Trung Quốc Xâm Nhập Mạng Lưới Quan Trọng của Hoa Kỳ ở Guam, Gây Nên Nỗi Sợ Chiến Tranh Mạng

Như những hacker được tài trợ bởi nhà nước làm việc thay mặt cho Nga, Iran và Bắc Triều Tiên đã gây ra hỗn loạn với các cuộc tấn công mạng gây rối trên toàn thế giới suốt nhiều năm, các hacker quân sự và tình báo của Trung Quốc chủ yếu duy trì danh tiếng giới hạn các xâm nhập của họ chỉ đến gián điệp. Nhưng khi những kẻ gián điệp mạng bất ngờ xâm phạm cơ sở hạ tầng quan trọng tại Hoa Kỳ - và cụ thể là một lãnh thổ Hoa Kỳ ở ngưỡng cửa của Trung Quốc - gián điệp, kế hoạch dự phòng xung đột và leo thang chiến tranh mạng trở nên nguy hiểm nhìn chung.

Vào thứ Tư, Microsoft tiết lộ trong một bài đăng trên blog rằng họ đã theo dõi một nhóm hacker mà họ tin là được tài trợ bởi Trung Quốc đã thực hiện một chiến dịch hack rộng lớn từ năm 2021 nhằm vào các hệ thống cơ sở hạ tầng quan trọng ở các tiểu bang và Guam của Hoa Kỳ, bao gồm các lĩnh vực truyền thông, sản xuất, tiện ích, xây dựng và giao thông vận tải. 

Nhóm này, mà Microsoft đã đặt tên là Volt Typhoon, có thể chỉ có ý định gián điệp đơn giản, bởi vì dường như họ không sử dụng quyền truy cập vào những mạng lưới quan trọng đó để tiến hành phá hủy dữ liệu hoặc các cuộc tấn công tấn công khác. Nhưng Microsoft cảnh báo rằng bản chất của việc nhóm này nhắm đến, bao gồm cả ở một lãnh thổ Thái Bình Dương có thể đóng một vai trò quan trọng trong một xung đột quân sự hoặc ngoại giao với Trung Quốc, có thể kích thích loại gây rối đó.

"Hành vi quan sát cho thấy rằng nhóm đe doạ có ý định thực hiện gián điệp và duy trì quyền truy cập mà không bị phát hiện trong thời gian dài nhất có thể," đọc bài đăng trên blog của công ty. Nhưng nó kết hợp tuyên bố đó với một đánh giá với "độ tin cậy trung bình" rằng những hacker đang “phát triển khả năng có thể làm đảo lộn cơ sở hạ tầng truyền thông quan trọng giữa Hoa Kỳ và khu vực châu Á trong những khủng hoảng tương lai."

Công ty an ninh mạng Mandiant thuộc sở hữu của Google cũng cho biết họ đã theo dõi một phần của các xâm nhập của nhóm và đưa ra một cảnh báo tương tự về sự tập trung của nhóm vào cơ sở hạ tầng quan trọng “Không có kết nối rõ ràng với tài sản trí tuệ hoặc thông tin chính sách mà chúng tôi mong đợi từ một hoạt động gián điệp,” John Hultquist, người đứng đầu tình báo đe dọa tại Mandiant nói. “Điều đó dẫn chúng tôi đến câu hỏi liệu họ ở đó bởi vì mục tiêu quan trọng hay không. Lo lắng của chúng tôi là sự tập trung vào cơ sở hạ tầng quan trọng là chuẩn bị cho một cuộc tấn công có thể làm đảo lộn hoặc phá hủy trong tương lai.”

Điều này tương đồng với kết luận của Microsoft. Một người phát ngôn cho biết với MYTOUR trong một tuyên bố rằng công ty có độ tin cậy trung bình về việc nhóm này đang chuẩn bị mở rộng hoạt động của mình ra khỏi gián điệp vì “có khả năng làm đảo lộn,” nhưng không có đủ bằng chứng để chỉ ra “ý định làm đảo lộn rõ ràng." 

"Hành động của nhóm này cho thấy đây không phải là một mục tiêu độc quyền cho gián điệp," người phát ngôn viết trong tuyên bố. "Nỗ lực tập trung vào việc duy trì quyền truy cập vào những tổ chức được chọn lọc như vậy cho thấy nhóm đe doạ dự kiến sẽ tiến hành các hoạt động trong tương lai khác trên những hệ thống đó."

Bài đăng blog của Microsoft cung cấp chi tiết kỹ thuật về sự xâm nhập của nhóm hacker có thể giúp những người bảo vệ mạng nhận diện và đuổi chúng: Nhóm này, ví dụ, sử dụng các router, tường lửa và các thiết bị mạng “cạnh” khác đã bị hack như proxy để triển khai cuộc tấn công của mình - nhắm vào các thiết bị bao gồm cả những sản phẩm của các nhà sản xuất phần cứng như ASUS, Cisco, D-Link, Netgear và Zyxel. Nhóm cũng thường lợi dụng quyền truy cập từ các tài khoản bị nhiễm bệnh của người dùng hợp lệ thay vì sử dụng mã độc hại của chính mình để làm cho hoạt động của mình khó phát hiện hơn bằng cách xuất hiện như là vô hại.

