Theo cơ quan mạng hàng đầu của Hoa Kỳ, chế độ cộng sản Trung cộng đang chuẩn bị trước phần mềm độc hại trong các hệ thống của Hoa Kỳ để chuẩn bị cho một cuộc xung đột lớn.
Một khuyến nghị hôm 07/02 do Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA) đưa ra nhằm “cảnh báo các tổ chức cơ sở hạ tầng quan trọng” về những nỗ lực của Trung cộng nhằm xâm nhập, phá hoại, và phá hủy các cơ sở quan trọng của Hoa Kỳ.
“Các tác nhân mạng được nhà nước Trung cộng bảo trợ đang tìm cách định vị sẵn trong các mạng IT để phục vụ cho các cuộc tấn công mạng gây rối hoặc phá hoại nhằm vào cơ sở hạ tầng quan trọng của Hoa Kỳ trong trường hợp xảy ra khủng hoảng hoặc xung đột lớn với Hoa Kỳ,” khuyến nghị cho biết.
Phần mềm độc hại này được thiết kế “để khởi động các cuộc tấn công mạng mang tính phá hoại gây nguy hiểm cho sự an toàn thân thể của người Mỹ và cản trở sự sẵn sàng của quân đội.”
Cảnh báo nghiêm khắc này được đưa ra sau lời khai của các nhà lãnh đạo tình báo cấp cao trước Quốc hội hồi tuần trước, trong đó tiết lộ rằng Hoa Kỳ đã xóa phần mềm độc hại của Trung cộng ở hơn 600 bộ định tuyến liên quan đến cơ sở hạ tầng quan trọng của Hoa Kỳ.
Phần mềm độc hại đó nhắm mục tiêu vào cơ sở hạ tầng nước, khí đốt, năng lượng, đường sắt, hàng không, và cảng.
Ông Eric Goldstein, trợ lý giám đốc điều hành an ninh mạng của CISA, cho biết hoạt động này chỉ nhắm vào một bộ phận phần mềm độc hại Trung cộng vốn tìm cách xâm nhập vào các hệ thống của Hoa Kỳ mỗi ngày.
“Mối đe dọa này không phải là lý thuyết,” ông Goldstein nói trong cuộc họp báo hôm thứ Tư (07/02). “Điều này dựa trên những vụ xâm nhập vào cơ sở hạ tầng quan trọng của Hoa Kỳ mà đã được xác nhận. Và chúng tôi biết rằng những gì chúng tôi đã tìm thấy chỉ là phần nổi của tảng băng chìm.”
Trung cộng chuẩn bị cho các đợt tấn công vào Hoa Kỳ
Ông Goldstein cho rằng số lượng và loại phần mềm độc hại hiện đang bị các cơ quan tình báo chặn lại cho thấy sự thay đổi trong chiến lược mạng của Trung cộng nhắm vào Hoa Kỳ.
Ông nói rằng trong khi trước đây chế độ này tập trung vào trộm cắp tài sản trí tuệ và gián điệp, nhưng giờ đây họ dường như có ý định gây tổn hại về thân thể và gây hoảng loạn xã hội trong trường hợp xảy ra xung đột.
Ông nói: “Điều đáng chú ý là thông tin mà chúng tôi đang đưa ra cùng với khuyến nghị này đang phản ánh sự thay đổi chiến lược trong hoạt động mạng độc hại của Trung cộng từ tập trung vào gián điệp và trộm cắp IP sang chuẩn bị trước cho các cuộc tấn công gây rối hoặc phá hoại trong tương lai.”
Ông Goldberg nói: “Bằng chứng của chúng tôi cho thấy rõ ràng rằng các tác nhân có trụ sở tại Trung cộng đang chuẩn bị trước để tiến hành các cuộc tấn công mạng gây rối hoặc phá hoại trong tương lai mà có thể gây ảnh hưởng đến an ninh quốc gia, an ninh kinh tế, hoặc sức khỏe và an toàn cộng đồng.”
Trong mối liên quan đó, ông Goldberg cho biết KV Botnet, phần mềm độc hại mà tình báo Hoa Kỳ đã phá hủy tháng trước, đã không nhắm mục tiêu vào các cơ quan chính phủ liên bang mà thay vào đó tập trung vào các tổ chức tư nhân trợ giúp cơ sở hạ tầng quan trọng nhất của quốc gia.
Botnet đóng vai trò là một cơ chế tiếp tay cho nhóm tin tặc Trung cộng Volt Typhoon và sử dụng các thông tin đăng nhập và công cụ hợp pháp để che giấu bản thân trên phần mềm lỗi thời đã hết tuổi thọ hoạt động.
