Một vụ xâm nhập mạng nghiêm trọng đã được phát hiện tại Lực lượng Phòng vệ Mặt đất Nhật Bản (JGSDF), nơi họ đã vô tình sử dụng các ổ USB nhiễm mã độc trên các máy tính kết nối với mạng quân sự mật. Sự cố kéo dài gần một năm trước khi bị phát hiện, và đáng báo động hơn là quyết định không công khai thông tin ngay cả sau khi mối đe dọa đã được xác định.
Chi tiết về lỗ hổng và mã độc
Các ổ USB nhiễm độc là sản phẩm giả mạo, được sản xuất tại Trung Quốc và bán với giá thấp hơn nhiều so với sản phẩm chính hãng. Chúng được phân phối cho JGSDF trong các hoạt động cứu trợ sau trận động đất lớn vào tháng 3 năm 2024 tại miền Trung Nhật Bản.
Tại thời điểm đó, các quy trình quét bảo mật định kỳ lẽ ra phải được thực hiện trên tất cả các thiết bị lưu trữ ngoài. Tuy nhiên, các quy trình này đã thất bại trong việc phát hiện mã độc ẩn trong các ổ USB giả mạo này.
Các nhà điều tra và phân tích từ Nikkei, thông qua việc xem xét các tài liệu quân sự nội bộ bị rò rỉ, đã phát hiện ra rằng mã độc này trùng khớp với một chủng đã được một công ty an ninh mạng Hoa Kỳ ghi nhận là có liên quan đến một nhóm tin tặc được cho là có nguồn gốc từ Trung Quốc.
Nikkei báo cáo rằng cuộc điều tra đã phơi bày một khoảng cách đáng kể giữa các quy trình bảo mật được JGSDF công bố và cách thức các quy trình đó thực sự được tuân thủ trên thực địa.
Diễn biến phát hiện mã độc
Sự cố chỉ được phát hiện vào tháng 2 năm 2025, khi một binh sĩ đóng quân tại Itami, gần Osaka, nhận thấy máy tính của mình hoạt động chậm bất thường. Một cuộc quét máy đã tiết lộ sự hiện diện của một loại virus đang âm thầm hoạt động.
Vào thời điểm phát hiện, hơn 50 máy tính đã kết nối với các ổ USB nhiễm độc. Gần một nửa trong số các hệ thống này được sử dụng để xử lý thông tin mật, bao gồm cả chi tiết về các hoạt động di chuyển của quân đội.
Phản ứng và hậu quả
Sau khi phát hiện, JGSDF đã quyết định giữ sự cố này ở nội bộ mà không thông báo cho công chúng hoặc đưa ra cảnh báo rộng rãi. Quyết định này đã vấp phải sự chỉ trích gay gắt, đặc biệt là khi các ổ USB giả mạo tương tự vẫn đang được bán trực tuyến và đã lan rộng đến các nhà máy và viện nghiên cứu trên khắp Nhật Bản, tạo ra một rủi ro lớn hơn nhiều so với phạm vi của quân đội.
Cơ chế hoạt động của mã độc
Mã độc được nhúng trong các ổ USB giả mạo này được thiết kế để tự động thực thi ngay khi ổ USB được cắm vào máy tính, không đòi hỏi bất kỳ hành động bổ sung nào từ người dùng. Sau khi kích hoạt, mã độc có thể hoạt động âm thầm, tiềm ẩn nguy cơ đánh cắp dữ liệu nhạy cảm, theo dõi hoạt động người dùng hoặc thậm chí làm hỏng hoàn toàn phần mềm hệ thống.
Một đánh giá nội bộ về sự cố JGSDF tiết lộ rằng 6 trong số 8 ổ USB được phân phối trong nỗ lực cứu trợ động đất năm 2024 đều chứa cùng một loại mã độc.
Việc virus tồn tại qua nhiều lần quét bảo mật bắt buộc cho thấy nó có thể đã được thiết kế đặc biệt để né tránh các công cụ phát hiện tiêu chuẩn trong môi trường quân sự. Loại hình né tránh mục tiêu này cho thấy một tác nhân đe dọa có nguồn lực tốt và tinh vi.
Phạm vi ảnh hưởng và khuyến nghị
Phạm vi của vụ xâm nhập vượt xa sự cố ban đầu. Báo cáo theo dõi của Nikkei cho thấy cùng loại ổ USB giả mạo, mang cùng mã độc liên quan đến Trung Quốc, đã xâm nhập vào các hệ thống bảo mật tại các nhà máy và viện nghiên cứu trên khắp Nhật Bản.
Các ổ đĩa này được bán với giá rẻ thông qua các nhà bán lẻ trực tuyến, khiến chúng dễ dàng tiếp cận với nhiều người mua mà không hề hay biết về những gì họ đang mua.
Biện pháp phòng ngừa an ninh mạng
Để ứng phó với những phát hiện này, các chuyên gia bảo mật khuyến nghị các tổ chức chỉ nên mua thiết bị lưu trữ từ các nhà cung cấp đã được xác minh và đáng tin cậy. Nên tránh các sản phẩm có giá bất thường thấp từ những người bán không rõ nguồn gốc. Tất cả các phương tiện lưu trữ di động phải được kiểm tra và quét trên các hệ thống chuyên dụng, cô lập trước khi kết nối với bất kỳ mạng hoạt động nào.
Việc thực hiện các bước này một cách chính xác có thể ngăn chặn các sự cố tương tự xảy ra trong tương lai. GSDF xác nhận rằng một ổ USB được mua bởi Bộ chỉ huy Quân đội Trung tâm JGSDF đã được phát hiện chứa mã độc vào tháng 2 năm 2025, nhưng không đưa ra thêm thông tin công khai chi tiết.
Bài học quan trọng ở đây là ngay cả phần cứng thông thường, chi phí thấp cũng có thể trở thành một điểm xâm nhập nghiêm trọng cho các mối đe dọa cấp quốc gia khi các quy trình mua sắm và bảo mật không được thực thi nghiêm ngặt. Nâng cao khả năng phòng thủ chủ động chống lại các cuộc tấn công là cần thiết. Truy cập 5 chiến thuật săn tìm mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình.
