầng quan trọng có trụ sở tại Hoa Kỳ, tin tặc dường như đã phát hiện ra một cửa hậu trong các thiết bị kết nối Internet của Fortinet FortiGuard, kỹ thuật Ars báo cáo. Trớ trêu thay, đây là những thiết bị bảo mật được thiết kế để bảo vệ mạng khỏi các mối đe dọa khác nhau. Tuy nhiên, khi các thiết bị này chưa được vá hoặc có các lỗ hổng chưa được xử lý, chúng sẽ dễ bị tin tặc khai thác.

Trong bối cảnh của chiến dịch Bão Volt, tin tặc đã khai thác lỗ hổng này trong các thiết bị FortiGuard để truy cập trái phép vào mạng. Sau khi xâm nhập vào thiết bị, chúng sẽ trích xuất thông tin xác thực từ Active Directory của mạng. Active Directory là cơ sở dữ liệu lưu trữ thông tin quan trọng như tên người dùng, mật khẩu băm và các dữ liệu nhạy cảm khác liên quan đến tài khoản người dùng. Với những thông tin đăng nhập này trong tay, tin tặc có thể tiến hành lây nhiễm các thiết bị khác trên mạng, mở rộng phạm vi tiếp cận và kiểm soát của chúng.

Cai gi đang bị đe dọa?

Các ngành bị ảnh hưởng bởi các cuộc xâm nhập mạng này trải rộng trên nhiều lĩnh vực, bao gồm truyền thông, sản xuất, tiện ích, giao thông vận tải, xây dựng, hàng hải, chính phủ, công nghệ thông tin và giáo dục.

Theo các nhà nghiên cứu của Microsoft, mục tiêu chính của chiến dịch Bão Volt có thể nhằm phát triển khả năng phá vỡ cơ sở hạ tầng liên lạc quan trọng giữa Hoa Kỳ và khu vực châu Á trong một cuộc khủng hoảng tiềm ẩn trong tương lai.

Guam có tầm quan trọng chiến lược đặc biệt vì nơi đây có các cảng và căn cứ không quân quan trọng ở Thái Bình Dương được sử dụng bởi quân đội Hoa Kỳ. Khi căng thẳng gia tăng về các vấn đề như Đài Loan, đảo Guam đã trở thành tâm điểm chú ý vì vị trí quan trọng của nó.

Hoa Kỳ từ lâu đã theo chính sách “mơ hồ chiến lược” về việc liệu họ có can thiệp quân sự để bảo vệ Đài Loan trong trường hợp bị Trung Quốc tấn công hay không. Tuy nhiên, Tổng thống Mỹ Joe Biden cho biết ông sẵn sàng sử dụng vũ lực để bảo vệ nó. Trong trường hợp có một hành động như vậy, Hoa Kỳ sẽ có chiến tranh với Trung Quốc, quốc gia rất có thể sẽ kích hoạt và phá vỡ các hệ thống đã bị tấn công ngay từ ngày đầu tiên.

Mặc dù vụ hack Volt Typhoon hiện đã bị lộ, có thể có nhiều hệ thống và mạng khác hiện đang bị ảnh hưởng nhưng vụ hack vẫn chưa bị phát hiện.

Ngoài Đài Loan, Mỹ và Trung Quốc đang vướng vào một cuộc tranh cãi về một loạt vấn đề, bao gồm thương mại và chuyển giao công nghệ. Để hạn chế ảnh hưởng của Trung Quốc, Hoa Kỳ đã đưa ra nhiều biện pháp kiểm soát xuất khẩu khác nhau, đặc biệt là đối với chất bán dẫn và thậm chí đang xem xét nghiêm túc việc cấm ứng dụng mạng xã hội phổ biến TikTok, thuộc sở hữu của ByteDance của Trung Quốc.

Thay vào đó, Trung Quốc đã đưa ra các biện pháp kiểm soát của riêng mình. Ví dụ, các sản phẩm của nhà sản xuất chip nhớ Micro có trụ sở tại Hoa Kỳ bị cấm ở Trung Quốc, với lý do an toàn vốn có.

Một trong những cuộc đụng độ lớn nhất giữa hai cường quốc xảy ra vào tháng 2 khi Lực lượng Không quân Hoa Kỳ bắn hạ cái mà họ nói là khinh khí cầu do thám Trung Quốc trên không phận Hoa Kỳ. Trung Quốc phủ nhận các cáo buộc, nói rằng khí cầu chỉ là một quả bóng bay thời tiết chạy chệch khỏi đường băng.

Để giúp các tổ chức phát hiện và giảm thiểu các cuộc tấn công này, tư vấn cung cấp các chỉ báo về sự xâm phạm mà quản trị viên có thể sử dụng để xác định khả năng lây nhiễm. Ví dụ: một hệ thống bị ảnh hưởng có thể hiển thị thông tin đăng nhập thành công từ các địa chỉ IP không xác định và hoạt động dòng lệnh bất thường có thể được liên kết với cùng một tài khoản người dùng.