Singapore đã công khai về một tấn công mạng đang diễn ra bởi nhóm APT UNC3886 nhằm vào cơ sở hạ tầng trọng yếu của quốc gia. Sự công bố này nổi bật với chiến lược quy kết kỹ thuật thận trọng, thay vì các liên kết chính trị rõ ràng có thể gây căng thẳng địa chính trị.
UNC3886: Mối Đe Dọa Mạng Nâng Cao và Mục Tiêu Chiến Lược
Bộ trưởng Điều phối An ninh Quốc gia K. Shanmugam đã xác nhận sự hiện diện của mối đe dọa mạng đặc biệt tinh vi này. UNC3886 được Mandiant, một công ty an ninh mạng hàng đầu thuộc Google, mô tả là một thực thể gián điệp có liên hệ chặt chẽ với Trung Quốc.
Nhóm APT này sử dụng một loạt các kỹ thuật né tránh tiên tiến. Bao gồm việc thiết lập các cơ chế truy cập dai dẳng (persistence) và triển khai các loại phần mềm độc hại tùy chỉnh (custom malware). Mục tiêu chính của chúng là các lĩnh vực chiến lược cốt lõi của Singapore như năng lượng, viễn thông và quốc phòng, nhằm thực hiện các tấn công mạng gián điệp và phá hoại.
Ông Shanmugam cũng nhấn mạnh về tiềm năng gián điệp và khả năng gây gián đoạn nghiêm trọng của nhóm. Ông lưu ý rằng số vụ việc nghi ngờ liên quan đến các tác nhân APT ở Singapore đã tăng gấp bốn lần đáng kể trong giai đoạn từ năm 2021 đến 2024, cho thấy mức độ hoạt động leo thang.
Dù vậy, ông đã thể hiện sự kiềm chế khi không trực tiếp quy kết nhóm này cho bất kỳ quốc gia cụ thể nào. Trong các bình luận sau đó, ông đã gắn nhãn các liên kết như vậy là “mang tính suy đoán,” ưu tiên thông tin kỹ thuật đã xác minh.
Chiến Lược Quy Kết Kỹ Thuật: Nền Tảng trong An Ninh Mạng Singapore
Cách tiếp cận này hoàn toàn phù hợp với ưu tiên lịch sử của Singapore về quy kết kỹ thuật dựa trên phân tích pháp y chuyên sâu. Phương pháp này tập trung vào việc thu thập và phân tích các chỉ số xâm nhập (IOCs), chiến thuật, kỹ thuật và quy trình (TTPs) cụ thể được sử dụng trong một cuộc tấn công mạng.
Việc này khác biệt đáng kể so với việc gán nhãn chính trị, vốn thường dựa nhiều hơn vào thông tin tình báo không được công khai.
Một ví dụ điển hình là sự cố phần mềm độc hại của Singtel vào tháng 11 năm 2024. Các nhà chức trách Singapore đã công khai tiết lộ về vụ xâm nhập. Tuy nhiên, họ đã tránh xác nhận các báo cáo bên ngoài liên kết sự cố này với Volt Typhoon, một nhóm APT khác bị nghi ngờ được nhà nước hậu thuẫn.
Thông tin chi tiết về Volt Typhoon có thể được tìm thấy tại: https://gbhackers.com/volt-typhoon-critical-attack/
Bằng cách kiên định tập trung vào chia sẻ threat intelligence và tăng cường an ninh hoạt động, Cơ quan An ninh Mạng Singapore (CSA) đặt mục tiêu giảm thiểu rủi ro trên toàn bộ các lĩnh vực trọng yếu. Bao gồm ngân hàng, chăm sóc sức khỏe và giao thông, qua đó hạn chế tác động của các tấn công mạng. Cách làm này giúp tránh leo thang căng thẳng ngoại giao không cần thiết.
“Gọi Tên Không Lên Án”: Động Thái Chiến Lược trong Chính Sách Đối Ngoại
Chiến thuật “gọi tên không lên án” phục vụ nhiều mệnh lệnh chiến lược then chốt trong khuôn khổ chính sách đối ngoại không liên kết của Singapore.
Trong một không gian mạng ngày càng được quân sự hóa, nơi các tác nhân nhà nước liên tục triển khai khả năng tấn công mạng tấn công, việc quy kết trực tiếp có thể làm trầm trọng thêm các đối đầu địa chính trị. Điều này đặc biệt nhạy cảm trong bối cảnh căng thẳng hiện tại giữa Mỹ và Trung Quốc.