Hòa mình vào lưu lượng mạng thông thường của một mục tiêu trong một nỗ lực tránh phát hiện là đặc điểm của Volt Typhoon và phương pháp tiếp cận của các đối tượng Trung Quốc khác trong những năm gần đây, theo Marc Burnard, một chuyên gia tư vấn cao cấp về nghiên cứu an ninh thông tin tại Secureworks. Giống như Microsoft và Mandiant, Secureworks đã theo dõi nhóm và quan sát chiến dịch của nó. Anh ấy thêm rằng nhóm đã thể hiện một “tập trung không ngừng vào sự thích nghi” để theo đuổi hoạt động gián điệp của mình.

Các cơ quan chính phủ Hoa Kỳ, bao gồm Cơ quan An ninh Quốc gia, Cơ quan An ninh và Cơ sở hạ tầng Mạng (CISA) và Bộ Tư pháp đã đưa ra một cảnh báo chung về hoạt động của Volt Typhoon ngày hôm nay cùng với tình báo của Canada, Anh và Úc. “Đối tác trong khu vực tư nhân đã xác định rằng hoạt động này ảnh hưởng đến các mạng lưới trong các lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ, và các cơ quan tác giả tin rằng nhóm có thể áp dụng cùng các kỹ thuật này đối với các lĩnh vực khác trên toàn thế giới,” các cơ quan viết.

Mặc dù những hacker được tài trợ bởi nhà nước Trung Quốc chưa bao giờ tiến hành một cuộc tấn công mạng gây rối đối với Hoa Kỳ - ngay cả qua nhiều thập kỷ lấy cắp dữ liệu từ hệ thống của Hoa Kỳ - nhưng những hacker của nước này đôi khi đã bị bắt gặp bên trong các hệ thống cơ sở hạ tầng quan trọng của Hoa Kỳ. Ngay từ năm 2009, các quan chức tình báo Hoa Kỳ đã cảnh báo rằng các hacker mạng Trung Quốc đã xâm nhập lưới điện của Hoa Kỳ để “vẽ bản đồ” cơ sở hạ tầng của đất nước để chuẩn bị cho một xung đột có thể xảy ra. Hai năm trước, CISA và FBI cũng đưa ra một cảnh báo rằng Trung Quốc đã xâm nhập vào đường ống dầu và khí đốt của Hoa Kỳ trong giai đoạn từ 2011 đến 2013. Những hacker của Bộ An ninh Nhà nước Trung Quốc đã đi xa hơn trong các cuộc tấn công mạng chống lại các nước láng giềng châu Á của nước này, thực sự vượt qua ranh giới của việc thực hiện cuộc tấn công phá hủy dữ liệu được ẩn danh dưới hình thức malware chuộc tiền, bao gồm cả đối với Công ty dầu của Đài Loan CPC.

Bộ xâm nhập mới nhất này được Microsoft và Mandiant nhìn thấy cho thấy rằng việc tấn công cơ sở hạ tầng quan trọng của Trung Quốc vẫn tiếp tục. Nhưng thậm chí nếu nhóm hacker Volt Typhoon thực sự muốn vượt ra khỏi gián điệp và đặt nền tảng cho các cuộc tấn công mạng, tính chất của mối đe dọa đó vẫn chưa rõ ràng. Hacker được tài trợ bởi nhà nước cuối cùng cũng thường được giao nhiệm vụ truy cập vào cơ sở hạ tầng quan trọng của đối thủ như một biện pháp chuẩn bị trong trường hợp xung đột tương lai, vì việc đạt được quyền truy cập cần thiết cho một cuộc tấn công làm đảo lộn thường đòi hỏi thời gian làm việc tiên tiến hàng tháng.

Sự mơ hồ trong động cơ của những hacker được tài trợ bởi nhà nước khi họ xâm nhập vào mạng lưới của một quốc gia khác - và khả năng hiểu lầm và leo thang từ đó - là điều mà giáo sư Ben Buchanan của Đại học Georgetown đã gọi là “định nguyên an ninh mạng” trong cuốn sách cùng tên của mình. “Tấn công mạng thực sự và xây dựng lựa chọn để tấn công sau này,” Buchanan nói với MYTOUR trong một cuộc phỏng vấn năm 2019 khi căng thẳng chiến tranh mạng gia tăng giữa Mỹ và Nga, “rất khó để phân rã."

Vẽ đường giữa gián điệp, chuẩn bị tấn công mạng và tấn công mạng sắp xảy ra là một bài tập khó khăn hơn với Trung Quốc, theo Hultquist của Mandiant, vì số lượng trường hợp hạn chế của quốc gia này kích hoạt một sự kiện làm đảo lộn số hóa - ngay cả khi nó có quyền truy cập để gây ra một sự kiện như vậy, như có thể đã xảy ra trong cuộc xâm nhập của Volt Typhoon. “Khả năng làm đảo lộn và phá hủy của Trung Quốc rất mơ hồ,” ông nói. “Ở đây chúng ta có một dấu hiệu có thể đây là một đối tượng với nhiệm vụ đó."

Cập nhật 1:50 chiều ET, ngày 25 tháng 5 năm 2023 với bình luận bổ sung từ Microsoft.