Chiến dịch tin tặc quy mô 42 quốc gia bị Google phanh phui, nghi có liên hệ với TQ

Theo tổng hợp từ Reuters, công ty công nghệ Mỹ Google vào thứ Tư (25/2) tuyên bố đã chặn đứng và triệt phá thành công một chiến dịch mạng của một tổ chức tin tặc bị cho là có liên hệ với Trung Cộng. Nhóm này đã xâm nhập ít nhất 53 thực thể tại 42 quốc gia trên toàn cầu. Thông tin được nhóm Tình báo Mối đe dọa của Google công bố với truyền thông.

Google cho biết nhóm tin tặc này trong giới an ninh mạng được định danh là UNC2814, còn được gọi là “Gallium”. Trong gần một thập kỷ qua, tổ chức này đã tiến hành các hoạt động xâm nhập mạng nhằm vào nhiều lĩnh vực khác nhau, chủ yếu nhắm tới cơ quan chính phủ và các nhà khai thác viễn thông. Nhóm Tình báo Mối đe dọa của Google nhận định các cuộc tấn công liên quan là một “hệ thống giám sát quy mô lớn”, được sử dụng để tiến hành giám sát mạng hoặc thu thập dữ liệu đối với các tổ chức và cá nhân trên phạm vi toàn cầu.

Để ngăn chặn chiến dịch này, Google đã phối hợp với các đối tác không nêu tên triển khai nhiều biện pháp kỹ thuật, bao gồm chấm dứt các dự án Google Cloud do nhóm này kiểm soát, xác định và đóng cửa cơ sở hạ tầng internet mà họ sử dụng, cũng như vô hiệu hóa nhiều tài khoản liên quan. Google cho biết tin tặc đã lợi dụng các tài khoản này để truy cập Google Sheets (Google Trang tính) và các dịch vụ khác nhằm tránh bị phát hiện và trà trộn vào lưu lượng truy cập bình thường, song không gây tổn hại trực tiếp đến bất kỳ sản phẩm nào của Google.

Ông Charlie Snyder, quản lý cấp cao của nhóm Tình báo Mối đe dọa Google, cho biết trước thời điểm bị ngăn chặn, tổ chức này đã được xác nhận xâm nhập thành công hệ thống của ít nhất 53 thực thể tại 42 quốc gia. Google chưa công bố danh tính cụ thể hay lĩnh vực hoạt động của các tổ chức bị ảnh hưởng. Tuy nhiên, trong một trường hợp, nhóm tin tặc đã cài đặt một chương trình cửa hậu được Google đặt tên là “GRIDTIDE” vào hệ thống nạn nhân. Hệ thống này lưu trữ lượng lớn dữ liệu cá nhân nhạy cảm, bao gồm họ tên đầy đủ, số điện thoại, ngày sinh, nơi sinh, số căn cước cử tri và số căn cước quốc gia.

Google cũng cho biết việc nhóm này sử dụng Google Sheets nhằm ngụy trang hoạt động độc hại thành hành vi truy cập hợp pháp, qua đó né tránh các cơ chế phát hiện an ninh và khiến cuộc tấn công khó bị nhận diện hơn. Google nhấn mạnh chiến thuật này không đồng nghĩa với việc sản phẩm của hãng bị xâm phạm bảo mật.

Liên quan đến chiến dịch đối phó, Google và các đối tác đã đóng cửa hạ tầng trọng yếu mà nhóm tin tặc sử dụng, khiến các hoạt động tấn công liên quan không thể tiếp tục vận hành, từ đó vô hiệu hóa hiệu quả chiến dịch toàn cầu của tổ chức này. Theo phân tích của Google, tại thời điểm bị ngăn chặn, chiến dịch còn có thể gây rủi ro tiềm tàng đối với ít nhất 22 quốc gia khác, dù điều này chưa được xác nhận hoàn toàn.

Theo Reuters và các hãng tin khác, đây là một trong những chiến dịch phản công quy mô lớn hiếm thấy trong lĩnh vực an ninh mạng, liên quan đến môi trường mạng của nhiều quốc gia và ngành nghề trên phạm vi quốc tế. Dù Google và đối tác không công bố danh sách các tổ chức bị tấn công, việc công khai chiến dịch này đã làm dấy lên sự quan tâm toàn cầu về vấn đề an ninh mạng, đặc biệt trong bối cảnh các cơ quan chính phủ và ngành viễn thông đẩy mạnh chuyển đổi số, kéo theo yêu cầu ngày càng cao về bảo vệ dữ liệu và phòng thủ mạng.

Ông John Hultquist, một trong những lãnh đạo nhóm Tình báo Mối đe dọa Google, cho biết tổ chức tin tặc này sở hữu năng lực giám sát và truy cập rộng khắp, trong thời gian dài đã tiến hành các hoạt động nhắm mục tiêu cụ thể trên toàn cầu, bao gồm việc lợi dụng các nền tảng dịch vụ đám mây hợp pháp để truy cập dữ liệu và có khả năng đánh cắp thông tin. Ông nhấn mạnh những chiến dịch mạng quy mô lớn như vậy thường liên quan đến dòng dữ liệu xuyên biên giới và hạ tầng viễn thông của nhiều quốc gia khác nhau.