Khuyến cáo của CISA cho biết: “Sự tập trung mạnh mẽ của họ vào bảo mật hoạt động và tàng hình cho phép họ duy trì sự tồn tại lâu dài, chưa bị phát hiện.”
“Mục đích của họ là đạt được và duy trì sự ổn định trên mạng.”
Bà Cynthia Kaiser, phó trợ lý giám đốc bộ phận mạng của FBI, đã mô tả kỹ thuật này là “sống xa đất liền,” trong đó một nhóm ác ý có thể xâm nhập vào cơ sở hạ tầng hiện có bằng cách sử dụng thông tin đăng nhập đích thực và xóa mọi hoạt động bất thường.
Bà Kaiser cho biết: “Các tác nhân của Volt typhoon có thể tránh bị phát hiện bằng cách hòa nhập với các hệ thống và các hoạt động bình thường, giúp họ duy trì quyền truy cập liên tục vào các mạng được nhắm đến cho các hoạt động trong tương lai.”
“Mặc dù những thiết bị đó không còn bị nhiễm phần mềm độc hại KV Botnet nữa, nhưng chúng vẫn dễ bị lây nhiễm trong tương lai vì là thiết bị đã hết hạn sử dụng.”
Hoa Kỳ mất nhiều tháng để đưa ra phản ứng
Volt Typhoon được Microsoft báo cáo lần đầu tiên vào tháng 05/2023, lúc đó hãng này cho biết nhóm này có từ khoảng năm 2021.
Tuy nhiên, khuyến nghị mới của CISA cho rằng nhóm này thực ra đã duy trì “quyền truy cập và chỗ đứng trong một số môi trường CNTT nạn nhân trong ít nhất 5 năm,” và cũng nói rằng phần mềm độc hại của Trung cộng đã và đang ảnh hưởng đến các hệ thống của Hoa Kỳ lâu dài hơn nhiều so với những gì các quan chức nhận thức được.
Tương tự như vậy, trong khi bà Kaiser mô tả phần mềm độc hại này là “một mối đe dọa Đáng kể đối với Hoa Kỳ,” thì phản ứng liên ngành nhằm xóa bỏ phần mềm độc hại botnet này lại không diễn ra ngay lập tức.
Bà Kaiser cho biết hoạt động này được tiến hành hồi tháng 12/2023 và tháng 01/2024, hơn nửa năm sau khi Volt Typhoon được Microsoft thông báo lần đầu tiên.
Bà Kaiser không nói rõ liệu FBI có hành động ngay khi có thể tiêu diệt mối đe dọa này hay không nhưng cho biết những hoạt động như vậy đòi hỏi phải lập kế hoạch sâu rộng và sự phối hợp giữa các cơ quan.
Bà Kaiser cho biết: “Những hoạt động này thường mất một khoảng thời gian nhất định để lập kế hoạch và về mặt chuyên môn thì có thể thực hiện được.”
“FBI đã xác định rằng hành động tốt nhất là tiến hành một hoạt động chuyên môn nhằm cuối cùng vô hiệu hóa mạng botnet một cách kịp thời và theo cách phối hợp mà sẽ hạn chế khả năng của chính phủ Trung cộng trong việc nhắm mục tiêu thêm vào các tổ chức Hoa Kỳ thông qua mạng che giấu này.”
Sự chậm trễ đó có thể khiến các chuyên gia bảo mật lo ngại. Vẫn chưa rõ liệu các tác nhân được nhà nước Trung cộng hậu thuẫn đứng đằng sau phần mềm độc hại này có thể tiến hành các cuộc tấn công vào cơ sở hạ tầng của Hoa Kỳ trong thời gian dài từ khi phát hiện đến khi bị tiêu diệt hay không.
Bà Kaiser cho biết: “Chúng tôi biết rằng các mục tiêu của họ bao gồm nhiều lĩnh vực chẳng hạn như truyền thông, sản xuất, dịch vụ tiện ích, giao thông vận tải, xây dựng, hàng hải, chính phủ và công nghệ thông tin, và giáo dục.”
“Mặc dù điều này không phải là mới, nhưng những gì chúng tôi muốn nêu bật hôm nay là các chiến thuật và mức độ mở rộng của những gì chúng tôi hiện đang theo dõi.”
