Tin tức

10893
01
Sep

# Mỹ và Đồng minh Đối mặt với Bão Mặn: Cuộc Tấn công Mạng Toàn cầu Được Đưa ra Tình trạng Khủng hoảng Quốc phòng

Các cơ quan tình báo quốc tế, do FBI dẫn đầu, đã chính thức phân loại chiến dịch mạng “Bão Mặn” (Salt Typhoon) là một cuộc khủng hoảng quốc phòng. Tuyên bố khẩn trương này được đưa ra sau khi phát hiện sự xâm nhập rộng vào các mạng viễn thông toàn cầu bởi những tin tặc được xác nhận là do nhà nước Trung Quốc hậu thuẫn. Những tiết lộ này phơi bày một trong những hoạt động gián điệp lớn nhất từng được phát hiện, ảnh hưởng đến cơ sở hạ tầng quan trọng ở hơn 80 quốc gia.

Các tác nhân của Bão Mặn đã có hệ thống xâm phạm các bộ định tuyến cốt lõi và hệ thống quản lý hỗ trợ lưu lượng internet toàn cầu. Sự xâm phạm tinh vi này cho phép đánh cắp dữ liệu nhạy cảm từ hàng triệu người, giám sát các cuộc liên lạc, và âm thầm làm suy yếu tính toàn vẹn của mạng lưới toàn cầu trong một thời gian dài.

“Đây không chỉ đơn thuần là một cuộc xâm nhập mạng; đó là sự vũ trang hóa cơ sở hạ tầng giao tiếp thiết yếu của chúng tôi,” một quan chức tình báo cấp cao sâu tham gia vào cuộc điều tra đang diễn giải.

Vào ngày 27 tháng 8 năm 2025, một tư vấn chung đã được ban hành bởi các cơ quan chủ chốt của Hoa Kỳ—FBI, Cơ quan An ninh Hạ tầng và An ninh Mạng (CISA), Cơ quan An ninh Quốc gia (NSA), và Trung tâm Tội phạm Máy tính của Bộ Quốc phòng—hợp tác với một liên minh rộng lớn của các đối tác quốc tế từ Châu Âu, Bắc Mỹ, Nhật Bản và Úc. Tư vấn này, xa một thông báo thông thường, đã cung cấp hướng dẫn kỹ thuật rộng rãi cho những người bảo vệ mạng để phát hiện và loại bỏ mối đe dọa. Việc phát hành này nhấn mạnh một sự thay đổi quan trọng: các mạng viễn thông hiện được công nhận là chiến trường trong cuộc đấu tranh rộng lớn hơn vì an ninh quốc gia.

Giải phẫu Chiến dịch Bão Mặn

Các phương pháp được Bão Mặn sử dụng cho thấy một mức độ kiên nhẫn và tinh vi đáng lo ngại, dấu hiệu đặc trưng của các nhóm tin tặc được nhà nước Trung Quốc hậu thuẫn, nổi tiếng với các chiến lược dài hạn. Đây là một hoạt động gián điệp có phương pháp, không phải một cuộc tấn công cơ hội nhanh chóng.

1. Các Điểm Xâm nhập Ban đầu

  • Kẻ tấn công đã xâm nhập bằng cách khai thác các lỗ hổng được biết đến rộng rãi trong thiết bị mạng, bao gồm Ivanti Connect Secure (CVE-2024-21887), Palo Alto PAN-OS (CVE-2024-3400), và Cisco IOS XE (CVE-2023-20198 kết hợp với CVE-2023-20273).
  • Các nhà điều tra không tìm thấy bất kỳ bằng chứng nào về các khai thác zero-day, cho thấy thành công của các cuộc tấn công bắt nguồn từ việc các tổ chức không áp dụng các bản vá bảo mật quan trọng. Sự cẩu thả, chứ không phải các phương pháp tấn công mới lạ, đã cung cấp các điểm xâm nhập.
  • Điều này nhấn mạnh một thách thức dai dẳng: trong khi kẻ thù thể hiện sự kiên nhẫn, cách tiếp cận thoải mái về an ninh mạng giữa một số quản lý IT phương Tây vẫn là một lỗ hổng đáng kể.

2. Truy cập Bền vững tại Lõi

  • Một khi đã vào bên trong, các nhà vận hành Bão Mặn đã khéo léo thay đổi danh sách kiểm soát truy cập, thiết lập các tài khoản đặc quyền mới, và kích hoạt quản lý từ xa trên các cổng số bất thường cao.
  • Họ đã kích hoạt các dịch vụ ẩn, chẳng hạn như trình nghe SSH IOS XR trên cổng 57722, đảm bảo truy cập dài hạn và kín đáo.
  • Các hành động này cho phép họ duy trì sự hiện diện và không bị phát hiện trong nhiều tháng, và trong một số trường hợp, thậm chí nhiều năm.

