Tin tặc Volt Typhoon của Trung Quốc đã hoạt động mà không bị phát hiện trong 5 năm trong cơ sở hạ tầng quan trọng của Hoa Kỳ

Chính phủ Hoa Kỳ gần đây tiết lộ rằng một nhóm hack tinh vi do nhà nước Trung Quốc bảo trợ, được xác định là Volt Typhoon , đã tìm cách xâm nhập vào các mạng cơ sở hạ tầng quan trọng ở Hoa Kỳ và Guam, không bị phát hiện trong suốt 5 năm đáng kinh ngạc. Những hệ thống quan trọng mà Volt Typhoon nhắm đến trải rộng trên nhiều lĩnh vực khác nhau bao gồm thông tin liên lạc, năng lượng, giao thông vận tải và quản lý nước và nước thải.

Điều làm nên sự khác biệt của các hoạt động của Volt Typhoon là cách tiếp cận độc đáo của họ, khác với các hoạt động gián điệp mạng thông thường. Theo các nhà chức trách Hoa Kỳ, chiến thuật của nhóm này cho thấy nỗ lực đã được tính toán trước nhằm thiết lập chỗ đứng trong các mạng CNTT, cho phép chúng điều động các tài sản Công nghệ vận hành (OT) với mục đích phá vỡ các chức năng thiết yếu .

Khuyến cáo chung do Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và Cục Điều tra Liên bang (FBI) đưa ra, cùng với sự hỗ trợ từ các quốc gia liên minh tình báo Five Eyes, nêu bật mức độ nghiêm trọng của tình hình. Nhóm hack này, còn được gọi là Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda hoặc Voltzite, đã hoạt động ít nhất từ tháng 6 năm 2021.

Phương thức hoạt động của Volt Typhoon liên quan đến việc sử dụng các kỹ thuật tiên tiến như 'sống ngoài đất liền' (LotL), cho phép chúng hoạt động bí mật bằng cách kết hợp các hoạt động độc hại với hành vi mạng hợp pháp. Hơn nữa, họ sử dụng các proxy nhiều bước nhảy như KV-botnet để làm xáo trộn nguồn gốc của các cuộc tấn công, khiến việc phân bổ trở nên khó khăn.

CrowdStrike, một công ty an ninh mạng, lưu ý rằng Volt Typhoon phụ thuộc vào một loạt các công cụ nguồn mở được thiết kế riêng cho các nạn nhân cụ thể, thể hiện mức độ tinh vi và lập kế hoạch chiến lược cao. Nhóm tiến hành trinh sát một cách tỉ mỉ, điều chỉnh chiến thuật của họ để nhắm mục tiêu vào môi trường và duy trì sự kiên trì thông qua việc sử dụng các tài khoản hợp lệ và các biện pháp bảo mật hoạt động mạnh mẽ.

Một trong những mục tiêu chính của họ là lấy thông tin xác thực của quản trị viên trong mạng, khai thác các lỗ hổng leo thang đặc quyền để tạo điều kiện thuận lợi cho việc di chuyển và trinh sát bên cạnh. Chiến lược dài hạn của họ liên quan đến việc duy trì quyền truy cập vào các môi trường bị xâm nhập, liên tục cải tiến các kỹ thuật của họ để tránh bị phát hiện và mở rộng các truy cập trái phép.

Ngoài thông tin xác thực bị đánh cắp, Volt Typhoon còn sử dụng các kỹ thuật LotL để tránh để lại dấu vết của phần mềm độc hại, tăng cường khả năng tàng hình và bảo mật hoạt động. Họ thậm chí còn xóa các nhật ký được nhắm mục tiêu để che giấu hành động của mình trong môi trường bị xâm nhập, làm phức tạp thêm nỗ lực phát hiện hoạt động của họ.

Tiết lộ này trùng hợp với những phát hiện từ Citizen Lab về một chiến dịch gây ảnh hưởng rộng rãi, được gọi là PAPERWALL, liên quan đến hơn 123 trang web mạo danh các hãng tin tức địa phương trên 30 quốc gia. Những trang web này, được liên kết với một công ty PR có trụ sở tại Bắc Kinh có tên là Công ty TNHH Truyền thông Haimaiyunxiang Thâm Quyến, phổ biến nội dung ủng hộ Trung Quốc đồng thời xóa các bài viết chỉ trích sau khi xuất bản.

Trong khi đại sứ quán Trung Quốc tại Washington bác bỏ các cáo buộc về thông tin sai lệch, những sự cố này nhấn mạnh mối lo ngại ngày càng tăng về khả năng mạng và các hoạt động gây ảnh hưởng của Trung Quốc trên quy mô toàn cầu.