Các cơ quan sử dụng luật gián điệp gây tranh cãi
Quan trọng là, việc phát hiện và ứng phó của Hoa Kỳ đối với phần mềm độc hại botnet của Volt Typhoon đòi hỏi phải sử dụng một điều khoản gây tranh cãi cho phép các cơ quan tình báo thu thập dữ liệu.
Mục 702 của Đạo luật Giám sát Tình báo Ngoại quốc (FISA) cho phép giám sát không cần giấy phép đối với nhiều hệ thống thông tin liên lạc ngoại quốc mà không cần có lệnh của tòa án. Nhiều người chỉ trích luật này, kể cả ở Quốc hội, cho rằng luật này cung cấp cho các cơ quan liên bang một “cửa hậu” để lấy thông tin cá nhân của người Mỹ nếu họ trò chuyện với người ngoại quốc.
Tuy nhiên, bà Kaiser cho biết luật này là chìa khóa để phát hiện và chống lại làn sóng ngày càng nhiều phần mềm độc hại của Trung cộng nhắm vào Hoa Kỳ.
Bà nhấn mạnh một trường hợp mà trong đó các cơ quan tình báo chứng kiến mục tiêu ban đầu nhắm vào một tổ chức trong lĩnh vực giao thông vận tải thông qua thông tin được thu thập theo FISA 702, và có thể thông báo cho nạn nhân và cung cấp sự giúp đỡ.
“FISA 702 của FBI cũng xác định các tác nhân mạng khác do nhà nước Trung cộng bảo trợ đang thực hiện hoạt động tương tự,” bà Kaiser cho biết. “Và trên thực tế, chúng ta chỉ biết về việc nhiều tổ chức cơ sở hạ tầng quan trọng bị Trung cộng xâm nhập nhờ việc FBI thu thập thông tin theo FISA 702.”
FISA 702 hiện đang được gia hạn thêm 4 tháng trong khi một số thành viên Quốc hội cố gắng loại bỏ điều luật này khỏi ngân sách quốc gia.
Bà Kaiser mô tả luật này là “quan trọng” đối với các hoạt động mạng của FBI, cho rằng những mối đe dọa như vậy vẫn sẽ bị che đậy nếu không có luật này.
“Bởi vì FBI đã nhìn thấy mục tiêu ban đầu thông qua thông tin theo FISA 702, nên chúng ta có thể lấy thông tin từ đó, mang đến cho nạn nhân, và cung cấp cho họ. Điều đó giúp họ loại bỏ người Trung cộng ra khỏi hệ thống của mình trước khi họ có thể tiến xa hơn.”
“Vì các thiết bị thường được sử dụng bởi các cá nhân công dân hoặc doanh nghiệp nhỏ với nguồn lực IT và bảo mật hạn chế, nên chủ sở hữu thiết bị khó có thể xác định và giảm thiểu phần mềm độc hại botnet KV.”
ĐCS_TC tìm cách răn đe quân đội Hoa Kỳ
Khuyến nghị của CISA dường như xác nhận mối lo ngại ngày càng gia tăng rằng Đảng Cộng sản Trung cộng (ĐCS_TC) đang chuẩn bị cho một cuộc xung đột với Hoa Kỳ hoặc, tối thiểu là, cố gắng ngăn cản Hoa Kỳ can thiệp vào một cuộc xung đột mà họ khởi xướng.
Vì mục đích đó, khuyến nghị nói rằng các tin tặc Trung cộng đang “tự chuẩn bị trước” “để phá vỡ các chức năng” của cơ sở hạ tầng quan trọng mà có thể ảnh hưởng đến “Hoa Kỳ lục địa và phi lục địa cùng các lãnh thổ của nước này, trong đó có Guam,” cũng như các đồng minh của Hoa Kỳ là Úc, Cana, và New Zealand.
Ông Andrew Scott, phó giám đốc về các hoạt động của Trung cộng tại CISA, cho biết nỗ lực này có thể nhằm ngăn chặn Hoa Kỳ và các đồng minh can thiệp vào một cuộc xung đột do ĐCS_TC khởi xướng bằng cách “cản trở việc ra quyết định, trong đó có gây hoảng loạn xã hội và can thiệp vào việc khai triển các lực lượng của Hoa Kỳ.”
Ông Scott nói: “Bây giờ chúng tôi có thể xác nhận các loại xâm nhập mà chúng tôi đang thấy trong cơ sở hạ tầng quan trọng nhằm vào những nạn nhân không có giá trị thông tin tình báo nhưng sẽ có giá trị cho các mục tiêu chiến lược khác.”
Andrew Thornebrooke _ Cẩm An
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.