Trong số rủi ro an ninh mạng mà Mỹ đang phải đối mặt ngày nay, ít có gì đáng chú ý hơn khả năng gây hại tiềm năng của các hacker được hậu thuẫn bởi Trung Quốc, mà các quan chức hàng đầu của Mỹ đã mô tả là một “mối đe dọa xác định thời đại.”
Trong những tháng gần đây, các quan chức tình báo của Mỹ cho biết các hacker được hậu thuẫn bởi chính phủ Trung Quốc đã đào sâu vào các mạng lưới cơ sở hạ tầng quan trọng của Mỹ, bao gồm cấp nước, năng lượng và cung cấp giao thông. Mục tiêu, theo các quan chức, là chuẩn bị cho các cuộc tấn công mạng có khả năng phá hủy vào trường hợp xảy ra xung đột giữa Trung Quốc và Mỹ trong tương lai, như về một cuộc xâm lược Trung Quốc có thể xảy ra trên Đài Loan.
“Những hacker của Trung Quốc đang đặt mình trên cơ sở hạ tầng Mỹ để chuẩn bị gây hỗn loạn và gây hại thiệt hại thực sự cho người dân và cộng đồng Mỹ, nếu hoặc khi Trung Quốc quyết định rằng đến lúc phải tấn công,” Giám đốc FBI Christopher Wray nói với các nhà lập pháp vào đầu năm nay.
Chính phủ Mỹ và các đồng minh đã thực hiện hành động chống lại gia đình hacker Trung Quốc mang tên “Bão” và công bố thông tin mới về những mối đe dọa mà họ gây ra.
Trong tháng 1, Mỹ đã phá vỡ [dyez](https://techcrunch.com/2024/01/31/fbi-cisa-volt-typhoon-cyberattack-american-infastructure/ “Volt Typhoon”)[/dyez], một nhóm hacker bảo vệ bởi chính phủ Trung Quốc được giao với việc chuẩn bị cho các cuộc tấn công mạng phá hủy. Sau đó vào tháng 9, chính phủ[dyez](https://techcrunch.com/2024/09/18/u-s-government-took-control-of-a-botnet-run-by-chinese-government-hackers-says-fbi-director/ “nắm quyền điều khiển một botnet”)[/dyez] do một nhóm hacker Trung Quốc khác gọi là “Flax Typhoon” quản lý, giả mạo thành một công ty tư nhân tại Bắc Kinh và vai trò của họ là giúp che giấu các hoạt động của hacker của chính phủ Trung Quốc. Kể từ đó, một nhóm hacker được hậu thuẫn bởi Trung Quốc mới xuất hiện, được gọi là “Salt Typhoon”, có khả năng thu thập thông tin về người Mỹ – và mục tiêu tiềm năng của giám sát của Mỹ – bằng cách xâm nhập vào hệ thống chẩn đoán cuộc gọi và internet của các nhà cung cấp tại Mỹ.
Dưới đây là những gì chúng ta biết cho đến nay về các nhóm hacker Trung Quốc chuẩn bị cho chiến tranh.
## Volt Typhoon
Volt Typhoon đại diện cho một dạng mới của các nhóm hacker được hậu thuẫn bởi Trung Quốc; không chỉ nhằm vào việc đánh cắp bí mật nhạy cảm của Mỹ nữa, mà ngược lại, họ đang chuẩn bị phá hủy “khả năng tổ chức của quân đội Mỹ,” theo Giám đốc FBI.
Microsoft[dyez](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ “đầu tiên xác định”)[/dyez] Volt Typhoon vào tháng 5 năm 2023, phát hiện ra rằng những hacker này đã nhắm mục tiêu và tấn công vào thiết bị mạng như bộ định tuyến, tường lửa và VPNs, kể từ giữa năm 2021 như một phần của nỗ lực liên tục và tập trung để xâm nhập sâu hơn vào cơ sở hạ tầng quan trọng của Mỹ. Trên thực tế, khả năng cao là nhóm hacker đã hoạt động trong thời gian dài hơn;[dyez](https://techcrunch.com/2024/02/07/china-backed-volt-typhoon-hackers-have-lurked-inside-us-critical-infrastructure-for-at-least-five-years/ “có thể lên đến năm năm”)[/dyez].