3. Thu thập Dữ liệu và Di chuyển Ngang

  • Kẻ tấn công đã sao lưu lưu lượng mạng bằng cách sử dụng SPAN, RSPAN, và ERSPAN để bí mật giám sát các cuộc liên lạc.
  • Thông tin xác thực của quản trị viên đã được thu thập từ các gói TACACS+.
  • Họ sau đó di chuyển ngang qua các liên kết từ nhà cung cấp đến nhà cung cấp vào các mạng hạ nguồn, lấy cắp dữ liệu qua các đường hầm GRE và IPsec được thiết kế để bắt chước lưu lượng hợp pháp.

4. Mục tiêu Chiến lược

Chiến dịch không tập trung vào lợi ích tài chính. Thay vào đó, Bão Mặn nhắm mục tiêu vào các lĩnh vực quan trọng: nhà khai thác viễn thông, hệ thống chính phủ, trung tâm giao thông, mạng lữ quán, và thậm chí cả cơ sở hạ tầng quân sự. Mục tiêu rõ ràng là giám sát liên tục các cá nhân, cuộc liên lạc và di chuyển trên toàn thế giới.

FBI đã cảnh báo hàng trăm tổ chức Hoa Kỳ bị ảnh hưởng bởi chiến dịch này, kéo dài trên 80 quốc gia, khiến Bão Mặn trở thành một trong những hoạt động gián điệp quan trọng nhất được công bố rộng rãi.

Phản ứng Đồng bộ: FBI và Đồng minh Đối phó với Bão Mặn

Tư vấn chung ngày 27 tháng 8 đóng vai trò như một kế hoạch chiến đấu toàn diện cho những người bảo vệ an ninh mạng, cung cấp các chỉ báo cụ thể về việc bị xâm phạm, các kỹ thuật săn lùng, và các chiến lược giảm thiểu để phát hiện và trục xuất các nhà vận hành Bão Mặn.

Kỹ thuật Phát hiện và Săn lùng

  • Các tổ chức được khuyến nghị giám sát các mẫu đáng ngờ như dịch vụ SSH cổng cao kết thúc bằng “22”, các yêu cầu mã hóa kép nhắm vào Cisco IOS XE, và các bản ghi gói có tên bất thường như “tac.pcap”.
  • Quản trị viên cũng phải tìm kiếm các đường hầm mạng không giải thích được, việc chuyển hướng lưu lượng TACACS+, hoặc việc tạo tài khoản đặc quyền đột ngột, không được cấp phép.

Chỉ báo và Quy tắc cho Phòng thủ

Tư vấn cung cấp một bộ chỉ báo vững chắc về việc bị xâm phạm, bao gồm các địa chỉ IP có thể truy vết trở lại năm 2021, các quy tắc YARA cho công cụ tùy chỉnh của Bão Mặn, và các quy tắc Snort nhắm cụ thể đến các nỗ lực leo thang đặc quyền độc hại. Mức độ chi tiết kỹ thuật công cộng chưa từng có này nhấn mạnh tính nghiêm trọng của chiến dịch.

Hướng dẫn Giảm thiểu Toàn diện

Những người bảo vệ được khuyên thực hiện một phản hồi toàn diện. Các khuyến nghị chính bao gồm cô lập các máy quản lý trên các mạng chuyên dụng, thực thi các giao thức xác thực mạnh mẽ, yêu cầu đăng nhập bằng khóa công khai cho quản trị viên, và thực hiện các hoạt động trục xuất phối hợp. Việc khắc phục một phần được khuyến khích tránh, vì nó có nguy cơ cảnh báo kẻ xâm nhập mà không loại bỏ hoàn toàn họ, có thể đẩy họ sâu hơn vào mạng.

Một Liên minh Toàn cầu Thống nhất Chống lại Gián điệp Mạng

Sự quan trọng của thông báo này được khuếch đại bởi liên minh rộng rãi đứng sau nó. Ngoài FBI, NSA và CISA, tư vấn còn được đồng ký bởi các cơ quan tình báo và an ninh mạng từ Canada, Nhật Bản, Vương quốc Anh, Đức và các quốc gia đồng minh khác. Điều này đại diện cho một trong những phản hồi quốc tế rộng lớn nhất đối với một chiến dịch mạng trong lịch sử.

Như một quan chức tình báo cấp cao châu Âu đã diễn giải, “Đây không chỉ đơn thuần là một cuộc tấn công vào Hoa Kỳ. Đây là một cuộc tấn công vào niềm tin toàn cầu trong các hệ thống giao tiếp của chúng ta.”

