Trung tâm Kỹ thuật và Phản ứng Khẩn cấp Mạng Quốc gia Trung Quốc (CNCERT) đã công khai cáo buộc các cơ quan tình báo Hoa Kỳ đứng sau các tấn công mạng phức tạp nhắm vào các thực thể công nghiệp quốc phòng trọng yếu của nước này. Những cáo buộc này được đưa ra dựa trên vụ xâm nhập NSA vào Đại học Bách khoa Tây Bắc năm 2022.
Các tiết lộ chi tiết về hai sự cố tiêu biểu đã nhấn mạnh việc ngành quốc phòng Trung Quốc liên tục bị nhắm mục tiêu thông qua các mối đe dọa dai dẳng nâng cao (APT).
Sự cố 1: Khai thác lỗ hổng Zero-day Microsoft Exchange
Chi tiết về chiến dịch tấn công kéo dài
Vụ việc đầu tiên diễn ra từ tháng 7 năm 2022 đến tháng 7 năm 2023. Kẻ tấn công đã khai thác một lỗ hổng zero-day chưa được công bố trước đó trong hạ tầng email Microsoft Exchange.
Họ đã xâm nhập máy chủ email của một doanh nghiệp công nghiệp quốc phòng lớn, thiết lập quyền kiểm soát liên tục trong gần 11 tháng. Việc này cho phép kẻ tấn công duy trì sự hiện diện bí mật.
Thâm nhập nội bộ và chiếm quyền
Sự xâm nhập ban đầu đã tạo điều kiện cho hoạt động di chuyển ngang (lateral movement) trong mạng nội bộ. Kẻ tấn công sử dụng bộ điều khiển miền (domain controller) làm điểm trung gian.
Từ đó, chúng đã chiếm quyền điều khiển hơn 50 thiết bị cốt lõi trong hệ thống. Điều này cho thấy khả năng mở rộng phạm vi xâm nhập của kẻ tấn công.
Cơ chế duy trì truy cập và ẩn danh
Để duy trì tính bí mật, kẻ tấn công đã triển khai các cơ chế tunnel dựa trên websocket và SSH. Chúng tạo ra các kênh mã hóa nhiều lớp để trích xuất dữ liệu nhạy cảm.
Kỹ thuật che giấu mã (code obfuscation) được sử dụng để qua mặt các hệ thống phát hiện và phản hồi điểm cuối (EDR). Lưu lượng điều khiển và chỉ huy (C2) được định tuyến qua các điểm nhảy trung gian ở các quốc gia như Đức và Phần Lan.
Điều này đảm bảo không có chữ ký độc hại rõ ràng nào có thể bị phát hiện trong suốt vòng đời của vụ xâm nhập mạng. Việc này làm phức tạp quá trình phát hiện và truy vết.
Mục tiêu dữ liệu và tài sản bị đánh cắp
Hoạt động này tập trung vào các mục tiêu có giá trị cao, bao gồm tài khoản email của 11 giám đốc điều hành cấp cao. Từ đó, chúng đã trích xuất các tài sản quan trọng.
Các tài sản này bao gồm bản thiết kế sản phẩm quân sự và thông số kỹ thuật hệ thống. Đây là những thông tin cực kỳ nhạy cảm, có thể ảnh hưởng đến an ninh quốc gia.
Sự cố 2: Khai thác lỗ hổng chuỗi cung ứng
Chi tiết về chiến dịch và lỗ hổng
Sự cố thứ hai xảy ra từ tháng 7 đến tháng 11 năm 2024, làm nổi bật các lỗ hổng trong hệ sinh thái chuỗi cung ứng. Kẻ tấn công đã khai thác các lỗ hổng truy cập trái phép trong một hệ thống quản lý tập tin điện tử.
Chúng đã cài đặt các backdoor nằm trong bộ nhớ (memory-resident backdoors) và thao túng các bộ lọc servlet của Tomcat để duy trì quyền kiểm soát lâu dài. Các kỹ thuật này cho phép kẻ tấn công giữ vững vị trí trong hệ thống.
Phương thức lây nhiễm và kiểm soát
Sử dụng các địa chỉ IP làm bàn đạp (springboard IP addresses) ở Romania và Hà Lan, những kẻ xâm nhập đã ngụy trang một tải trọng độc hại thành một gói cập nhật hệ thống hợp pháp.
