Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Tin tặc Trung Quốc nhắm vào các nhà cung cấp Internet của...

Tin tặc Trung Quốc nhắm vào các nhà cung cấp Internet của Hoa Kỳ trong cuộc tấn công mạng thầm lặng

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Một chương mới lạnh lùng trong chiến tranh mạng đã mở ra, khi tin tặc được Trung Quốc hậu thuẫn đã xâm phạm hệ thống phòng thủ kỹ thuật số của một số nhà cung cấp dịch vụ internet (ISP) của Hoa Kỳ. Trong một tiết lộ đáng báo động, một chiến dịch bí mật nhằm xâm nhập vào cơ sở hạ tầng quan trọng đã được tiến hành, với các chuyên gia hiện đang chạy đua để khám phá toàn bộ mức độ thiệt hại.

Theo một báo cáo gần đây của The Wall Street Journal , cuộc tấn công này được cho là do một nhóm tin tặc tinh vi bị Microsoft theo dõi dưới tên mã Salt Typhoon. Còn được biết đến với các bí danh là FamousSparrow và GhostEmperor, những tên tội phạm mạng này là một phần của mạng lưới lớn hơn gồm các tác nhân đe dọa do nhà nước tài trợ có liên hệ với Bắc Kinh.

Sự phá hoại thầm lặng của các mạng lưới Hoa Kỳ

Điều khiến hoạt động mạng này trở nên đặc biệt đáng sợ là quy mô tham vọng của nó. Các nguồn tin thân cận với cuộc điều tra cho rằng những tin tặc này có thể đã xâm nhập vào các bộ định tuyến cốt lõi của Cisco Systems, các thiết bị kiểm soát lưu lượng truy cập internet khổng lồ trên khắp Hoa Kỳ. Đây không phải là những vụ vi phạm thông thường. Việc tiếp cận được cơ sở hạ tầng ở cấp độ này có nghĩa là về mặt lý thuyết, chúng có thể theo dõi, định tuyến lại hoặc thậm chí làm tê liệt các liên lạc internet mà không ai nhận ra ngay lập tức.

Mục tiêu chính của tin tặc dường như là duy trì quyền truy cập lâu dài, cho phép chúng lấy cắp dữ liệu nhạy cảm theo ý muốn hoặc có khả năng phát động các cuộc tấn công mạng tàn phá trong tương lai. Những loại hoạt động này không chỉ là vi phạm—chúng là một cuộc phá hoại âm thầm, âm thầm phát triển trong nền, nằm chờ.

Bóng ma trong cỗ máy - GhostEmperor là ai?

Nhóm đứng sau vụ tấn công đáng sợ này, GhostEmperor, không phải là nhóm mới. Trên thực tế, chúng lần đầu tiên được công ty an ninh mạng Kaspersky phát hiện vào năm 2021. Vào thời điểm đó, nhóm này đã thực hiện các hoạt động mạng cực kỳ nguy hiểm trên khắp Đông Nam Á. Sử dụng một rootkit ẩn có tên là Demodex, chúng đã xâm nhập vào các mạng trong nhiều năm trước khi các hoạt động của chúng bị phát hiện.

Các quốc gia như Thái Lan, Việt Nam và Malaysia nằm trong số những nạn nhân đầu tiên của chúng. Nhưng phạm vi của GhostEmperor không chỉ giới hạn ở Châu Á. Các mục tiêu trải rộng trên toàn cầu, từ Châu Phi đến Trung Đông, với các tổ chức ở Ai Cập, Ethiopia và Afghanistan cũng trở thành nạn nhân. Mỗi cuộc tấn công đều tuân theo một mô hình quen thuộc: xâm nhập cẩn thận, sau đó là việc thiết lập một chỗ đứng lặng lẽ trong các hệ thống quan trọng.

Gần đây nhất, vào tháng 7 năm 2024, công ty an ninh mạng Sygnia tiết lộ rằng một trong những khách hàng của họ đã bị nhóm tin tặc này xâm phạm. Những kẻ tấn công đã tận dụng quyền truy cập của chúng để xâm nhập không chỉ vào công ty mà còn vào mạng lưới của đối tác kinh doanh, sử dụng nhiều công cụ khác nhau để giao tiếp với máy chủ chỉ huy và kiểm soát của chúng. Điều đáng lo ngại là một trong những công cụ này được xác định là một biến thể của rootkit Demodex, cho thấy sự phát triển liên tục của nhóm này trong các kỹ thuật tấn công của chúng.

Một cuộc tấn công của Nhà nước vào cơ sở hạ tầng

Vụ vi phạm này của các ISP Hoa Kỳ không phải là một sự cố riêng lẻ. Đây là một phần của xu hướng rộng hơn, gây bất ổn sâu sắc về các cuộc tấn công do nhà nước Trung Quốc tài trợ vào cơ sở hạ tầng quan trọng. Chỉ vài ngày trước khi vụ tấn công này bị phát hiện, chính phủ Hoa Kỳ đã phá hủy một mạng botnet gồm 260.000 thiết bị được gọi là "Raptor Train", một vũ khí mạng khác do một nhóm được Bắc Kinh hậu thuẫn, Flax Typhoon, triển khai. Mạng botnet này, có khả năng gây gián đoạn mạng trên diện rộng, là lời nhắc nhở nghiêm túc về quy mô của những mối đe dọa này.

