Bộ Quốc phòng Hoa Kỳ (DoD) đã tiết lộ rằng một nhóm tấn công dai dẳng nâng cao (APT) được biết đến với tên gọi Salt Typhoon, và được xác định công khai là các tác nhân do nhà nước Trung Quốc tài trợ, đã thâm nhập thành công vào mạng lưới Lực lượng Vệ binh Quốc gia của một bang Hoa Kỳ. Sự kiện này đánh dấu một sự gia tăng đáng kể về các mối đe dọa không gian mạng.
Sự cố Xâm nhập và Khung thời gian Ảnh hưởng
Cuộc xâm nhập này diễn ra từ tháng 3 năm 2024 đến tháng 12 năm 2024, tạo điều kiện thuận lợi cho khả năng rò rỉ dữ liệu quân sự và thực thi pháp luật nhạy cảm. Sự cố đã khai thác các kỹ thuật tinh vi để di chuyển ngang (lateral movement) qua các hệ thống được kết nối, làm nổi bật các lỗ hổng trong cơ sở hạ tầng liên bang-bang hỗn hợp.
Các cơ quan chức năng đang tiến hành phân tích pháp y (forensic analysis) liên tục để đánh giá toàn bộ phạm vi thu thập thông tin dữ liệu (data reconnaissance) và các cơ chế duy trì kiểm soát và điều khiển (C2 persistence mechanisms) tiềm năng được những kẻ tấn công sử dụng.
Kỹ thuật Khai thác và Mục tiêu của Salt Typhoon
Theo một bản ghi nhớ tháng 6 từ Bộ An ninh Nội địa (DHS), trong đó nêu chi tiết các phát hiện của Lầu Năm Góc, Salt Typhoon đã thực hiện một cuộc xâm nhập rộng lớn, khai thác các cấu hình mạng sai (network misconfigurations) và có thể là các lỗ hổng zero-day để duy trì quyền truy cập trái phép. Bản ghi nhớ này, được thu thập thông qua yêu cầu Đạo luật Tự do Thông tin (FOIA) của tổ chức phi lợi nhuận Property of the People và chia sẻ với NBC News, không xác định bang bị ảnh hưởng nhưng nhấn mạnh khả năng của tin tặc trong việc lập bản đồ cấu trúc liên kết nội bộ, thu thập thông tin nhận dạng cá nhân (PII) của các quân nhân, và vẽ sơ đồ kiến trúc mạng.
Dữ liệu thu thập được này có thể tạo điều kiện cho các chiến dịch lừa đảo spear-phishing hoặc các cuộc tấn công chuỗi cung ứng (supply-chain attacks) sau đó chống lại các thực thể cấp bang khác, bao gồm cả những thực thể tích hợp với các trung tâm hợp nhất thực thi pháp luật ở ít nhất 14 bang.
Cuộc tấn công mới nhất này nhấn mạnh khả năng của nhóm APT trong việc chuyển từ các điểm truy cập ban đầu như các thiết bị biên dễ bị tổn thương (vulnerable edge devices) hoặc phần mềm chưa được vá (unpatched software) sang các phân đoạn mạng sâu hơn, có khả năng sử dụng kỹ thuật đổ thông tin xác thực (credential dumping) và leo thang đặc quyền (privilege escalation) để truy cập vào các kho lưu trữ dữ liệu được phân loại.
Đặc điểm Hoạt động và Lịch sử của Salt Typhoon
Salt Typhoon nổi tiếng với các khuôn khổ phần mềm độc hại mô-đun (modular malware frameworks) và các chiến thuật né tránh (evasion tactics). Nhóm này có lịch sử khai thác chuỗi (chaining exploits) trên các lĩnh vực cơ sở hạ tầng quan trọng.
Trong các sự cố trước đây, nhóm này đã xâm nhập các nhà cung cấp dịch vụ viễn thông lớn như AT&T và Verizon, cho phép giám sát cấp nghe lén (wiretap-level surveillance) các mục tiêu cao cấp, bao gồm liên lạc từ các chiến dịch tranh cử tổng thống của Harris và Trump, và văn phòng của Lãnh đạo Đa số Thượng viện Chuck Schumer.
Chỉ số Nhận dạng Kẻ tấn công (IoCs)
Mặc dù không có các IoC cụ thể như địa chỉ IP hoặc hàm băm (hash), các chỉ dấu hành vi và thực thể liên quan đến mối đe dọa này bao gồm:
- Tên nhóm APT: Salt Typhoon (còn được công khai là các tác nhân do nhà nước Trung Quốc tài trợ).
- Chiến thuật và Kỹ thuật:
- Khai thác cấu hình mạng sai (network misconfigurations).
- Có thể là khai thác lỗ hổng zero-day.
