Microsoft đang tiến hành điều tra về khả năng một vụ rò rỉ từ hệ thống cảnh báo sớm mật của mình đã cho phép các nhóm tin tặc được nhà nước Trung Quốc hậu thuẫn tiến hành các cuộc khai thác zero-day nghiêm trọng vào phần mềm SharePoint của hãng. Sự việc này đã dẫn đến việc hơn 400 tổ chức bị xâm phạm, bao gồm cả một cơ quan của Hoa Kỳ chịu trách nhiệm về vũ khí hạt nhân.
Cuộc điều tra về các vụ khai thác zero-day và rò rỉ từ chương trình MAPP của Microsoft
Tâm điểm của cuộc điều tra là Chương trình Bảo vệ Chủ động (MAPP) của Microsoft. Chương trình này được thiết kế để cung cấp cho các chuyên gia an ninh mạng thông báo trước về các lỗ hổng nghiêm trọng.
Cơ chế hoạt động của chương trình Active Protections (MAPP)
MAPP cho phép một số nhà cung cấp bảo mật đã được kiểm duyệt có quyền truy cập thông tin về lỗ hổng lên đến năm ngày trước khi công khai. Điều này nhằm mục đích tạo điều kiện cho việc phòng thủ chủ động chống lại các cuộc tấn công mạng.
Tất cả các đối tác tham gia chương trình đều phải ký thỏa thuận không tiết lộ (NDA) và chứng minh năng lực của họ. Mặc dù vậy, đây không phải lần đầu tiên có những nghi ngờ về việc rò rỉ thông tin từ chương trình này.
Nghi vấn rò rỉ dữ liệu và tiền lệ trong lịch sử MAPP
Các nguồn tin quen thuộc với vụ việc đã tiết lộ với Bloomberg rằng Microsoft nghi ngờ một thông tin mật từ các đối tác trong chương trình đã giúp những kẻ tấn công khai thác các hệ thống quan trọng chỉ vài giờ trước khi các bản vá công khai được phát hành.
Vào năm 2012, Microsoft từng công khai cáo buộc công ty Hangzhou DPtech của Trung Quốc vi phạm thỏa thuận bảo mật và làm lộ một lỗ hổng Windows nghiêm trọng. Hậu quả là công ty này đã bị loại khỏi MAPP.
Những nghi ngờ gần đây nhất cũng tương tự một sự cố vào năm 2021. Khi đó, Microsoft tin rằng hai đối tác MAPP của Trung Quốc đã làm lộ thông tin chi tiết về các lỗ hổng trên máy chủ Exchange. Những vụ rò rỉ này đã dẫn đến một chiến dịch tấn công mạng toàn cầu do nhóm Hafnium thực hiện. Đây được xem là một trong những vụ vi phạm tồi tệ nhất trong lịch sử của Microsoft, ảnh hưởng đến hàng chục nghìn hệ thống trên toàn thế giới.
Mặc dù đã có những sự cố nghiêm trọng này, vẫn chưa rõ liệu có bất kỳ cải cách nào đã được thực hiện để tăng cường chương trình MAPP hay không. Nhiều chuyên gia bảo mật hiện cảnh báo rằng một vụ rò rỉ được ghi nhận có thể gây ra mối đe dọa nghiêm trọng đến hiệu quả của sáng kiến này.
Các chiến dịch tấn công và nhóm đe dọa
Hậu quả của vụ rò rỉ này rất nghiêm trọng. Các tin tặc được cho là có liên kết với các nhóm Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603, đã được chỉ đích danh cho những vụ xâm nhập này.
Chi tiết về các cuộc xâm nhập hệ thống
Các nạn nhân của các cuộc tấn công bao gồm Cục An ninh Hạt nhân Quốc gia (National Nuclear Security Administration) của Hoa Kỳ, nhiều tập đoàn toàn cầu, và các cơ quan chính phủ khác. Các cuộc tấn công này cho thấy mức độ tinh vi và mục tiêu chiến lược của các nhóm tấn công. Đặc biệt, khả năng thực hiện khai thác zero-day đã cho phép các tác nhân đe dọa này đạt được quyền truy cập trước khi các tổ chức kịp thời vá lỗi.
Xác định các nhóm tin tặc liên quan
Các nhóm tin tặc được cho là có liên kết với chính phủ Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603, đã tận dụng lợi thế từ thông tin rò rỉ để thực hiện các cuộc tấn công nhắm mục tiêu. Sự tham gia của các nhóm này nhấn mạnh rủi ro khi thông tin lỗ hổng nhạy cảm bị lộ, đặc biệt là khi nó có thể hỗ trợ các hoạt động gián điệp mạng cấp quốc gia.
