The Storm Riders
Writer
Vào thứ Sáu, Hiệp hội An ninh Mạng Trung Quốc đã công bố chi tiết về hai vụ việc liên quan đến các cuộc tấn công mạng và gián điệp thường xuyên của các cơ quan tình báo Mỹ. Một vụ liên quan đến việc tấn công khai thác các lỗ hổng zero-day trong hệ thống email Microsoft Exchange, trong khi vụ còn lại khai thác các sai sót trong một hệ thống tài liệu điện tử.
Người phát ngôn Bộ Ngoại giao Trung Quốc Quách Gia Côn đã ngay lập tức lên tiếng: "Đây là bằng chứng mới nhất về các cuộc tấn công mạng độc hại của chính phủ Mỹ nhắm vào Trung Quốc, một lần nữa cho thấy Mỹ là mối đe dọa mạng hàng đầu mà Trung Quốc phải đối mặt và phơi bày sự đạo đức giả của Mỹ về vấn đề an ninh mạng... Trung Quốc sẽ tiếp tục làm những gì cần thiết để bảo vệ an ninh mạng của mình." Ông cũng nói thêm: "Chúng tôi cũng lưu ý rằng Mỹ đã sử dụng các đồng minh của mình ở châu Âu và trong khu vực lân cận của Trung Quốc để thực hiện các cuộc tấn công mạng."
Theo báo cáo, trong những năm gần đây, các cơ quan tình báo Mỹ đã ngày càng nhắm mục tiêu vào các trường đại học, viện nghiên cứu và doanh nghiệp công nghệ cao liên quan đến quân sự của Trung Quốc.
Một trong những vụ việc nghiêm trọng nhất diễn ra từ tháng 7 năm 2022 đến tháng 7 năm 2023. Các cơ quan tình báo Mỹ đã khai thác các lỗ hổng zero-day trong hệ thống email Microsoft Exchange để tấn công và kiểm soát các máy chủ email của một doanh nghiệp công nghiệp quân sự lớn của Trung Quốc trong gần một năm. Cuộc điều tra cho thấy những kẻ tấn công đã kiểm soát máy chủ điều khiển tên miền của doanh nghiệp, sử dụng nó làm "bàn đạp" để truy cập vào hơn 50 thiết bị chủ chốt trong mạng nội bộ. Đồng thời, chúng đã tạo ra nhiều kênh bí mật để rút ruột dữ liệu.
Trong suốt thời gian này, những kẻ tấn công đã sử dụng các địa chỉ IP ủy quyền (proxy IP) từ nhiều quốc gia, bao gồm Đức, Phần Lan, Hàn Quốc và Singapore, để thực hiện hơn 40 cuộc tấn công mạng. Chúng đã đánh cắp email từ 11 cá nhân, bao gồm cả các giám đốc điều hành cấp cao, chứa các bản thiết kế và các thông số hệ thống cốt lõi liên quan đến các sản phẩm công nghiệp quân sự.
Trong một vụ việc khác, từ tháng 7 đến tháng 11 năm 2024, các cơ quan tình báo Mỹ đã thực hiện các cuộc tấn công mạng vào một doanh nghiệp công nghiệp quân sự liên quan đến truyền thông và internet vệ tinh. Những kẻ tấn công đầu tiên đã sử dụng các proxy IP đặt tại Romania và Hà Lan để khai thác các lỗ hổng truy cập trái phép và lỗ hổng SQL injection để tấn công hệ thống tệp điện tử của doanh nghiệp. Chúng đã cấy một chương trình cửa hậu (backdoor) vào bộ nhớ của máy chủ tệp điện tử và sau đó tải lên một con trojan.
Sau đó, chúng đã khai thác dịch vụ nâng cấp phần mềm hệ thống của doanh nghiệp để phát tán một con trojan đánh cắp dữ liệu vào mạng nội bộ, làm tổn hại đến hơn 300 thiết bị. Chúng đã tìm kiếm cụ thể các từ khóa như "mạng đặc biệt quân sự" và "mạng lõi" để nhắm mục tiêu và đánh cắp dữ liệu nhạy cảm.
Báo cáo kết luận rằng trong cả hai trường hợp, những kẻ tấn công đã sử dụng các kỹ thuật che giấu chiến thuật và khả năng tấn công mạng ở mức độ cao.
"Trung Quốc là nạn nhân lớn nhất của các cuộc tấn công mạng và những tiết lộ của phía Trung Quốc chỉ là phần nổi của tảng băng trôi," ông Lý Diên, một chuyên gia Trung Quốc, nói với tờ Global Times. Chuyên gia này cảnh báo rằng an ninh quốc gia không phải là chuyện tầm thường và cần phải duy trì một mức độ cảnh giác cao.
