Các nhà nghiên cứu an ninh mạng Mỹ đã phát hiện, những tháng gần đây tin tặc (hacker) được hậu thuẫn từ Đảng Cộng sản Trung Quốc (ĐCSTQ) thường xuyên xâm nhập vào các nhà cung cấp dịch vụ mạng của Mỹ để hoạt động gián điệp. Vấn đề leo thang tấn công mạng này đang khiến Mỹ chú ý.

hacker trung quoc
(Ảnh minh họa: TY Lim/Shutterstock)

Được biết mục tiêu của tin tặc Trung Quốc tập trung vào giới nhân viên chính phủ và quân đội thực hiện các nhiệm vụ bí mật, cũng gồm các nhóm có ý nghĩa chiến lược đối với ĐCSTQ.

Trong một báo cáo công bố hôm thứ Ba (27/8), công ty con Black Lotus Labs của công ty an ninh mạng Lumen (Lumen Technologies) viết rằng một nhóm có tên Volt Typhoon được Chính phủ Trung Quốc hậu thuẫn đã thực hiện vụ tấn công.

Báo cáo chỉ ra rằng nhóm hacker đã khai thác “lỗ hổng zero-day” trong phần mềm Versa Director do Versa Networks sản xuất, tức là các lỗ hổng bảo mật mà nhà sản xuất phần mềm chưa biết hoặc chưa thể cung cấp cách xử lý hiệu quả.

Các nhà nghiên cứu tại cơ quan này cho biết phần mềm Versa Director được các nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp dịch vụ quản lý (MSP) sử dụng rộng rãi, khiến Versa trở thành “mục tiêu quan trọng và hấp dẫn” đối với tin tặc Trung Quốc.

Theo báo cáo, Lumen Technologies đã thông báo về lỗ hổng zero-day và hoạt động hack cho Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) của Mỹ. Được biết, Lumen Technologies đã vá lỗ hổng này.

Trang tin tức TechCrunch của Mỹ (tập trung đưa tin về các công ty công nghệ thông tin) dẫn lời nhà nghiên cứu bảo mật của Lumen Technologies là cựu đặc vụ FBI, ông Mike Horka cho biết hoạt động tấn công hack này không chỉ giới hạn ở các công ty viễn thông mà còn bao gồm cả các nhà cung cấp dịch vụ lưu trữ và dịch vụ Internet, họ có thể tấn công các vị trí trung tâm và sau đó có được nhiều quyền truy cập hơn.

Horka chỉ ra đã tìm thấy 4 công ty nạn nhân ở Mỹ, đó là hai ISP, một MSP và một nhà cung cấp IT, còn có một công ty nạn nhân bên ngoài Mỹ, một ISP ở Ấn Độ.

Báo cáo của Black Lotus Labs không nêu tên công ty nạn nhân.

Mỹ đang hết sức cảnh giác về leo thang

Một cựu quan chức an ninh mạng cấp cao của Mỹ cho biết hoạt động hack của chính phủ Trung Quốc “mạnh hơn nhiều so với trước đây”.

Tờ Washington Post dẫn lời cựu giám đốc điều hành CISA Brandon Wales: “Hoạt động này đã trở thành thông lệ của Trung Quốc (ĐCSTQ), nhưng hiện có nâng cấp đáng kể so với trước, tình hình đã trở nên tồi tệ hơn trước”.

Chuyên gia bảo mật Horka nêu rằng tin tặc đang nhắm mục tiêu vào những khách hàng quan trọng có kết nối nâng cao và đặc quyền. Ông nhấn mạnh điều đáng chú ý là những kẻ tấn công coi hoạt động này quan trọng đến mức chúng nhắm vào lỗ hổng phần mềm mà trước đó chưa ai phát hiện, những lỗ hổng này lẽ ra có thể được bảo lưu để sử dụng cho các cuộc tấn công trong tương lai, nhưng kẻ tấn công đã chọn tận dụng ngay vì tính chất quan trọng của hoạt động.

Theo Washington Post, Đại sứ quán Trung Quốc tại Washington đã bác bỏ cáo buộc cho rằng Chính phủ Trung Quốc hỗ trợ nhóm hacker Volta Typhoon.

Sau khi nhóm hacker Volt Typhoon bị phát hiện lần đầu tiên vào năm ngoái, Bộ Tư pháp Mỹ, FBI, Cơ quan An ninh Quốc gia (NSA) và CISA đã nhất trí xác định nhóm hacker này do ĐCSTQ hỗ trợ đã hoạt động gián điệp và tấn công mạng nhằm vào Mỹ và các đồng minh.

Tháng 5/2023, Microsoft thông báo họ đã phát hiện Volt Typhoon xâm nhập hệ thống cơ sở hạ tầng của Mỹ, bao gồm cả nhà máy xử lý nước của Guam. Microsoft xác định mục đích của Volt Typhoon là chuẩn bị sẵn lúc cần thiết sẽ chi phối cơ sở hạ tầng liên lạc quan trọng giữa Mỹ và khu vực châu Á.

Trước đó vào tháng 4 Bộ trưởng Tư pháp Mỹ Merrick B. Garland cho biết rằng, Bộ Tư pháp đã ngăn chặn “một chiến dịch được Cộng hòa Nhân dân Trung Hoa (ĐCSTQ) hậu thuẫn tấn công”.

Tướng Không quân Timothy D. Haugh – người đứng đầu Bộ Tư lệnh Không gian mạng Mỹ và giám đốc NSA – vào tháng 6 năm nay đã cảnh báo rằng ĐCSTQ đang tìm cách phá hoại ngành công nghiệp quốc phòng Mỹ, ông một lần nữa nêu tên nhóm hacker Volta Typhoon được họ hỗ trợ.