Rò Rỉ Dữ Liệu DarkForums: Lộ Diện Hoạt Động Ngầm VenusTech & Salt Typhoon

07/07/2025
5 mins read
Nội dung
Rò Rỉ Dữ Liệu Từ DarkForums: Hé Lộ Hoạt Động Ngầm Của VenusTech và Salt Typhoon
Bối Cảnh Các Vụ Rò Rỉ
Phân Tích Vụ Rò Rỉ VenusTech
Vai Trò Kép Của VenusTech
Thông Tin Mục Tiêu Bị Lộ
Khách Hàng Chính Phủ Trung Quốc
Phân Tích Vụ Rò Rỉ Salt Typhoon
Đặc Điểm Nhóm APT Salt Typhoon
Dữ Liệu Cá Nhân và Hồ Sơ Giao Dịch
Cấu Hình Thiết Bị Bị Lộ và Mạng Lưới Hoạt Động
Hàm Ý Từ Các Vụ Rò Rỉ
Các Thực Thể và Chỉ Dấu Hoạt Động Đáng Chú Ý

Rò Rỉ Dữ Liệu Từ DarkForums: Hé Lộ Hoạt Động Ngầm Của VenusTech và Salt Typhoon

Vào cuối tháng 5, diễn đàn dark web DarkForums, vốn là địa điểm rò rỉ dữ liệu chính sau khi BreachForums bị đóng cửa vào giữa tháng 4, đã chứng kiến hai vụ rò rỉ lớn liên quan đến các tổ chức an ninh mạng của Trung Quốc. Các vụ rò rỉ này liên quan đến VenusTech, một nhà cung cấp bảo mật IT nổi tiếng, và Salt Typhoon, một tổ chức đe dọa dai dẳng nâng cao (APT) do nhà nước tài trợ, có liên kết với Bộ An ninh Quốc gia (MSS).

Bối Cảnh Các Vụ Rò Rỉ

Các dữ liệu rò rỉ được đăng tải bởi hai tài khoản mới tạo là “IronTooth” và “ChinaBob”. Mặc dù dữ liệu mẫu được cung cấp có quy mô nhỏ hơn so với các vụ rò rỉ trước đây từ TopSeciSoon, nhưng thông tin bị phơi bày, từ hợp đồng chính phủ đến cơ sở hạ tầng bị xâm phạm, đã cung cấp cái nhìn sâu sắc về cấu trúc hoạt động và các mục tiêu của các thực thể này. Các thông tin này cho thấy mối liên kết phức tạp giữa ngành công nghiệp thuê hacker của Trung Quốc và các hoạt động của chính phủ nước này.

Phân Tích Vụ Rò Rỉ VenusTech

Vụ rò rỉ dữ liệu của VenusTech, được đăng vào ngày 17 tháng 5 bởi tài khoản “IronTooth”, bao gồm các tài liệu không công khai, bảng tính và hợp đồng. Những tài liệu này gợi ý về sự tham gia của công ty vào các hoạt động tấn công mạng cho các khách hàng chính phủ Trung Quốc.

Vai Trò Kép Của VenusTech

VenusTech, được thành lập vào năm 1996 và niêm yết trên Sở giao dịch chứng khoán Thâm Quyến, có lịch sử được ghi nhận về việc hợp tác với các nhóm thuê hacker như XFocus (tác giả của worm Blaster năm 2003) và Integrity Tech, một tổ chức có liên hệ với chiến dịch tấn công mạng Flax Typhoon. Điều này cho thấy VenusTech không chỉ hoạt động như một nhà cung cấp giải pháp bảo mật mà còn là một thực thể trung gian trong các hoạt động gián điệp mạng được nhà nước hậu thuẫn.

Thông Tin Mục Tiêu Bị Lộ

Các bảng tính bị rò rỉ, mặc dù thiếu tiêu đề cột, dường như mô tả chi tiết các mục tiêu tình báo và các tổ chức bị hack trên nhiều khu vực địa lý, bao gồm Hồng Kông, Ấn Độ, Đài Loan, Hàn Quốc, Croatia và Thái Lan. Một mục đáng chú ý cho thấy VenusTech có quyền truy cập vào máy chủ email của Quốc hội Hàn Quốc, với một hợp đồng cung cấp các bản cập nhật dữ liệu hàng tháng trị giá 65.000 nhân dân tệ (khoảng 9.000 USD).

Khách Hàng Chính Phủ Trung Quốc

Ngoài ra, danh sách khách hàng có chứa Mã Tín dụng Xã hội Thống nhất (Unified Social Credit Codes) chỉ ra nhiều thực thể chính phủ Trung Quốc là khách hàng của VenusTech. Các mã này là một hệ thống định danh duy nhất được sử dụng cho các tổ chức và cá nhân ở Trung Quốc, xác nhận mối quan hệ chặt chẽ giữa VenusTech và các hoạt động của nhà nước. Điều này càng nhấn mạnh vai trò kép của VenusTech vừa là nhà cung cấp bảo mật, vừa là bên hỗ trợ gián điệp mạng do nhà nước tài trợ.

Phân Tích Vụ Rò Rỉ Salt Typhoon

ChinaBob” đã đăng tải dữ liệu được cho là từ Salt Typhoon, một nhóm APT bị cáo buộc thực hiện các vụ xâm nhập cấp cao vào các công ty viễn thông của Hoa Kỳ và cơ sở hạ tầng toàn cầu, bao gồm cả Viasat, như đã được báo cáo vào năm 2024.