Volt Typhoon đã tấn công hàng ngàn thiết bị kết nối internet trong những tháng sau báo cáo của Microsoft, khai thác lỗ hổng trong các thiết bị kết nối internet được coi là “cuối vòng đời” và do đó sẽ không nhận cập nhật bảo mật nữa. Do đó, nhóm hacker sau đó đã quản lý xâm nhập vào các môi trường IT của nhiều lĩnh vực cơ sở hạ tầng quan trọng, bao gồm hàng không, nước, năng lượng và giao thông, chuẩn bị cho việc kích hoạt các cuộc tấn công mạng phá hủy trong tương lai.
“Nhóm này không chỉ thực hiện việc thu thập thông tin tình báo yên lặng và đánh cắp bí mật như đã trở nên thông thường ở Mỹ. Họ đang thăm tính cơ sở hạ tầng quan trọng nhạy cảm để họ có thể phá vỡ các dịch vụ lớn nếu, và khi, mệnh lệnh được ra,” John Hultquist, chuyên gia phân tích chính tại công ty bảo mật Mandiant nói.
Chính phủ Mỹ[dyez](https://www.justice.gov/opa/pr/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical “nói vào tháng 1”)[/dyez] rằng họ đã thành công phá vỡ[dyez](https://techcrunch.com/2024/10/03/techcrunch-reference-guide-to-security-terminology/#botnet “một botnet”), được sử dụng bởi Volt Typhoon, bao gồm hàng ngàn bộ định tuyến mạng văn phòng nhỏ và nhà ở tại Mỹ bị nắm giữ, mà nhóm hacker Trung Quốc đã sử dụng để che giấu hoạt động ác ý nhằm vào cơ sở hạ tầng quan trọng của Mỹ. FBI cho biết họ đã loại bỏ phần mềm độc hại từ những bộ định tuyến bị nắm giữ, cắt đứt kết nối của nhóm hacker Trung Quốc với botnet.
## Flax Typhoon
Flax Typhoon, được tiết lộ lần đầu trong[dyez](https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/ “báo cáo của Microsoft vào tháng 8 năm 2023”), là một nhóm hacker được hậu thuẫn bởi Trung Quốc mà các quan chức nói đã hoạt động dưới bề ngoài của một công ty bảo mật công khai được đặt tại Bắc Kinh. Công ty, Integrity Technology Group, đã công khai công nhận mối quan hệ của mình với chính phủ Trung Quốc, theo các quan chức Mỹ.
Trong tháng 9, chính phủ Mỹ cho biết họ đã nắm quyền điều khiển một botnet khác, được sử dụng bởi Flax Typhoon, sử dụng một biến thể tùy chỉnh của[dyez](https://techcrunch.com/2017/01/18/mirai-botnet-creator-unmasked-as-ddos-protection-developer-tempted-by-the-dark-side/ “sự nổi tiếng malware Mirai”), từ hàng trăm ngàn thiết bị kết nối internet.
Các quan chức Mỹ đã[dyez](https://techcrunch.com/2024/09/18/u-s-government-took-control-of-a-botnet-run-by-chinese-government-hackers-says-fbi-director/ “nói vào thời điểm đó rằng”) botnet được điều khiển bởi Flax Typhoon được sử dụng để “tiến hành các hoạt động mạng độc hại được giả mạo thành giao thông internet hàng ngày từ các thiết bị tiêu dùng bị nhiễm.” Các công tố viên nói rằng botnet do Flax Typhoon điều khiển cho phép các hacker được hậu thuẫn bởi chính phủ Trung Quốc “xâm nhập vào các mạng ở Mỹ và trên thế giới để đánh cắp thông tin và đặt hạ cơ sở hạ tầng của chúng ta vào tình thế nguy hiểm.”
