#SựKiệnHômNay: Các hệ thống ở đảo Guam bị tấn công bởi phần mềm độc hại Trung Quốc
Các cơ quan tình báo Mỹ đã phát hiện ra một phần mềm độc hại do nhóm tin tặc của chính phủ Trung Quốc cài đặt. Phần mềm này được gọi là “web shell” và có tính năng tàng hình cao, được chạy qua các thiết bị tiêu dùng thông thường và các bộ định tuyến gia đình để khó bị theo dõi. Đây là một phần của nỗ lực thu thập thông tin tình báo rộng lớn của Trung Quốc bao trùm không gian mạng, không gian bên ngoài và tầng khí quyển thấp hơn.
Nhiều cơ quan chức năng của nước Mỹ đã hợp tác với nhau để đưa ra tư vấn và các cảnh báo về mối đe dọa này từ phần mềm độc hại Trung Quốc. Trung Quốc cũng đã gửi cảnh báo tới các công ty của mình để cảnh giác với việc hack của Mỹ.
Việc tấn công hệ thống viễn thông ở đảo Guam đặc biệt quan trọng đối với Trung Quốc vì thông tin liên lạc quân sự thường dựa trên các mạng thương mại. Điều này khiến cho việc bảo vệ an ninh mạng trở thành một vấn đề cấp bách. Chính quyền Mỹ đã tập trung vào việc bảo vệ cơ sở hạ tầng quan trọng và thực thi các tiêu chuẩn an ninh mạng mới.
Việc tấn công này khiến cho các quan hệ giữa Mỹ và Trung Quốc ngày càng căng thẳng. Tổng thống Biden dự đoán rằng các mối quan hệ này sẽ bắt đầu tan băng rất nhanh.
Nguồn: https://www.nytimes.com/2023/05/24/us/politics/china-guam-malware-cyber-microsoft.html
Vào khoảng thời gian FBI đang kiểm tra thiết bị thu được từ khinh khí cầu do thám Trung Quốc bị bắn rơi ngoài khơi bờ biển Nam Carolina vào tháng 2, các cơ quan tình báo Mỹ và Microsoft đã phát hiện ra điều mà họ lo ngại là một kẻ xâm nhập đáng lo ngại hơn: mã máy tính bí ẩn xuất hiện trong hệ thống viễn thông ở đảo Guam. và những nơi khác ở Hoa Kỳ.
Mã này, mà Microsoft cho rằng đã được cài đặt bởi một nhóm tin tặc của chính phủ Trung Quốc, đã gióng lên hồi chuông cảnh báo vì đảo Guam, với các cảng ở Thái Bình Dương và căn cứ không quân rộng lớn của Mỹ, sẽ là trung tâm của bất kỳ phản ứng quân sự nào của Mỹ đối với một cuộc xâm lược hoặc phong tỏa Đài Loan. Hoạt động được tiến hành với tính năng tàng hình cao, đôi khi chạy qua các bộ định tuyến gia đình và các thiết bị tiêu dùng thông thường khác có kết nối internet, để khiến việc xâm nhập khó bị theo dõi hơn.
Mã này được gọi là “web shell”, trong trường hợp này là một tập lệnh độc hại cho phép truy cập từ xa vào máy chủ. Bộ định tuyến gia đình đặc biệt dễ bị tấn công, đặc biệt là các mẫu cũ chưa có phần mềm và biện pháp bảo vệ cập nhật.
không giống như khinh khí cầu mê hoặc người Mỹ khi nó thực hiện cướp biển trên các địa điểm hạt nhân nhạy cảm, mã máy tính không thể bị bắn hạ trên truyền hình trực tiếp. Vì vậy, thay vào đó, Microsoft vào thứ Tư công bố chi tiết của mã điều đó sẽ giúp người dùng doanh nghiệp, nhà sản xuất và những người khác có thể phát hiện và xóa nó. Trong một bản phát hành phối hợp, Cơ quan An ninh Quốc gia — cùng với các cơ quan trong nước khác và các đối tác ở Úc, Anh, New Zealand và Canada — xuất bản một tư vấn dài 24 trang đề cập đến phát hiện của Microsoft và đưa ra những cảnh báo rộng hơn về một “nhóm hoạt động được phát hiện gần đây” từ Trung Quốc.
Microsoft gọi nhóm tin tặc là “Bão Volt” và nói rằng đây là một phần trong nỗ lực do nhà nước Trung Quốc tài trợ nhằm vào không chỉ cơ sở hạ tầng quan trọng như thông tin liên lạc, tiện ích điện và khí đốt, mà còn cả hoạt động hàng hải và vận tải. Hiện tại, các cuộc xâm nhập dường như là một chiến dịch gián điệp. Nhưng người Trung Quốc có thể sử dụng mã, được thiết kế để xuyên tường lửa, để kích hoạt các cuộc tấn công phá hoại, nếu họ muốn.
