Công ty an ninh mạng Mỹ bị “tin tặc Trung Quốc” xâm nhập suốt gần 2 năm

Mới đây, công ty an ninh mạng Mỹ F5 Inc. tiết lộ rằng hệ thống của họ đã bị tin tặc cấp quốc gia xâm nhập từ cuối năm 2023, đến tháng 8/2025 mới bị phát hiện. Theo nguồn tin, cuộc tấn công này được cho là có liên quan đến tin tặc được chính quyền Trung Quốc hậu thuẫn. Sự việc đã khiến chính phủ Mỹ và Anh phát đi cảnh báo khẩn cấp.

• Tin tặc Trung Quốc tấn công mạng Chính phủ Đài Loan 2,8 triệu lần mỗi ngày

Trong tuyên bố ngày 15/10, F5 xác nhận rằng hệ thống của họ đã bị “tin tặc cấp quốc gia có kỹ thuật cực kỳ tinh vi” xâm nhập trong thời gian dài và một phần dữ liệu nội bộ đã bị rò rỉ. Công ty cho biết họ đã chặn đứng cuộc tấn công, đồng thời đang củng cố hệ thống phòng thủ và hỗ trợ khách hàng giảm thiểu rủi ro tiềm ẩn.

Theo F5, tin tặc đã ẩn náu trong một số hệ thống của công ty từ năm 2023 và bị phát hiện vào tháng Tám năm nay. Mục tiêu tấn công gồm môi trường phát triển sản phẩm BIG-IP và nền tảng quản lý tri thức kỹ thuật. Tin tặc đã tải xuống một số tệp, trong đó có mã nguồn BIG-IP và thông tin về các lỗ hổng chưa được công bố.

Sau đó Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) thuộc Bộ An ninh Nội địa Hoa Kỳ đã ban hành chỉ thị khẩn, yêu cầu tất cả các cơ quan liên bang phải xác định và cập nhật sản phẩm của F5 trước ngày 22/10, cho rằng sự cố này là mối đe dọa nghiêm trọng đối với mạng lưới liên bang.

Đồng thời, Trung tâm An ninh mạng quốc gia Anh (NCSC) cũng cảnh báo rằng tin tặc có thể lợi dụng quyền kiểm soát đối với hệ thống của F5 để khai thác sâu hơn các lỗ hổng khác.

Xâm nhập kéo dài và sơ suất nội bộ

Theo Bloomberg dẫn lời nhiều nguồn tin, tin tặc đã lợi dụng một lỗ hổng trong phần mềm của chính F5 vào cuối năm 2023 để xâm nhập vào hệ thống nội bộ.

Lẽ ra lỗ hổng này phải được cô lập, nhưng do nhân viên không tuân thủ quy định bảo mật nên hệ thống bị phơi nhiễm ra Internet. Nhóm tấn công đã ẩn mình trong hệ thống gần 20 tháng, cho đến khi bị phát hiện vào ngày 9/8 năm nay.

Nhiều nguồn tin cho biết, cuộc tấn công này có liên quan đến nhóm tin tặc được nhà nước Trung Quốc hậu thuẫn.

Được biết, Giám đốc điều hành F5, ông Francois Locoh-Donou, đã trực tiếp thông báo sự việc cho các khách hàng lớn và thuê các công ty an ninh mạng như CrowdStrike và Mandiant (thuộc Google) hỗ trợ điều tra, đồng thời phối hợp với cơ quan thực thi pháp luật.

Cổ phiếu F5 đã giảm hơn 10% trong ngày 16/10 sau khi tin tức được công bố. Trụ sở chính của công ty đặt tại Seattle. Nền tảng BIG-IP của F5 được sử dụng rộng rãi bởi các tập đoàn lớn và cơ quan chính phủ toàn cầu để phân phối lưu lượng truy cập, bảo vệ ứng dụng và mã hóa dữ liệu.

Vì khách hàng của F5 bao gồm các cơ quan chính phủ Hoa Kỳ và khoảng 85% doanh nghiệp trong danh sách Fortune 500, giới quan sát lo ngại sự cố này có thể ảnh hưởng đến an ninh của các cơ sở hạ tầng trọng yếu.

Tin tặc sử dụng phần mềm độc hại “Brickstorm”

Theo phân tích của Mandiant, nhóm tấn công đã sử dụng phần mềm độc hại có tên “Brickstorm”, được cho là có liên hệ với tin tặc Trung Quốc.

Phần mềm này chuyên dùng để ẩn náu lâu dài trong hệ thống của các nhà cung cấp dịch vụ công nghệ và pháp lý. Sau khi xâm nhập vào phần mềm BIG-IP của F5 vào năm 2023, tin tặc tiếp tục thâm nhập môi trường máy ảo VMware nhằm duy trì quyền kiểm soát liên tục.

Một người tham gia điều tra cho biết, sau khi xâm nhập, nhóm tin tặc gần như “ngủ yên” hơn một năm, có thể là để chờ nhật ký bảo mật nội bộ của F5 hết hạn nhằm xóa dấu vết xâm nhập. Đây là thủ đoạn thường được các tác nhân cấp nhà nước sử dụng để tránh bị truy vết.

Hiện F5 vẫn đang khắc phục hệ thống bị ảnh hưởng và hợp tác với cơ quan chức năng trong quá trình điều tra. Các quan chức Bộ An ninh Nội địa Mỹ cảnh báo rằng nếu không tăng cường bảo mật kịp thời, những cuộc tấn công kiểu này nhằm vào chuỗi cung ứng cốt lõi có thể gây ra rủi ro nghiêm trọng đối với an ninh quốc gia.

Ngày 24/5/2023, các cơ quan tình báo phương Tây và Microsoft (MSFT.O) cho biết, một nhóm tin tặc Trung Quốc do nhà nước tài trợ đã theo dõi nhiều tổ chức cơ sở hạ tầng quan trọng của Mỹ, từ viễn thông đến các trung tâm giao thông.

Hoạt động gián điệp cũng đã nhắm vào lãnh thổ đảo Guam của Mỹ, nơi có các căn cứ quân sự quan trọng chiến lược của Mỹ, Microsoft nêu rõ trong một báo cáo, đồng thời nhận định rằng “việc giảm thiểu cuộc tấn công này có thể là một thách thức”.

Vương quốc Anh cũng đưa ra cảnh báo tương tự, các kỹ thuật mà tin tặc Trung Quốc sử dụng trên các mạng của Hoa Kỳ có thể được áp dụng trên toàn thế giới.

Xem thêm

Công bố thêm 2 công ty liên kết nhóm tin tặc Salt Typhoon do Bắc Kinh hậu thuẫn

3 công ty Trung Quốc bị nêu tên trong chiến dịch được biết đến với tên gọi Salt Typhoon.