- Di chuyển ngang (lateral movement) qua các hệ thống được kết nối.
- Sử dụng các cơ chế duy trì kiểm soát và điều khiển (C2 persistence mechanisms).
- Khuôn khổ phần mềm độc hại mô-đun (modular malware frameworks) và chiến thuật né tránh (evasion tactics).
- Khai thác chuỗi (chaining exploits) trên các lĩnh vực cơ sở hạ tầng quan trọng.
- Đổ thông tin xác thực (credential dumping) và leo thang đặc quyền (privilege escalation).
- Kỹ thuật “sống ngoài vùng đất” (living-off-the-land – LotL) và che dấu payload (obfuscated payloads).
- Thực thể hỗ trợ: Một công ty có trụ sở tại Tứ Xuyên bị Bộ Tài chính Hoa Kỳ áp đặt lệnh trừng phạt vào tháng 1, bị cáo buộc hỗ trợ hoạt động của MSS (Bộ An ninh Quốc gia Trung Quốc), với vai trò phát triển các khai thác tùy chỉnh (custom exploits) và cơ sở hạ tầng C2 cho các chiến dịch của Salt Typhoon.
Phản ứng và Thách thức trong Việc Loại bỏ
DoD đã từ chối bình luận, trong khi người phát ngôn của Cục Vệ binh Quốc gia thừa nhận vi phạm, tuyên bố rằng nó không làm gián đoạn các nhiệm vụ nhưng các cuộc điều tra tiếp tục đánh giá sự tồn tại của rootkit và các cài đặt cửa hậu (backdoor implants) tiềm năng.
Các quan chức Trung Quốc, thông qua người phát ngôn đại sứ quán tại Washington, đã bác bỏ sự liên quan trực tiếp, khẳng định thiếu bằng chứng thuyết phục liên kết Salt Typhoon với Bộ An ninh Quốc gia (MSS). Họ coi các cuộc tấn công không gian mạng là một thách thức chung, lặp lại các tuyên bố phủ nhận giữa các bằng chứng ngày càng tăng.
Để đối phó, Bộ Tài chính Hoa Kỳ đã áp đặt các lệnh trừng phạt vào tháng 1 đối với một công ty có trụ sở tại Tứ Xuyên bị cáo buộc hỗ trợ hoạt động của MSS, với lý do vai trò của công ty này trong việc phát triển các khai thác tùy chỉnh và cơ sở hạ tầng C2 cho các chiến dịch của Salt Typhoon.
Các nỗ lực loại bỏ vẫn còn nhiều thách thức; Talos Intelligence của Cisco đã báo cáo các trường hợp nhóm duy trì thời gian tồn tại (dwell times) vượt quá ba năm thông qua các payload bị che dấu (obfuscated payloads) và kỹ thuật “sống ngoài vùng đất” (living-off-the-land – LotL), làm phức tạp việc phát hiện bởi các công cụ phát hiện và phản hồi điểm cuối (endpoint detection and response – EDR).
Theo báo cáo, các gã khổng lồ viễn thông như AT&T và Verizon đã tuyên bố kiểm soát được tình hình, nhưng việc trục xuất hoàn toàn là khó nắm bắt, vì các dấu vết còn sót lại (residual artifacts) có thể cho phép tái nhập thông qua các tín hiệu ngủ đông (dormant beacons).
Hàm ý Chiến lược và Đề xuất Phòng thủ
Sự cố này làm tăng thêm lo ngại về các hoạt động không gian mạng của các quốc gia mục tiêu vào các mạng lưới quốc phòng hỗn hợp, nơi các tích hợp cấp bang tạo ra các điểm yếu có thể bị khai thác. Với kiến trúc vai trò kép của Lực lượng Vệ binh Quốc gia, giao tiếp với chính quyền bang và các cơ quan địa phương, sự xâm nhập có thể đã cung cấp các vectơ cho các cuộc xâm nhập theo tầng (cascading compromises), khuếch đại khả năng thu thập thông tin tình báo của Bắc Kinh trên các hệ thống liên bang.
Các chuyên gia an ninh mạng cảnh báo rằng nếu không tăng cường kiến trúc không tin cậy (zero-trust architectures), củng cố xác thực đa yếu tố (multi-factor authentication hardening) và săn lùng mối đe dọa theo thời gian thực (real-time threat hunting), các cuộc xâm nhập APT tương tự có thể lan rộng, có khả năng mang lại lợi thế chiến lược trong các căng thẳng địa chính trị.
Khi các cuộc điều tra tiếp tục, sự vi phạm này là một lời nhắc nhở rõ ràng về bối cảnh mối đe dọa đang phát triển, nơi các đối thủ dai dẳng như Salt Typhoon khai thác các hệ sinh thái được kết nối để thống trị thông tin tình báo dài hạn.