Tải trọng này đã phát tán Trojan được nhắm mục tiêu trên toàn mạng nội bộ. Điều này cho phép kiểm soát chính xác hơn 300 thiết bị.
Các cơ chế lọc dựa trên từ khóa đã được sử dụng để tập trung vào các thuật ngữ như “mạng quân sự” và “mạng lõi”. Điều này giúp chúng xác định và thu thập thông tin tình báo chiến lược cụ thể.
Trích xuất dữ liệu và xóa dấu vết
Việc trích xuất dữ liệu tập trung vào các tài liệu có tính bảo mật cao, bao gồm thông số kỹ thuật giao thức liên lạc và sơ đồ kiến trúc Internet vệ tinh. Điều này cho thấy đây là hoạt động gián điệp được nhà nước bảo trợ.
Mục tiêu là phá hoại các tài sản an ninh quốc gia. Để trốn tránh phân tích pháp y, kẻ tấn công đã triển khai các quy trình làm sạch nhật ký (log sanitization routines) và giám sát thời gian thực các biện pháp phòng thủ.
Chúng liên tục thích nghi để che giấu nguồn gốc và duy trì bí mật hoạt động. Các chiến thuật này phản ánh dấu hiệu của các hoạt động tình báo chuyên nghiệp, ưu tiên truy cập dài hạn hơn là gây gián đoạn tức thì.
Các chỉ dấu xâm nhập (IOCs)
Mặc dù báo cáo không cung cấp các chỉ dấu xâm nhập cụ thể như hash file hay tên miền, nhưng đã nêu rõ các kỹ thuật và địa điểm quan trọng liên quan đến hoạt động C2 và springboard:
- Cơ chế Tunneling: Websocket-based và SSH tunneling.
- Địa điểm C2 trung gian (Sự cố 1): Đức, Phần Lan.
- Địa điểm IP bàn đạp (Sự cố 2): Romania, Hà Lan.
- Kỹ thuật duy trì: Backdoor nằm trong bộ nhớ, thao tác Tomcat servlet filters.
- Kỹ thuật trốn tránh: Che giấu mã (Code obfuscation), làm sạch nhật ký (Log sanitization).
Bối cảnh rộng hơn và ý nghĩa chiến lược
Các tiết lộ của CNCERT diễn ra trong bối cảnh tăng cường giám sát các rủi ro chuỗi cung ứng toàn cầu. Điều này đặc biệt đáng chú ý sau cuộc đối thoại gần đây giữa Cục Quản lý Không gian mạng Trung Quốc và Nvidia.
Trong đó, yêu cầu cung cấp tài liệu chứng cứ liên quan đến cáo buộc về các backdoor trong dòng chip H20 đã được đưa ra. Điều này nhấn mạnh tầm quan trọng của việc chủ động trong an ninh chuỗi cung ứng.
Sự cố này củng cố sự cần thiết phải nội địa hóa các công nghệ quan trọng. Việc phụ thuộc vào các nhà cung cấp nước ngoài đã nhiều lần khiến các tổ chức gặp phải sự thao túng và kiểm soát từ bên ngoài.
Các lỗ hổng được khai thác trong các trường hợp này là một ví dụ điển hình. Bằng cách ưu tiên phát triển trong nước, Trung Quốc đặt mục tiêu củng cố khả năng phòng thủ mạng.
Điều này giúp giảm sự phụ thuộc có thể bị các đối thủ sử dụng làm vũ khí. Các sự kiện này không chỉ làm nổi bật sự tinh vi về kỹ thuật của các nhóm APT liên quan đến Hoa Kỳ mà còn báo hiệu một cuộc cạnh tranh địa chính trị rộng lớn hơn trong không gian mạng.
Trong cuộc cạnh tranh này, bí mật công nghiệp-quân sự vẫn là mục tiêu hàng đầu cho sự thống trị tình báo. Theo báo cáo của CNCERT, các cuộc điều tra vẫn đang tiếp tục. Xem thêm tại đây.
Các tổ chức đang kêu gọi trách nhiệm giải trình quốc tế để kiềm chế các hoạt động tấn công mạng gây hấn như vậy. Điều này nhằm thúc đẩy một không gian mạng an toàn hơn cho tất cả mọi người.