Theo hồ sơ của Microsoft về nhóm được hậu thuẫn bởi chính phủ, Flax Typhoon đã hoạt động từ giữa năm 2021, chủ yếu nhắm vào “các cơ quan chính phủ và giáo dục, công nhân sản xuất chính, và tổ chức công nghệ thông tin quan trọng ở Đài Loan.” Bộ Tư pháp nói rằng họ đã xác nhận các kết luận của Microsoft và rằng Flax Typhoon cũng “tấn công vào nhiều công ty ở Mỹ và nước ngoài.”
## Salt Typhoon
Nhóm mới nhất – và có thể nguy hiểm nhất – trong đội quân mạng của chính phủ Trung Quốc mà được phát hiện trong những tháng gần đây là Salt Typhoon.
Salt Typhoon đã thu hút sự chú ý vào tháng 10 với một hoạt động phức tạp hơn nhiều. Như[dyez](https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b “báo cáo đầu tiên của Wall Street Journal”), nhóm hacker liên kết với Trung Quốc được tin rằng đã xâm nhập vào hệ thống chẩn đoán cuộc gọi của một số nhà cung cấp viễn thông và internet của Mỹ, bao gồm AT&T, Lumen (trước đây là CenturyLink) và Verizon.
Theo[dyez](https://www.washingtonpost.com/national-security/2024/10/06/salt-typhoon-china-espionage-telecom/ “một báo cáo”), Salt Typhoon có thể đã truy cập vào các tổ chức này bằng cách sử dụng bộ định tuyến Cisco bị nhiễm. Chính phủ Mỹ được cho là đang ở giai đoạn đầu của cuộc điều tra của mình.
Trong khi quy mô của những cuộc xâm nhập vào nhà cung cấp internet vẫn chưa biết, Journal, dựa vào nguồn tin an ninh quốc gia, cho biết việc đột nhập này có thể là “một thi họa.” Bằng cách xâm nhập vào hệ thống[dyez](https://techcrunch.com/2024/10/07/the-30-year-old-internet-backdoor-law-that-came-back-to-bite/ “mà các cơ quan thực thi pháp luật sử dụng để thu thập dữ liệu của khách hàng”), Salt Typhoon có thể đã truy cập vào dữ liệu và hệ thống chứa phần lớn yêu cầu của chính phủ Mỹ – bao gồm các nhận diện tiềm năng về mục tiêu Trung Quốc của giám sát của Mỹ.
Chưa biết rằng cuộc đột nhập đã xảy ra khi nào, nhưng WSJ cho biết rằng những hacker có thể đã giữ quyền truy cập vào hệ thống chẩn đoán của nhà cung cấp internet “trong vài tháng hoặc lâu hơn.”
Nguồn: https://techcrunch.com/2024/10/13/meet-the-chinese-typhoon-hackers-preparing-for-war/
Of the cybersecurity risks facing the United States today, few loom larger than the potential sabotage capabilities posed by China-backed hackers, which top U.S. officials have described as an “epoch-defining threat.”
In recent months, U.S. intelligence officials said Chinese government-backed hackers have been burrowing deep into the networks of U.S. critical infrastructure, including water, energy and transportation providers. The goal, officials say, is to lay the groundwork for potentially destructive cyberattacks in the event of a future conflict between China and the U.S., such as over a possible Chinese invasion of Taiwan.
“China’s hackers are positioning on American infrastructure in preparation to wreak havoc and cause real-world harm to American citizens and communities, if or when China decides the time has come to strike,” FBI Director Christopher Wray told lawmakers earlier this year.
The U.S. government and its allies have since taken action against the “Typhoon” family of the Chinese hacking groups, and published new details about the threats they pose.
In January, the U.S. disrupted dubbed “Volt Typhoon,” a group of China government hackers tasked with setting the stage for destructive cyberattacks. Later in September, the feds hijacked a botnet run by another Chinese hacking group called “Flax Typhoon,” which masquerades as a private company in Beijing and whose role was to help conceal the activities of China’s government hackers. Since then, a new China-backed hacking group called “Salt Typhoon” emerged, capable of gathering intelligence on Americans — and potential targets of U.S. surveillance — by compromising the wiretap systems of U.S. phone and internet providers.
