Tin tặc ĐCSTQ xâm nhập vào chính phủ, cơ sở hạ tầng và mạng doanh nghiệp khắp nơi

Bộ Tư pháp Mỹ mới đây công bố phát hiện một nhóm tin tặc được Chính phủ Trung Quốc hỗ trợ đã ảnh hưởng đến hơn 200.000 thiết bị trên toàn thế giới. Các chuyên gia tin rằng so với các cơ sở chính phủ có nguồn tài nguyên bảo mật thông tin phong phú, các tin tặc ngụy trang thành tội phạm mạng và thâm nhập vào các thiết bị dân dụng thì khó phòng ngừa hơn.

• FBI triệt phá nhóm tin tặc thứ 2 của ĐCSTQ: “Fax Typhoon”

Phạm vi mục tiêu tấn công được mở rộng và đào sâu, hình thành hoạt động có tổ chức

Giám đốc FBI Christopher Wray hôm 18/9 cho biết, các cơ quan thực thi pháp luật liên bang đã triệt phá một tổ chức tin tặc (hacker) lớn của Trung Quốc có biệt danh “Flax Typhoon” và tuyên bố mục tiêu cuối cùng của tổ chức này là xâm nhập các nhà máy xử lý nước, lưới điện và hệ thống giao thông ở nhiều nơi trên khắp nước Mỹ, thủ đoạn của họ là sử dụng phần mềm độc hại để lây nhiễm nhiều loại thiết bị của người tiêu dùng, bao gồm bộ định tuyến, máy ảnh, máy ảnh kỹ thuật số và thiết bị lưu trữ mạng, tạo ra một “botnet” khổng lồ, tức mạng máy tính bị lây nhiễm.

FBI cho biết nhóm này được Chính phủ Trung Quốc hậu thuẫn. Bộ Tư pháp Mỹ nói trong một tuyên bố: “Các thiết bị botnet đã bị ảnh hưởng bởi các tin tặc do Trung Quốc tài trợ, các tin tặc này làm việc cho Integrity Technology Group có trụ sở tại Bắc Kinh”.

Cùng ngày, các quan chức mạng từ Vương quốc Anh, Canada, Úc và New Zealand cũng cáo buộc Integrity Technology Group là bàn tay đen đằng sau các hành động ác ý trên mạng, đồng thời cho biết tính đến tháng 6 năm nay, tổ chức này đã gây nguy hại hơn 250.000 thiết bị trên toàn thế giới.

Đáp lại những cáo buộc này, Đại sứ quán Trung Quốc tại Washington đã ra tuyên bố cáo buộc các cơ quan thực thi pháp luật Mỹ là vô căn cứ.

Ông Lennon Chang, giáo sư tại Trường Công nghệ thông tin thuộc Đại học Deakin ở Úc, chỉ ra rằng Flax Typhoon chủ yếu kiểm soát các lỗ hổng bằng cách cấy phần mềm độc hại, bao gồm camera máy tính hoặc một số thiết bị lưu trữ kỹ thuật số. Các mục tiêu tấn công ngoài các cơ quan chính phủ thì còn bao gồm cơ sở hạ tầng quan trọng như phương tiện truyền thông và trường học, cũng như các thiết bị phi cơ sở hạ tầng và thậm chí cả thiết bị cá nhân.

Ông tin rằng điều cần lo lắng hơn là hầu hết các quốc gia hiện đang tập trung vào an ninh mạng của cơ sở hạ tầng quan trọng. Việc bảo vệ an ninh thông tin và khả năng phục hồi an ninh thông tin của các doanh nghiệp vừa và nhỏ còn tương đối yếu trong việc phân bổ nguồn lực, ranh giới giữa tội phạm mạng và an ninh mạng đã bị Trung Quốc tận dụng thời cơ mà xâm nhập.

Ông nói với VOA: “Sự khác biệt này cho phép các bên quan tâm ngụy trang thông qua tội phạm mạng, từ từ xâm nhập vào mục tiêu và sau đó tiến hành các cuộc tấn công quy mô lớn, chẳng hạn như cài đặt một lượng lớn phần mềm độc hại tại Đài Loan hoặc một số quốc gia dân chủ, và đợi cho đến khi thời cơ liên quan đến thì tiến hành tấn công.” 

Ông Lennon Chang cho rằng các nhóm hacker Trung Quốc ngày càng thành thạo trong việc lợi dụng ranh giới này, để thực hiện các cuộc tấn công quy mô lớn vào các tổ chức tư nhân, thu thập thông tin đầy đủ từ các quốc gia dân chủ để phân tích chính xác hơn tình hình hiện tại của mỗi quốc gia.

Ông Vu Hiếu Bân (Yu Xiaobin), cựu Giám đốc điều hành của Hội đồng Chính sách Thông tin Đài Loan, cho biết trong một cuộc phỏng vấn với VOA rằng việc Trung Quốc sử dụng các tổ chức hacker để thực hiện các hoạt động gián điệp nhắm vào Mỹ, Đài Loan hoặc một số quốc gia dân chủ là điều bình thường, Trung Quốc cũng xác thực là có cơ quan chuyên môn tham gia vào các hoạt động này, cho dù đó là trong thế giới thực hay thế giới trực tuyến.

Tiến sĩ Lý Trọng Chí (Li Chongzhi), người có Giấy phép Kiểm toán trưởng Hệ thống Quản lý An ninh Thông tin do Tổ chức Tiêu chuẩn hóa Quốc tế chứng nhận, giám đốc an ninh thông tin của một công ty công nghệ Đài Loan cho biết, kể từ khi bước vào thế giới trực tuyến, các cơ quan quản lý Trung Quốc đã đầu tư rất nhiều nhân lực, kinh phí cũng như công nghệ nghiên cứu và phát triển dùng cho “tất cả” các hành động trên mạng. Ông chỉ ra rằng so với trước đây, các hoạt động gián điệp của tin tặc Trung Quốc nhắm vào các nước dân chủ đã tạo ra một số khác biệt và trở thành một xu hướng.

Ông nói với VOA: “Điều đầu tiên là phạm vi rộng hơn và không chỉ giới hạn ở các cơ quan chính phủ mà còn mở rộng sang một số ngành nghề, như ngành công nghệ cao, công nghiệp điện tử, công nghệ sinh học và công nghiệp năng lượng, hoặc sản xuất liên quan đến quốc phòng; Thứ hai, có phạm vi sâu hơn, họ không chỉ xâm nhập vào cơ sở dữ liệu của tổ chức để lấy đi dữ liệu, mà còn xâm nhập vào hệ điều hành bên trong tổ chức và ẩn nấp bên trong.”

Ông chỉ ra rằng tin tặc Trung Quốc cũng đã hình thành một mô hình có tổ chức. Từ các chương trình cửa hậu được phát hiện gần đây hoặc các dấu vết khác, chúng ta có thể biết cuộc tấn công này thuộc về nhóm hacker nào. Ông cho rằng hacker và việc bảo vệ an ninh thông tin giống như “giáo và khiên”, đối mặt với các cuộc tấn công mạng toàn diện, nâng cao, không gián đoạn của Trung Quốc, nhiều quốc gia đã ý thức được tầm quan trọng của việc tăng cường an ninh thông tin. Ví dụ, Đài Loan, nơi hứng chịu hậu quả của cuộc tấn công, đã thành lập Cục Quản lý An ninh Thông tin thuộc Cục Phát triển Kỹ thuật số của Viện Hành Chính để ứng phó với cuộc khủng hoảng do hoạt động của tin tặc gây ra. 

Đài Loan chưa thể thông qua đầy đủ luật để bảo vệ chống lại các cuộc tấn công mạng do tình hình chính trị

Microsoft cho biết vào tháng 8 năm ngoái rằng Flax Typhoon bắt đầu hoạt động vào giữa năm 2021 và đã nhắm mục tiêu vào hệ thống máy tính của hàng chục cơ quan chính phủ, giáo dục, công nghệ thông tin và các ngành sản xuất ở Đài Loan. Nhóm hacker có ý định tiến hành các hoạt động gián điệp và có thể tiến hành các cuộc tấn công ác ý nhằm đột nhập vào hệ thống nội bộ của các cơ quan chính phủ để đánh cắp thông tin.

Ông Lý Trọng Chí, giám đốc an ninh của một công ty công nghệ Đài Loan, cho rằng trước nguy cơ bị tin tặc Trung Quốc tấn công, thẩm quyền pháp lý của Đài Loan để phản ứng ngay lập tức thực tế là chưa đủ.

Ông nói: “Các dịch vụ thương mại điện tử trực tuyến của Trung Quốc đang xuất hiện công khai trên đường phố Đài Loan; các ISP của Đài Loan cũng đóng vai trò là đại lý cho các dịch vụ thương mại điện tử đám mây của Trung Quốc và thậm chí còn hợp tác tiếp thị với các quỹ đầu tư mạo hiểm của Trung Quốc”.

Ông Lý Trọng Chí chỉ ra rằng các cuộc tấn công của hacker cần phải có thể ngăn chặn làm gián đoạn cuộc tấn công, truy tìm nguồn gốc, thu thập bằng chứng và theo dõi phạm vi lây nhiễm càng sớm càng tốt. Những điều này đòi hỏi các đơn vị thực thi pháp luật và ủy quyền pháp lý mạnh mẽ, nhưng chịu hạn chế của đảng đối lập chiếm đa số trong Viện Lập pháp Đài Loan, và có lập trường tương đối thân Trung Quốc (ĐCSTQ), dẫn đến sự thất bại của các đạo luật như Luật Phòng chống và Điều tra về Khoa học và Công nghệ, Luật An ninh Nội địa và Luật Chống khủng bố chưa thể được thông qua.

Ông Vu Hiếu Bân, cựu Giám đốc điều hành của Hội đồng Chính sách Thông tin Đài Loan, cho biết trên thực tế, ở cấp độ kỹ thuật, việc tăng cường các biện pháp đơn giản hiện nay có thể đóng vai trò bảo vệ mạng. Ông chỉ ra rằng kỹ thuật của Flax Typhoon tương đối phức tạp nhưng không có gì đặc biệt. Ông chỉ ra rằng đánh giá từ báo cáo của Microsoft, nhóm hacker đã khai thác các lỗ hổng đã biết và công nghệ mà họ sử dụng không phải là một công cụ đặc biệt duy nhất. Điều này có nghĩa là nếu mỗi tổ chức mục tiêu đã vá các lỗ hổng này và cập nhật Tường lửa cũng như thông tin về mối đe dọa mạng, thì tạm thời sẽ không bị phá hoại.

Ông Lennon Chang, giáo sư Trường Công nghệ thông tin thuộc Đại học Deakin ở Úc, cho biết Đài Loan luôn là mục tiêu quan trọng trong các cuộc tấn công mạng của Trung Quốc và đã tích lũy được nhiều kinh nghiệm phòng thủ, bao gồm chống lại thông tin sai lệch và các hoạt động chiến tranh vùng xám.

Ông nói: “Đài Loan thực sự có rất nhiều điều mà các nước dân chủ có thể học hỏi. Các nước dân chủ không nên chịu áp lực từ Trung Quốc và ảnh hưởng đến sự hợp tác của họ với Đài Loan trong các cuộc tấn công mạng và phòng thủ chung trong khu vực, hoặc thậm chí là chiến tranh mạng”.

Trí tuệ nhân tạo sẽ là công cụ mới của hacker trong tương lai

Năm ngoái, FBI lần đầu tiên xác định được nhóm hacker đầu tiên được ĐCSTQ hậu thuẫn – Volt Typhoon, và vào tháng 2 năm nay, họ cho biết đã làm tan rã nhóm này, đồng thời cho biết, theo yêu cầu của ĐCSTQ, mạng lưới này nhắm mục tiêu vào các nhà máy xử lý nước và hạ tầng công cộng như hệ thống giao thông của Mỹ. Về hành động làm tan rã Volt Typhoon, Giám đốc Christopher Wray cho biết: “Đây chỉ là một hiệp trong một trận chiến dài hơn”.

Ông Dương (Yang), một kỹ sư Đài Loan từng làm việc lâu năm trong ngành công nghệ Thung lũng Silicon ở Mỹ, nói với VOA rằng nói chung, khi các quốc gia phát hiện ra hoạt động gián điệp, họ không công khai nó một cách rầm rộ, bởi vì giữ kín sẽ có nhiều cơ hội hơn để lần theo manh mối và tìm ra nhiều hoạt động gián điệp hơn. Lần này Bộ Tư pháp Mỹ đã công khai Flax Typhoon một cách nổi bật, và ông tự hỏi liệu có mục đích đặc biệt nào đằng sau việc này hay không. Ông Dương cho rằng có lẽ đây là sự chuẩn bị để chính phủ thông qua một số dự luật nhất định.