Sự tham gia của chính phủ Trung Quốc vào các chiến dịch này cho thấy một chiến lược dài hạn nhằm làm mất ổn định các đối thủ và khẳng định quyền kiểm soát đối với các mạng lưới toàn cầu quan trọng. Đây không chỉ là việc do thám dữ liệu được phân loại hoặc đánh cắp sở hữu trí tuệ—mà là việc giành được khả năng kiểm soát hoặc phá vỡ các dịch vụ thiết yếu, trong trường hợp gió địa chính trị thay đổi.

Có gì đang bị đe dọa?

Hậu quả của những cuộc tấn công này thực sự đáng sợ. Bằng cách truy cập vào ISP, tin tặc có thể theo dõi lượng lớn lưu lượng truy cập internet và thông tin liên lạc. Từ doanh nghiệp đến cá nhân, không ai có thể miễn nhiễm với việc thu thập dữ liệu tiềm ẩn. Thậm chí còn đáng lo ngại hơn khi nghĩ đến những gì có thể xảy ra nếu những tin tặc này quyết định tận dụng quyền truy cập của mình cho mục đích phá hoại hơn. Hãy tưởng tượng một kịch bản mà hàng triệu người đột nhiên bị cắt khỏi internet, hoặc tệ hơn, các hệ thống quan trọng—ngân hàng, bệnh viện hoặc lưới điện—bị ngắt kết nối.

Mối nguy hiểm của những cuộc tấn công này không phải lúc nào cũng xảy ra ngay sau đó mà là trong tương lai không xác định. Những tin tặc này chơi trò chơi dài hạn, gieo mầm ngày hôm nay có thể phát triển thành một thảm họa toàn diện vào ngày mai.

Làm sao chúng ta có thể ngăn chặn điều này?

Sự thật là không có giải pháp thần kỳ nào có thể ngăn chặn các cuộc tấn công mạng do nhà nước tài trợ. Tuy nhiên, các chuyên gia đồng ý rằng sự cảnh giác là chìa khóa. Các công ty Hoa Kỳ, đặc biệt là những công ty tham gia vào cơ sở hạ tầng quan trọng, phải tăng cường các biện pháp an ninh mạng của mình. Bao gồm:

  1. Giám sát mạng chặt chẽ: Phân tích lưu lượng mạng theo thời gian thực có thể giúp phát hiện sớm hoạt động đáng ngờ, hạn chế thiệt hại do vi phạm.
  • Phương pháp bảo mật nhiều lớp: Việc triển khai các biện pháp phòng thủ nhiều lớp có thể làm chậm và phức tạp hóa nỗ lực của ngay cả những tin tặc lành nghề nhất.
  • Cập nhật hệ thống thường xuyên: Cơ sở hạ tầng quan trọng, chẳng hạn như bộ định tuyến và máy chủ, phải liên tục được cập nhật các bản vá bảo mật mới nhất để ngăn chặn các điểm xâm nhập tiềm ẩn.
  • Hợp tác mạng toàn cầu: Các quốc gia cần hợp tác với nhau để chống lại các mối đe dọa mạng ngày càng được phối hợp này. Chia sẻ thông tin tình báo và tài nguyên có thể giúp xác định và vô hiệu hóa các mối đe dọa mạng nhanh hơn.

    • Tương lai đáng sợ của chiến tranh mạng

    Khi biên giới kỹ thuật số trở nên dễ xâm nhập hơn, chiến tranh mạng tiếp tục phát triển thành một chiến trường nguy hiểm, nơi không ai thực sự an toàn. Các nhóm tin tặc do Trung Quốc hậu thuẫn như GhostEmperor không chỉ nhắm vào các cơ quan chính phủ hoặc cơ sở quân sự, chúng còn xâm nhập vào các mạng lưới mà chúng ta dựa vào hàng ngày.

    Phần đáng lo ngại nhất là gì? Họ làm điều đó một cách lặng lẽ, và hầu hết thời gian, chúng ta thậm chí không biết cho đến khi quá muộn.

    Đây là thực tế mới mà chúng ta đang sống: một thế giới mà internet, từng là công cụ kết nối và tiến bộ toàn cầu, cũng đã trở thành sân chơi cho hoạt động gián điệp, phá hoại và quyền lực. Khi các tác nhân được nhà nước bảo trợ tiếp tục mài giũa kỹ năng của họ, chúng ta phải đối mặt với khả năng đáng sợ rằng thế giới kỹ thuật số của chúng ta không còn nằm trong tầm kiểm soát của chúng ta nữa.

    Đang tải...