Cho đến nay, Microsoft cho biết, không có bằng chứng nào cho thấy nhóm người Trung Quốc đã sử dụng quyền truy cập cho bất kỳ cuộc tấn công nào. Không giống như các nhóm của Nga, tin tặc quân sự và tình báo Trung Quốc thường ưu tiên hoạt động gián điệp.
Trong các cuộc phỏng vấn, các quan chức chính quyền cho biết họ tin rằng đoạn mã này là một phần trong nỗ lực thu thập thông tin tình báo rộng lớn của Trung Quốc bao trùm không gian mạng, không gian bên ngoài và, như người Mỹ đã phát hiện ra với sự cố khinh khí cầu, tầng khí quyển thấp hơn.
Chính quyền Biden đã từ chối thảo luận về những gì FBI tìm thấy khi họ kiểm tra thiết bị được thu hồi từ quả bóng bay. Nhưng chiếc máy bay – được mô tả đúng hơn là một phương tiện bay khổng lồ – dường như bao gồm các radar chuyên dụng và thiết bị đánh chặn liên lạc mà FBI đã kiểm tra kể từ khi khinh khí cầu bị bắn hạ.
Không rõ liệu sự im lặng của chính phủ về phát hiện của họ từ khinh khí cầu có được thúc đẩy bởi mong muốn ngăn chính phủ Trung Quốc biết những gì Hoa Kỳ đã học được hay để vượt qua vi phạm ngoại giao sau vụ xâm nhập.
Vào Chủ nhật, phát biểu tại một cuộc họp báo ở Hiroshima, Nhật Bản, Tổng thống Biden đã đề cập đến việc sự cố khinh khí cầu đã làm tê liệt các cuộc trao đổi vốn đã lạnh nhạt giữa Washington và Bắc Kinh như thế nào.
Ông nói với các phóng viên: “Và sau đó, chiếc khinh khí cầu ngớ ngẩn này chở thiết bị gián điệp có giá trị bằng hai chiếc xe chở hàng đang bay qua Hoa Kỳ, và nó đã bị bắn hạ, và mọi thứ thay đổi theo cách nói chuyện với nhau”.
Ông dự đoán rằng các mối quan hệ sẽ “bắt đầu tan băng rất nhanh.”
Trung Quốc chưa bao giờ thừa nhận việc xâm nhập vào các mạng của Mỹ, ngay cả trong ví dụ lớn nhất: đánh cắp hồ sơ kiểm tra an ninh của khoảng 22 triệu người Mỹ – bao gồm sáu triệu bộ dấu vân tay – từ Văn phòng Quản lý Nhân sự dưới thời chính quyền Obama. Việc đánh cắp dữ liệu đó kéo dài hơn một năm và dẫn đến một thỏa thuận giữa Tổng thống Barack Obama và Chủ tịch Tập Cận Bình dẫn đến sự suy giảm nhanh chóng hoạt động mạng độc hại của Trung Quốc.
Vào thứ Tư, Trung Quốc đã gửi một cảnh báo tới các công ty của mình để cảnh giác với việc hack của Mỹ. Và cũng có rất nhiều điều như vậy: Trong các tài liệu do Edward Snowden, cựu nhà thầu của NSA, công bố, có bằng chứng về những nỗ lực của Mỹ nhằm xâm nhập vào hệ thống của Huawei, gã khổng lồ viễn thông Trung Quốc, cũng như các mục tiêu quân sự và lãnh đạo.
Các mạng viễn thông là mục tiêu chính của tin tặc và hệ thống ở Guam đặc biệt quan trọng đối với Trung Quốc vì thông tin liên lạc quân sự thường dựa trên các mạng thương mại.
Tom Burt, giám đốc điều hành đơn vị tình báo mối đe dọa của Microsoft, cho biết trong một cuộc phỏng vấn rằng các nhà phân tích của công ty – nhiều người trong số họ là cựu chiến binh của Cơ quan An ninh Quốc gia và các cơ quan tình báo khác – đã tìm thấy mã “trong khi điều tra hoạt động xâm nhập ảnh hưởng đến một cảng của Hoa Kỳ.” Khi truy ngược lại vụ xâm nhập, họ phát hiện các mạng khác cũng bị tấn công, “bao gồm một số mạng trong lĩnh vực viễn thông ở Guam.”