Đặc Điểm Nhóm APT Salt Typhoon

Salt Typhoon là một nhóm APT có liên kết rõ ràng với Bộ An ninh Quốc gia (MSS) của Trung Quốc. Nhóm này nổi tiếng với việc nhắm mục tiêu vào các cơ sở hạ tầng quan trọng và doanh nghiệp lớn, thu thập thông tin tình báo chiến lược cho chính phủ Trung Quốc. Việc rò rỉ dữ liệu từ nhóm này cung cấp một cái nhìn hiếm có về cấu trúc nội bộ và chuỗi cung ứng của một tổ chức gián điệp mạng cấp nhà nước.

Dữ Liệu Cá Nhân và Hồ Sơ Giao Dịch

Vụ rò rỉ dữ liệu Salt Typhoon bao gồm thông tin nhận dạng cá nhân (PII) của nhân viên, chẳng hạn như số chứng minh nhân dân quốc gia Trung Quốc và số điện thoại. Ngoài ra, hồ sơ giao dịch với các nhà cung cấp an ninh mạng như Qi’anxinVenusTech cũng bị phơi bày. Những hồ sơ này cho thấy mạng lưới hợp tác rộng lớn của Salt Typhoon với các công ty bảo mật và các tổ chức khác.

Dữ liệu giao dịch còn tiết lộ các giao dịch với các thực thể như PLA Unit 61419, một đơn vị quân đội có liên kết với nhóm đe dọa “Tick”, và Viện Kỹ thuật Thông tin thuộc Viện Hàn lâm Khoa học Trung Quốc, một cổ đông của iSoon. Những mối liên hệ này củng cố bằng chứng về sự hợp tác sâu rộng giữa các nhóm APT, các đơn vị quân đội và các tổ chức nghiên cứu khoa học có liên quan đến chính phủ.

Cấu Hình Thiết Bị Bị Lộ và Mạng Lưới Hoạt Động

Đáng chú ý, dữ liệu rò rỉ còn bao gồm cấu hình của 242 bộ định tuyến đã bị hack, một số trong đó được xác định là thiết bị Cisco, một mục tiêu phổ biến của Salt Typhoon. Việc phơi bày cấu hình thiết bị cung cấp thông tin chi tiết về các phương pháp xâm nhập và các loại hệ thống mà nhóm này nhắm đến.

Hơn nữa, dữ liệu đã nêu tên hai công ty chưa từng bị truy tố trước đây là Beijing Huanyu Tiangiong Information Technology Company LimitedSichuan Zhixin Ruijie Network Technology Company Limited, cùng với Sichuan Juxinhe Network Technology Company (một công ty đã bị trừng phạt), như một phần của mạng lưới hoạt động của Salt Typhoon. Điều này gợi ý một mặt trận rộng lớn hơn cho các hoạt động của MSS, cho thấy các nhóm APT thường sử dụng các công ty bình phong hoặc liên kết với các doanh nghiệp tư nhân để che giấu các hoạt động của mình.

Hàm Ý Từ Các Vụ Rò Rỉ

Mặc dù phạm vi có giới hạn, các vụ rò rỉ này đã làm nổi bật tính chất dễ bị tổn thương của hệ sinh thái không gian mạng được nhà nước Trung Quốc hậu thuẫn. Nơi mà những kẻ nội gián thường xuyên đánh cắp dữ liệu để bán trên thị trường chợ đen. Chúng cũng cho thấy sự hiện diện ngày càng tăng của tội phạm mạng Trung Quốc trong các không gian tội phạm kỹ thuật số của phương Tây. Các sự cố này là điểm mấu chốt để hiểu quy mô và sự tinh vi của các mạng lưới lính đánh thuê mạng bí mật của Trung Quốc, đặt ra những câu hỏi cấp bách về khả năng phòng thủ an ninh mạng toàn cầu chống lại các mối đe dọa được nhà nước hậu thuẫn như vậy.

Các Thực Thể và Chỉ Dấu Hoạt Động Đáng Chú Ý

  • Diễn đàn Dark Web:
    • DarkForums
    • BreachForums
  • Tài khoản Rò rỉ:
    • IronTooth
    • ChinaBob
  • Tổ chức/Công ty bị rò rỉ hoặc liên quan:
    • VenusTech (Nhà cung cấp an ninh mạng)
    • Salt Typhoon (Nhóm APT)
    • Qi’anxin (Nhà cung cấp an ninh mạng)
    • Beijing Huanyu Tiangiong Information Technology Company Limited (Công ty liên kết với Salt Typhoon)
    • Sichuan Zhixin Ruijie Network Technology Company Limited (Công ty liên kết với Salt Typhoon)
    • Sichuan Juxinhe Network Technology Company (Công ty bị trừng phạt, liên kết với Salt Typhoon)
    • XFocus (Nhóm thuê hacker, liên kết với VenusTech)
    • Integrity Tech (Nhóm thuê hacker, liên kết với VenusTech)
    • Institute of Information Engineering of Chinese Academy of Sciences (Cổ đông của iSoon, liên quan đến Salt Typhoon)
  • Nhóm đe dọa/đơn vị quân sự:
    • Flax Typhoon (Chiến dịch tấn công mạng)
    • Tick (Nhóm đe dọa)
    • PLA Unit 61419 (Đơn vị quân đội PLA)
  • Mục tiêu bị ảnh hưởng/truy cập:
    • Máy chủ email Quốc hội Hàn Quốc
    • Các công ty viễn thông Hoa Kỳ (bao gồm Viasat)
    • 242 bộ định tuyến bị hack (bao gồm thiết bị Cisco)
    • Mục tiêu tình báo ở Hồng Kông, Ấn Độ, Đài Loan, Hàn Quốc, Croatia, Thái Lan
  • Malware:
    • Blaster worm