Here’s what we know so far about the Chinese hacking groups gearing up for war.
Volt Typhoon
Volt Typhoon represents a new breed of China-backed hacking groups; no longer just aimed at stealing sensitive U.S. secrets, but rather preparing to disrupt the U.S. military’s “ability to mobilize,” according to the FBI’s director.
Microsoft first identified Volt Typhoon in May 2023, finding that the hackers had targeted and compromised network equipment, such as routers, firewalls, and VPNs, since mid-2021 as part of an ongoing and concerted effort to infiltrate deeper into U.S. critical infrastructure. In reality, it’s likely the hackers were operating for much longer; potentially for as long as five years.
Volt Typhoon compromised thousands of internet-connected devices in the months following Microsoft’s report, exploiting vulnerabilities in internet-connected devices that were considered “end-of-life” and as such would no longer receive security updates. As such, the hacking group subsequently managed to compromise the IT environments of multiple critical infrastructure sectors, including aviation, water, energy, and transportation, pre-positioning itself for activating future would-be disruptive cyberattacks.
“This actor is not doing the quiet intelligence collection and theft of secrets that has been the norm in the U.S. They are probing sensitive critical infrastructure so they can disrupt major services if, and when, the order comes down,” said John Hultquist, chief analyst at security firm Mandiant.
The U.S. government said in January that it had successfully disrupted a botnet, used by Volt Typhoon, consisting of thousands of hijacked U.S.-based small office and home network routers, which the Chinese hacking group used to hide its malicious activity aimed at targeting U.S. critical infrastructure. The FBI said it was able to remove the malware from the hijacked routers, severing the Chinese hacking group’s connection to the botnet.
Flax Typhoon
Flax Typhoon, first outed in an August 2023 report from Microsoft, is another China-backed hacking group that officials say has operated under the guise of a publicly traded cybersecurity company based in Beijing. The company, Integrity Technology Group, has publicly acknowledged its connections to China’s government, according to U.S. officials.
In September, the U.S. government said it had taken control of another botnet, used by Flax Typhoon, which leveraged a custom variant of the infamous Mirai malware, made up of hundreds of thousands of internet-connected devices.
U.S. officials said at the time that the Flax Typhoon-controlled botnet was used to “conduct malicious cyber activity disguised as routine internet traffic from the infected consumer devices.” Prosecutors said the botnet run by Flax Typhoon allowed other China government-backed hackers to “hack into networks in the U.S. and around the world to steal information and hold our infrastructure at risk.”
According to Microsoft’s profile of the government-backed group, Flax Typhoon has been active since mid-2021, predominantly targeting “government agencies and education, critical manufacturing, and information technology organizations in Taiwan.” The Department of Justice said it corroborated Microsoft’s findings and that Flax Typhoon also “attacked multiple U.S. and foreign corporations.”
Salt Typhoon
The latest — and potentially most ominous — group in China’s government-backed cyber army uncovered in recent months is Salt Typhoon.
Salt Typhoon hit headlines in October for a much more sophisticated operation. As first reported by the Wall Street Journal, the China-linked hacking group is believed to have compromised the wiretap systems of several U.S. telecom and internet providers, including AT&T, Lumen (formerly CenturyLink), and Verizon.
According to one report, Salt Typhoon may have gained access to these organizations using compromised Cisco routers. The U.S. government is said to be in the early stages of its investigation.
While the scale of the internet provider compromises remains unknown, the Journal, citing national security sources, said the breach could be “potentially catastrophic.” By hacking into systems that law enforcement agencies use for court-authorized collection of customer data, the Salt Typhoon potentially gained access to data and systems that house much of the U.S. government’s requests — including the potential identities of Chinese targets of U.S. surveillance.
It’s not yet known when the breach occurred, but WSJ reports that the hackers may have held access to the internet providers’ wiretap systems “for months or longer.”
[ad_2]