Theo thống kê, chỉ trong năm 2024, đã có hơn 600 sự cố tấn công mạng của các nhóm APT cấp nhà nước ở nước ngoài nhắm vào các cơ quan quan trọng của Trung Quốc, với ngành công nghiệp quốc phòng và quân sự là mục tiêu chính.
Người phát ngôn Bộ Ngoại giao Trung Quốc Quách Gia Côn đã ngay lập tức lên tiếng: "Đây là bằng chứng mới nhất về các cuộc tấn công mạng độc hại của chính phủ Mỹ nhắm vào Trung Quốc, một lần nữa cho thấy Mỹ là mối đe dọa mạng hàng đầu mà Trung Quốc phải đối mặt và phơi bày sự đạo đức giả của Mỹ về vấn đề an ninh mạng... Trung Quốc sẽ tiếp tục làm những gì cần thiết để bảo vệ an ninh mạng của mình." Ông cũng nói thêm: "Chúng tôi cũng lưu ý rằng Mỹ đã sử dụng các đồng minh của mình ở châu Âu và trong khu vực lân cận của Trung Quốc để thực hiện các cuộc tấn công mạng."
Nằm vùng gần 1 năm trong doanh nghiệp quốc phòng
Theo báo cáo, trong những năm gần đây, các cơ quan tình báo Mỹ đã ngày càng nhắm mục tiêu vào các trường đại học, viện nghiên cứu và doanh nghiệp công nghệ cao liên quan đến quân sự của Trung Quốc.
Một trong những vụ việc nghiêm trọng nhất diễn ra từ tháng 7 năm 2022 đến tháng 7 năm 2023. Các cơ quan tình báo Mỹ đã khai thác các lỗ hổng zero-day trong hệ thống email Microsoft Exchange để tấn công và kiểm soát các máy chủ email của một doanh nghiệp công nghiệp quân sự lớn của Trung Quốc trong gần một năm. Cuộc điều tra cho thấy những kẻ tấn công đã kiểm soát máy chủ điều khiển tên miền của doanh nghiệp, sử dụng nó làm "bàn đạp" để truy cập vào hơn 50 thiết bị chủ chốt trong mạng nội bộ. Đồng thời, chúng đã tạo ra nhiều kênh bí mật để rút ruột dữ liệu.
Trong suốt thời gian này, những kẻ tấn công đã sử dụng các địa chỉ IP ủy quyền (proxy IP) từ nhiều quốc gia, bao gồm Đức, Phần Lan, Hàn Quốc và Singapore, để thực hiện hơn 40 cuộc tấn công mạng. Chúng đã đánh cắp email từ 11 cá nhân, bao gồm cả các giám đốc điều hành cấp cao, chứa các bản thiết kế và các thông số hệ thống cốt lõi liên quan đến các sản phẩm công nghiệp quân sự.
Thả Trojan vào mạng lưới vệ tinh
Trong một vụ việc khác, từ tháng 7 đến tháng 11 năm 2024, các cơ quan tình báo Mỹ đã thực hiện các cuộc tấn công mạng vào một doanh nghiệp công nghiệp quân sự liên quan đến truyền thông và internet vệ tinh. Những kẻ tấn công đầu tiên đã sử dụng các proxy IP đặt tại Romania và Hà Lan để khai thác các lỗ hổng truy cập trái phép và lỗ hổng SQL injection để tấn công hệ thống tệp điện tử của doanh nghiệp. Chúng đã cấy một chương trình cửa hậu (backdoor) vào bộ nhớ của máy chủ tệp điện tử và sau đó tải lên một con trojan.
Sau đó, chúng đã khai thác dịch vụ nâng cấp phần mềm hệ thống của doanh nghiệp để phát tán một con trojan đánh cắp dữ liệu vào mạng nội bộ, làm tổn hại đến hơn 300 thiết bị. Chúng đã tìm kiếm cụ thể các từ khóa như "mạng đặc biệt quân sự" và "mạng lõi" để nhắm mục tiêu và đánh cắp dữ liệu nhạy cảm.
Nạn nhân lớn nhất
Báo cáo kết luận rằng trong cả hai trường hợp, những kẻ tấn công đã sử dụng các kỹ thuật che giấu chiến thuật và khả năng tấn công mạng ở mức độ cao.
"Trung Quốc là nạn nhân lớn nhất của các cuộc tấn công mạng và những tiết lộ của phía Trung Quốc chỉ là phần nổi của tảng băng trôi," ông Lý Diên, một chuyên gia Trung Quốc, nói với tờ Global Times. Chuyên gia này cảnh báo rằng an ninh quốc gia không phải là chuyện tầm thường và cần phải duy trì một mức độ cảnh giác cao.
Theo thống kê, chỉ trong năm 2024, đã có hơn 600 sự cố tấn công mạng của các nhóm APT cấp nhà nước ở nước ngoài nhắm vào các cơ quan quan trọng của Trung Quốc, với ngành công nghiệp quốc phòng và quân sự là mục tiêu chính.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview