Nhóm Tin Tặc Liên Kết với Trung Quốc Xâm Nhập Lưới Điện—Một Lần Nữa

Liên kết lỏng lẻo của những kẻ tin tặc nguồn gốc Trung Quốc được gọi là APT41 nổi tiếng với việc thực hiện một số kế hoạch hack táo bạo nhất liên quan đến Trung Quốc trong thập kỷ qua. Phương pháp của họ đa dạng từ chuỗi tấn công chuỗi cung ứng phần mềm đã đặt mã độc vào các ứng dụng phổ biến đến một lối vào vào tội phạm mạng hướng lợi nhuận đã đi xa đến mức đánh cắp quỹ giúp đỡ dịch từ chính phủ Mỹ. Bây giờ, một nhóm tin tặc có vẻ là chi nhánh của nhóm này đã chuyển sự tập trung của họ sang một loại mục tiêu lo lắng khác: lưới điện.

Hôm nay, các nhà nghiên cứu thuộc Nhóm Thợ Săn Đe Dọa tại công ty an ninh thuộc sở hữu của Broadcom, Symantec, đã tiết lộ rằng một nhóm tin tặc Trung Quốc có liên kết với APT41, mà Symantec gọi là RedFly, đã xâm nhập vào mạng máy tính của lưới điện quốc gia ở một quốc gia châu Á—tuy Symantec từ chối tiết lộ tên quốc gia bị nhắm đến. Sự xâm nhập bắt đầu từ tháng 2 năm nay và kéo dài ít nhất sáu tháng khi những kẻ tin tặc mở rộng vết bám của họ trong toàn bộ hệ thống mạng IT của cơ quan điện quốc gia đó, tuy nhiên không rõ là họ đã đến gần đâu trong việc có khả năng làm gián đoạn quá trình phát điện hoặc truyền tải điện.

Quốc gia không tên mà lưới điện của họ bị nhắm đến trong sự xâm nhập là một quốc gia mà Trung Quốc sẽ “quan tâm đến từ góc độ chiến lược,” gợi ý Dick O'Brien, một chuyên gia phân tích tình báo chính trên nhóm nghiên cứu của Symantec. O'Brien lưu ý rằng Symantec không có bằng chứng trực tiếp cho việc tin tặc đang tập trung vào hủy hoại lưới điện của quốc gia đó, và nói rằng có khả năng họ chỉ đang thực hiện gián điệp. Nhưng các nhà nghiên cứu khác tại công ty an ninh Mandiant chỉ ra những dấu hiệu cho thấy những kẻ tin tặc này có thể là những người đã được phát hiện trước đó đang tấn công các công ty điện ở Ấn Độ. Và với các cảnh báo gần đây về nhóm tin tặc Trung Quốc xâm nhập vào các mạng lưới lưới điện ở các tiểu bang Hoa Kỳ và ở Guam—và cụ thể là đang chuẩn bị cho việc gây ra mất điện—O'Brien cảnh báo có lý do để tin rằng Trung Quốc có thể đang làm điều tương tự trong trường hợp này.

“Có tất cả các lý do để tấn công vào các mục tiêu cơ sở hạ tầng quốc gia quan trọng,” O'Brien nói. “Nhưng bạn luôn phải tự hỏi liệu một [lý do] có thể là để giữ lại khả năng gây rối. Tôi không nói rằng họ sẽ sử dụng nó. Nhưng nếu có mất hòa bình giữa hai quốc gia, bạn có thể nhấn nút.”

Khám Phá Của Symantec Đến Ngay Sau Cảnh Báo Từ Microsoft và Các Cơ Quan Hoạt Động Tại Hoa Kỳ Bao Gồm Cơ Quan An Ninh và Cơ Sở Hạ Tầng (CISA) và Cơ Quan An Ninh Quốc Gia (NSA) Rằng Một Nhóm Tin Tặc Được Tài Trợ Bởi Nhà Nước Trung Quốc Khác Biệt Gọi Là Volt Typhoon Đã Xâm Nhập Các Công Ty Điện Ở Hoa Kỳ, Bao Gồm Ở Lãnh Thổ Guam—Có Thể Đang Làm Sẵn Sàng Cho Các Cuộc Tấn Công Mạng Trong Trường Hợp Xung Đột, Như Một Mối Đe Dọa Quân Sự Liên Quan Đến Đài Loan. The New York Times Sau Đó Báo Cáo Rằng Các Quan Chức Chính Phủ Đặc Biệt Lo Ngại Rằng Mã Độc Hại Đã Được Đặt Trong Những Mạng Lưới Đó Để Tạo Ra Khả Năng Cắt Điện Cho Các Cơ Sở Quân Sự Của Hoa Kỳ.

Thực Tế, Nỗi Sợ Hãi Về Sự Quan Tâm Mới Của Trung Quốc Đối Với Việc Tin Tặc Lưới Điện Trở Lại Hai Năm Trước, Khi Công Ty An Ninh Mạng Recorded Future Cảnh Báo Vào Tháng 2 Năm 2021 Rằng Nhóm Tin Tặc Được Tài Trợ Bởi Nhà Nước Trung Quốc Đã Đặt Mã Độc Hại Trong Các Mạng Lưới Lưới Điện Ở Ấn Độ Lân Cận—Cũng Như Các Mạng Lưới Đường Sắt Và Cảng Biển—Trong Bối Cảnh Xung Đột Biên Giới Giữa Hai Quốc Gia Này. Recorded Future Viết Lúc Đó Rằng Sự Xâm Nhập Dường Như Nhằm Mục Đích Là Có Khả Năng Gây Mất Điện Ở Ấn Độ, Tuy Nhiên Công Ty Nói Rằng Không Rõ Ràng Rằng Chiến Lược Này Có Thiết Kế Để Gửi Một Tin Nhắn Đến Ấn Độ Hay Là Để Có Được Một Khả Năng Thực Tế Trước Xung Đột Quân Sự, Hoặc Cả Hai.

Một Số Bằng Chứng Cho Thấy Chiến Dịch Tin Tặc Năm 2021 Nhắm Vào Ấn Độ Và Sự Xâm Nhập Mới Vào Lưới Điện Được Phát Hiện Bởi Symantec Có Thể Đều Do Cùng Một Nhóm Tin Tặc Thực Hiện Với Liên Kết Với Tổ Chức Rộng Lớn Của Các Tin Tặc Được Tài Trợ Bởi Nhà Nước Trung Quốc Được Gọi Là APT41, Đôi Khi Được Gọi Là Wicked Panda Hoặc Barium. Symantec Lưu Ý Rằng Những Tin Tặc Thực Hiện Sự Xâm Nhập Vào Lưới Điện Mà Nó Theo Dõi Sử Dụng Một Mảnh Mã Độc Hại Được Biết Đến Là ShadowPad, Được Một Nhóm Con Của APT41 Triển Khai Năm 2017 Để Nhiễm Bệnh Các Máy Tính Trong Một Cuộc Tấn Công Chuỗi Cung Ứng Mà Mã Nguồn Mã Nguồn Bị Nhiễm Bệnh Được Phân Phối Bởi Công Ty Phần Mềm Mạng NetSarang Và Trong Một Số Sự Kiện Kể Từ Đó. Năm 2020, Năm Nghi Ngờ Là Thành Viên Của APT41 Được Truy Cứu Và Được Xác Định Là Làm Việc Cho Một Nhà Thầu Của Bộ An Ninh Nhà Nước Trung Quốc Được Biết Đến Là Chengdu 404. Nhưng Ngay Cả Trong Năm Ngoái, Cơ Quan An Ninh Mỹ Cảnh Báo Rằng Tin Tặc Trong APT41 Đã Đánh Cắp Triệu Đô La Trong Quỹ Hỗ Trợ Covid-19 Của Hoa Kỳ, Một Trường Hợp Hiếm Hoi Của Tội Phạm Mạng Được Tài Trợ Bởi Nhà Nước Nhắm Đến Một Chính Phủ Khác.

Mặc Dù Symantec Không Liên Kết Nhóm Tin Tặc Xâm Nhập Lưới Điện Mà Nó Gọi Là RedFly Với Bất Kỳ Tổ Chức Con Cụ Thể Nào Của APT41, Các Nhà Nghiên Cứu Tại Công Ty An Ninh Mạng Mandiant Chú Ý Rằng Cả Sự Xâm Nhập RedFly Và Chiến Dịch Tin Tặc Vào Lưới Điện Ấn Độ Cách Đây Nhiều Năm Đã Sử Dụng Cùng Một Miền Làm Một Máy Chủ Kiểm Soát Và Lệnh Cho Mã Độc Hại Của Họ: Websencl.com. Điều Đó Gợi Ý Rằng Nhóm RedFly Có Thể Thực Sự Liên Kết Với Cả Hai Trường Hợp Xâm Nhập Lưới Điện, Theo John Hultquist, Người Dẫn Dắt Tình Báo Đe Dọa Tại Mandiant. (Với Việc Symantec Không Đặt Tên Quốc Gia Châu Á Nào Mà RedFly Nhắm Đến, Hultquist Thêm Rằng Đó Có Thể Thực Sự Là Ấn Độ Lần Nữa.)

Nói Chung, Hultquist Nhìn Nhận Sự Xâm Nhập RedFly Là Một Dấu Hiệu Lo Ngại Rằng Trung Quốc Đang Chuyển Sự Tập Trung Của Mình Về Việc Tấn Công Mạnh Mẽ Hơn Vào Các Mục Tiêu Hạ Tầng Quan Trọng Như Lưới Điện. Trong Nhiều Năm, Trung Quốc Chủ Yếu Tập Trung Vào Tin Tặc Được Tài Trợ Bởi Nhà Nước Về Mục Đích Gián Điệp, Ngay Cả Khi Những Quốc Gia Khác Như Nga Và Iran Đã Cố Gắng Xâm Nhập Các Công Ty Điện Trong Những Nỗ Lực Rõ Ràng Nhằm Đặt Mã Độc Hại Có Khả Năng Gây Ra Mất Điện Chiến Thuật. Nhóm Tin Tặc Tình Báo Quân Sự Nga Sandworm, Ví Dụ, Đã Cố Gắng Gây Ra Ba Lần Mất Điện Ở Ukraine—Hai Trong Số Đó Đã Thành Công. Một Nhóm Nga Khác Liên Quan Đến Cơ Quan Tình Báo FSB Của Họ Được Biết Đến Là Berserk Bear Đã Lặp Lại Xâm Nhập Vào Lưới Điện Của Hoa Kỳ Để Có Được Một Khả Năng Tương Tự, Nhưng Chưa Bao Giờ Cố Gắng Gây Ra Một Sự Cản Trở.

Với Sự Xâm Nhập Lưới Điện Trung Quốc Mới Nhất Này, Hultquist Lập Luận Rằng Bây Giờ Đã Bắt Đầu Xuất Hiện Rằng Một Số Nhóm Tin Tặc Trung Quốc Có Thể Có Một Nhiệm Vụ Tương Tự Như Nhóm Berserk Bear Đó: Giữ Lại Quyền Truy Cập, Triển Khai Mã Độc Hại Cần Thiết Cho Mục Đích Phá Hoại, Và Chờ Lệnh Để Giao Payload Của Cuộc Tấn Công Mạng Này Tại Một Thời Điểm Chiến Lược. Và Nhiệm Vụ Đó Đồng Nghĩa Với Việc Những Tin Tặc Mà Symantec Bắt Gặp Trong Lưới Điện Của Quốc Gia Châu Á Không Tên Sẽ Gần Như Chắc Chắn Quay Lại, Ông Nói.

“Họ phải duy trì quyền truy cập, điều đó có nghĩa là họ có thể sẽ quay lại ngay đó. Họ bị bắt, họ điều chỉnh lại, và họ xuất hiện trở lại,” nói Hultquist. “Yếu tố quan trọng ở đây là khả năng của họ để duy trì mục tiêu—cho đến khi đến lúc kích nổ.”