Đối với vấn đề này, một giám đốc cấp cao trong ngành công nghệ Đài Loan, người không tiện nêu tên do công việc, cho biết rằng nếu tổng hợp lại diễn biến của sự việc thì sẽ thấy vụ án này rất đáng để suy ngẫm. 

Ông chỉ ra rằng FBI cho biết Flax Typhoon là do Integrity Technology Group đứng sau, đồng thời chỉ ra rằng tập đoàn này có mối liên hệ chặt chẽ với Chính phủ Trung Quốc. Sau đó, FBI cho biết Flax Typhoon đã xâm nhập vào một số lượng lớn thiết bị toàn cầu và khẳng định rằng các thiết bị kết nối cấp thấp bị thao túng không bị ảnh hưởng về chức năng. Tuy nhiên, Flax Typhoon lại sử dụng botnet để tấn công các trang web cụ thể. FBI cũng cho biết họ đã lấy lại quyền điều khiển botnet của Flax Typhoon, đồng thời khắc phục nhiều lỗ hổng bảo mật của các thiết bị mạng bị thao túng. Cuối cùng, họ tuyên bố rằng Flax Typhoon dường như đã từ bỏ botnet này, và FBI đã đạt được một thắng lợi lớn. Ông bày tỏ sự nghi ngờ về mục đích công khai ầm ĩ của Mỹ trong vụ việc này.

Ông Lennon Chang cho rằng không giống như trước đây, lần này Mỹ, Úc và các nước khác đã chỉ ra rõ ràng mối liên hệ giữa Chính phủ Trung Quốc và các tổ chức hacker, thực sự đã đóng một vai trò to lớn trong việc phòng thủ chung trong khu vực.

Ông nói: “Việc nêu tên rõ ràng các cuộc tấn công mạng của các quốc gia toàn trị như Trung Quốc hay Nga có thể không nhất thiết mang lại kết quả rõ ràng, các quốc gia được nêu tên này cũng không thể tích cực hỗ trợ và hợp tác, nhưng nó có thể khiến công chúng nhận thức rõ hơn các quốc gia đang hỗ trợ các cuộc tấn công của hacker, từ đó sẽ có hướng đi rõ ràng hơn trong việc lựa chọn mục tiêu phòng thủ chung trong khu vực”.

Ông Vu Hiếu Bân, cho rằng năng lực của nhóm hacker Trung Quốc sẽ vượt xa Flax Typhoon, nhưng vẫn còn nhiều hoạt động chưa bị phát hiện hoặc bẻ khóa. Ông cho biết Trung Quốc sẽ áp dụng trí tuệ nhân tạo trong các hoạt động mạng và có thể sẽ đạt được tiến bộ, điều này sẽ cải thiện đáng kể khả năng tiến hành các cuộc tấn công và phòng thủ mạng của họ.

Ông Lý Trọng Chí cho rằng trí tuệ nhân tạo thực sự là một công cụ quan trọng đối với tin tặc trong tương lai. Ông nói: “Tin tặc Trung Quốc có thể sử dụng AI (trí tuệ nhân tạo) để nhanh chóng sản xuất và chuyển đổi phần mềm cửa hậu, xâm chiếm cơ sở dữ liệu, can thiệp vào các thuật toán để đạt được hiệu quả đặt ra, tổng hợp hình ảnh tin tức giả, đưa ra các thông điệp cụ thể và tham gia vào chiến tranh nhận thức. Nó có thể thậm chí trực tiếp phá hủy cơ chế làm mát của phần cứng, gây tê liệt, tạo cảnh báo sai cho Internet Vạn vật, v.v.”

Ông chỉ ra rằng dựa trên quy luật chi phí và cạnh tranh, chỉ bằng cách thực hiện các lớp bảo vệ để tăng chi phí cho sự xâm nhập của hacker thì mới có thể phòng thủ một cách hiệu quả.

Xem thêm

FBI triệt phá nhóm tin tặc thứ 2 của ĐCSTQ: “Fax Typhoon”

Các cơ quan thực thi pháp luật của Mỹ đã tấn công nhóm tin tặc Trung Quốc thứ 2 có biệt danh “Flax Typhoon”.