Anne Neuberger, phó cố vấn an ninh quốc gia về công nghệ mạng và công nghệ mới nổi, nói rằng những nỗ lực bí mật “như hoạt động bị phơi bày ngày hôm nay là một phần trong những gì thúc đẩy chúng tôi tập trung vào bảo mật mạng viễn thông và sự cấp bách trong việc sử dụng các nhà cung cấp đáng tin cậy” có thiết bị đáp ứng yêu cầu đã được thiết lập. tiêu chuẩn an ninh mạng.
Bà Neuberger đã đi đầu trong nỗ lực của chính phủ liên bang nhằm thực thi các tiêu chuẩn an ninh mạng mới cho cơ sở hạ tầng quan trọng. Các quan chức đã rất ngạc nhiên trước mức độ dễ bị tổn thương trong cơ sở hạ tầng đó khi một Cuộc tấn công ransomware của Nga vào Colonial Pipeline vào năm 2021 đã làm gián đoạn dòng chảy xăng, dầu diesel và nhiên liệu máy bay ở Bờ Đông. Sau vụ tấn công, chính quyền Biden đã sử dụng các quyền hạn ít được biết đến của Cơ quan Quản lý An ninh Giao thông vận tải — cơ quan quản lý các đường ống dẫn — để buộc các tiện ích của khu vực tư nhân tuân theo một loạt các nhiệm vụ về an ninh mạng.
Giờ đây, bà Neuberger đang thúc đẩy cái mà bà gọi là “sự tập trung không ngừng vào việc cải thiện an ninh mạng cho các đường ống, hệ thống đường sắt, hệ thống cấp nước và các dịch vụ quan trọng khác của chúng tôi,” bao gồm các nhiệm vụ về thực hành an ninh mạng cho các lĩnh vực này và hợp tác chặt chẽ hơn với các công ty có “khả năng hiển thị độc đáo ” thành các mối đe dọa đối với cơ sở hạ tầng như vậy.
Những công ty đó bao gồm Microsoft, Google, Amazon và nhiều công ty viễn thông có thể thấy hoạt động trên các mạng nội địa. Các cơ quan tình báo, bao gồm cả NSA, bị luật pháp cấm hoạt động bên trong Hoa Kỳ. Nhưng NSA được phép công bố các cảnh báo, như đã làm hôm thứ Tư, cùng với FBI và Cơ quan Quản lý Cơ sở hạ tầng và An ninh Mạng của Bộ An ninh Nội địa.
Báo cáo của cơ quan này là một phần trong động thái tương đối mới của chính phủ Hoa Kỳ nhằm công bố dữ liệu đó một cách nhanh chóng với hy vọng đốt cháy các hoạt động giống như hoạt động của chính phủ Trung Quốc. Trong những năm trước, Hoa Kỳ thường giữ lại những thông tin như vậy — đôi khi phân loại thông tin đó — và chỉ chia sẻ thông tin đó với một số công ty hoặc tổ chức được chọn. Nhưng điều đó hầu như luôn đảm bảo rằng tin tặc có thể đi trước chính phủ rất nhiều.
Trong trường hợp này, việc tập trung vào đảo Guam đã đặc biệt thu hút sự chú ý của các quan chức đang đánh giá khả năng của Trung Quốc — và sự sẵn sàng của nước này — tấn công hoặc bóp nghẹt Đài Loan. Ông Tập đã ra lệnh cho Quân đội Giải phóng Nhân dân có khả năng chiếm đảo trước năm 2027. Nhưng giám đốc CIA, William J. Burns, đã lưu ý trước Quốc hội rằng mệnh lệnh đó “không có nghĩa là ông ấy đã quyết định tiến hành một cuộc xâm lược.”
Trong hàng chục cuộc tập trận trên bàn của Hoa Kỳ được tiến hành trong những năm gần đây để vạch ra một cuộc tấn công như vậy có thể trông như thế nào, một trong những động thái được dự đoán đầu tiên của Trung Quốc sẽ là cắt đứt liên lạc của Mỹ và làm chậm khả năng phản ứng của Hoa Kỳ. Vì vậy, các cuộc tập trận hình dung các cuộc tấn công vào vệ tinh và thông tin liên lạc mặt đất, đặc biệt là xung quanh các cơ sở của Mỹ, nơi các khí tài quân sự sẽ được huy động.
Không nơi nào lớn hơn đảo Guam, nơi Căn cứ Không quân Andersen sẽ là điểm khởi đầu cho nhiều nhiệm vụ của Lực lượng Không quân để giúp bảo vệ hòn đảo, và một cảng Hải quân rất quan trọng đối với tàu ngầm Mỹ.