Các công ty phương Tây như Mandiant thường xuyên quy kết các nhóm APT như Salt Typhoon hoặc Volt Typhoon cho các thực thể Trung Quốc. Những quy kết này dựa trên bằng chứng pháp y vững chắc và thông tin tình báo theo ngữ cảnh. Tuy nhiên, Singapore chủ động tránh xác nhận các quy kết này để bảo toàn tính trung lập của mình.
Hành động này giúp ngăn chặn nhận thức về sự liên kết trong các cuộc cạnh tranh mạng chiến lược, từ đó bảo vệ mối quan hệ song phương quan trọng với Trung Quốc. Bộ trưởng Ngoại giao Vivian Balakrishnan đã ca ngợi mối quan hệ này là một “điểm sáng” vào tháng 9 năm 2024 trong bối cảnh động lực toàn cầu biến động và khó lường.
Hơn nữa, việc tránh đổ lỗi ở cấp nhà nước cũng giúp giảm thiểu các rủi ro trong nước. Điều này bao gồm khả năng phát sinh hiện tượng bài ngoại có thể gây tổn hại đến sự gắn kết xã hội trong một xã hội đa dạng như Singapore, tương tự như các sự kiện đã xảy ra trong quá khứ như các cuộc tranh luận về CECA năm 2021.
Trên bình diện khu vực, với tư cách là một thành viên tích cực của ASEAN, Singapore luôn xem xét lợi ích tập thể. Chẳng hạn như các nâng cấp của Hiệp định Thương mại Tự do ASEAN-Trung Quốc (ACFTA 3.0) được ký kết vào tháng 10 năm 2025. Các nâng cấp này nhấn mạnh mạnh mẽ khả năng phục hồi kinh tế khu vực trước các gián đoạn mạng và tấn công mạng tiềm tàng.
Mặc dù phương pháp này có thể làm phức tạp phần nào việc giáo dục công chúng về động cơ thực sự của APT – thường liên quan đến các mục tiêu nhà nước như thu thập thông tin tình báo hoặc phá hoại – nó cho phép răn đe thực dụng. Điều này được thực hiện thông qua việc kiểm tra nghiêm ngặt chuỗi cung ứng và đánh giá lại các nhà cung cấp nhằm nâng cao an ninh mạng tổng thể.
Thích Ứng với Bối Cảnh An Ninh Mạng Nguy Hiểm Hơn
Ông Shanmugam đã thừa nhận sự không thể tránh khỏi của một số vi phạm an ninh. Điều này xuất phát từ nguồn lực gần như vô hạn và sự kiên trì của các đối thủ. Do đó, ông nhấn mạnh sự cần thiết cấp bách của các biện pháp phòng thủ kiên cường để chống lại các tấn công mạng ngày càng phức tạp.
Tuy nhiên, các kịch bản cực đoan vẫn có thể xảy ra. Chẳng hạn như các mối đe dọa mạng lai (hybrid threats) kết hợp cưỡng chế quân sự với các tấn công mạng gây gián đoạn quy mô lớn. Đặc biệt, nếu chúng nhắm vào các hệ thống tối quan trọng như cơ sở hạ tầng bệnh viện có thể gây nguy hiểm đến tính mạng.
Trong những trường hợp như vậy, một sự thay đổi sang chiến lược gọi tên và lên án công khai có thể sẽ được xem xét nếu lợi ích quốc gia sống còn của Singapore bị đe dọa nghiêm trọng.
Tư thế được hiệu chỉnh này phản ánh sự thích nghi liên tục của Singapore với một cảnh quan an ninh mạng “nguy hiểm hơn”. Trong bối cảnh này, các nhóm APT không ngừng khai thác các điểm yếu trong chuỗi cung ứng, thiết bị IoT và sử dụng các mạng botnet.
Một minh chứng cụ thể là sự cố botnet vào năm 2024 liên quan đến hơn 2.700 thiết bị địa phương bị lợi dụng.
Để tìm hiểu thêm về các cuộc tấn công mạng liên quan đến đăng nhập người dùng, bạn có thể tham khảo tại: https://gbhackers.com/cyberattacks-on-user-logins-jump-156/
Chiến lược bảo mật của Singapore tập trung mạnh mẽ vào việc phát hiện xâm nhập sớm, phản ứng hiệu quả và xây dựng khả năng phục hồi toàn diện cho hệ thống quốc gia.
Bạn có thể đọc thêm về chiến lược an ninh mạng của Singapore và cách họ duy trì ranh giới ngoại giao tại: https://rsis.edu.sg/rsis-publication/rsis/as-cyber-threats-grow-singapore-walks-a-careful-line-on-identifying-state-actors/