Microsoft cam kết sẽ xem xét toàn diện vụ việc và hứa hẹn thực hiện các cải tiến. Hãng cũng nhấn mạnh rằng các chương trình cảnh báo đối tác là rất quan trọng, nhưng thừa nhận những lo ngại nghiêm trọng về các vụ rò rỉ tiềm ẩn. Điều này càng làm nổi bật tầm quan trọng của việc bảo vệ thông tin lỗ hổng để ngăn chặn các cuộc khai thác zero-day.
Giao thoa giữa luật pháp Trung Quốc và An ninh mạng toàn cầu
Vấn đề nằm dưới những sự kiện này là mối lo ngại về sự giao thoa giữa luật pháp Trung Quốc và các thỏa thuận an ninh mạng quốc tế.
Quy định bắt buộc tiết lộ lỗ hổng của Trung Quốc
Một quy định năm 2021 tại Trung Quốc yêu cầu các tổ chức và nhà nghiên cứu phải báo cáo các lỗ hổng cho Bộ Công nghiệp và Công nghệ Thông tin của chính phủ trong vòng 48 giờ kể từ khi phát hiện. Quy định này có thể tạo ra một kênh tiềm năng cho thông tin nhạy cảm về các lỗ hổng bảo mật, bao gồm cả những lỗ hổng có thể bị khai thác zero-day, chảy về các cơ quan nhà nước.
Tham khảo thêm thông tin về quy định này: Quy định báo cáo lỗ hổng của Trung Quốc.
Những xung đột tiềm ẩn đối với bảo mật mạng quốc tế
Một số công ty Trung Quốc tham gia MAPP, như Beijing CyberKunlun Technology, cũng là thành viên của cơ sở dữ liệu lỗ hổng do chính phủ Trung Quốc điều hành, được giám sát bởi Bộ An ninh Quốc gia nước này.
Các nhà phân tích bảo mật, như Eugenio Benincasa từ Trung tâm Nghiên cứu An ninh tại ETH Zurich, cảnh báo rằng lòng trung thành kép này tạo ra “sự thiếu minh bạch” và những xung đột lợi ích tiềm ẩn. Đặc biệt, nó có thể ảnh hưởng đến nỗ lực ngăn chặn các cuộc khai thác zero-day trên quy mô toàn cầu.
Với một số công ty bảo mật Trung Quốc hợp tác trực tiếp với các cơ quan nhà nước và bị ràng buộc bởi các yêu cầu báo cáo nghiêm ngặt, các chuyên gia cho rằng cần phải kiểm tra khẩn cấp cách các công ty công nghệ toàn cầu quản lý thông tin lỗ hổng nhạy cảm giữa các khu vực pháp lý khác nhau.
Hậu quả và Thách thức đối với An ninh Thông tin
Khi cuộc điều tra của Microsoft diễn ra, tình hình này làm nổi bật những thách thức phức tạp tại giao điểm của kinh doanh quốc tế, an ninh mạng và địa chính trị. Đặc biệt là khi các lỗ hổng phần mềm ngày càng trở thành công cụ mạnh mẽ trong kho vũ khí của các nỗ lực tấn công mạng do nhà nước bảo trợ.
Phân tích rủi ro và nhu cầu cải cách
Khả năng thông tin lỗ hổng bị rò rỉ từ các chương trình chia sẻ thông tin như MAPP tạo ra rủi ro đáng kể. Điều này không chỉ làm suy yếu mục tiêu ban đầu của chương trình là bảo vệ hệ thống trước khi công khai mà còn cung cấp lợi thế chiến thuật cho các tác nhân đe dọa. Nhu cầu cải cách và tăng cường các biện pháp kiểm soát bảo mật trong các chương trình này là cấp thiết để ngăn chặn các cuộc khai thác zero-day trong tương lai.
Tác động sâu rộng đến lĩnh vực tấn công mạng cấp quốc gia
Sự việc này cho thấy rõ ràng cách các lỗ hổng bảo mật, đặc biệt là những lỗ hổng chưa được vá, có thể bị vũ khí hóa cho các mục đích gián điệp hoặc phá hoại cấp quốc gia. Việc thông tin về lỗ hổng, bao gồm cả chi tiết về khả năng khai thác zero-day, bị lộ cho các bên thứ ba có thể làm suy yếu nỗ lực phòng thủ của các quốc gia và doanh nghiệp, tạo ra nguy cơ lan rộng các cuộc tấn công có chủ đích.