Bão Mặn: Một Sự Tối thiểu Quốc phòng và Vai trò của Tiêu chuẩn

Các mạng viễn thông không chỉ là tài sản thương mại; chúng là huyết mạch của nền kinh tế hiện đại và hệ thần kinh của quốc phòng. Chúng cũng nằm trong số 16 lĩnh vực cơ sở hạ tầng quan trọng được lên kế hoạch để chuẩn hóa an ninh mạng nâng cao bởi các nhà quản lý Hoa Kỳ.

Bộ Quốc phòng đang dẫn đầu nỗ lực này, với các yêu cầu quốc phòng mới đòi hỏi tuân thủ Chứng nhận Mô hình Chứng nhận Sự trưởng thành An ninh Mạng (CMMC) bắt đầu từ tháng 10. Các lĩnh vực quan trọng khác được kỳ vọng sẽ theo sau nhanh chóng. Lý do là rõ ràng: nếu kẻ thù có thể giám sát lưu lượng một cách vô hình, đánh cắp thông tin xác thực quản trị viên, và chuyển hướng luồng dữ liệu, họ không chỉ đánh cắp thông tin—they đang tích cực định hình lại mặt trận.

Tư vấn liên kết rõ ràng Bão Mặn với các dịch vụ tình báo và công ty công nghệ Trung Quốc hỗ trợ trực tiếp Quân Giải phóng Nhân dân và Bộ An ninh Nhà nước. Đây không phải là tội phạm mạng vì lợi ích tài chính; đó là gián điệp do nhà nước chỉ đạo, được thiết kế để thay đổi cán cân quyền lực toàn cầu.

Đối với Hoa Kỳ, những hệ quả này đòi hỏi hành động ngay lập tức. Yêu cầu nâng cao của Bộ Quốc phòng trên toàn bộ cơ sở cung ứng, đặc biệt là khung CMMC, là sống còn. Những kỹ thuật tương tự được sử dụng để xâm phạm mạng viễn thông có thể—and có khả năng rất cao sẽ—được triển khai chống lại các nhà thầu quốc phòng và nhà thầu phụ của họ nếu các tiêu chuẩn mạnh mẽ không được thực thi và xác minh.

Lời kêu gọi Hành động Khẩn cấp cho Lãnh đạo

Chiến dịch Bão Mặn mang lại một bài học rõ ràng: sự do dự là nguy hiểm. Các nhà điều hành, CISO, và người vận hành mạng phải coi điều này như một lời kêu gọi vũ trang khẩn cấp.

  • Bán vá các Lỗ hổng bị Tấn công: Ngay lập tức giải quyết Ivanti 2024-21887, Palo Alto PAN-OS 2024-3400, và Cisco IOS XE 2023-20198 và 2023-20273. Vô hiệu hóa Smart Install và nâng cấp lên phiên bản được hỗ trợ.
  • Cô lập các Máy Quản lý: Hạn chế các giao thức như SSH, HTTPS, SNMP, TACACS+, và RADIUS đến các mạng quản lý được củng cố với các điều khiển truy cập rõ ràng.
  • Xóa bỏ Thông tin Xác thực Yếu: Thực thi SNMPv3, yêu cầu xác thực đa yếu tố (MFA), đòi hỏi đăng nhập bằng khóa công khai cho quản trị viên, và loại bỏ tất cả thông tin xác thực mặc định.
  • Săn lùng Chủ động cho Dị thường: Điều tra kỹ lưỡng các dịch vụ SSH cổng cao, các phiên sao lưu không giải thích được, hoặc bất kỳ bằng chứng nào về các bản ghi gói đáng ngờ, chẳng hạn như “tac.pcap.” Xem xét những điều này như các sự cố bảo mật nghiêm trọng.
  • Kế hoạch Trục xuất Phối hợp: Giả định sự hiện diện của nhiều cổng sau. Thu thập bằng chứng toàn diện, điều phối tất cả các hành động, và loại bỏ mối đe dọa đồng thời trên tất cả các hệ thống bị ảnh hưởng. Bất cứ gì ít hơn đều có nguy cơ chỉ đơn thuần là tín hiệu nhận thức mà không đạt được an ninh thực sự.

Khuyến nghị cho Cá nhân

Mặc dù cá nhân không thể bảo vệ được các bộ định tuyến xương sống quốc gia, họ có thể giảm đáng kể bề mặt rủi ro cá nhân của mình:

  • Thiết đặt mã PIN tài khoản và khóa chuyển cổng với các nhà cung cấp di động.
  • Kích hoạt xác thực đa yếu tố trên tất cả các tài khoản trực tuyến, tránh phụ thuộc hoàn toàn vào SMS cho MFA.
  • Kích hoạt các bảo vệ chống SIM-swap nơi có sẵn.
  • Giám sát chủ động bất kỳ hoạt động đáng ngờ nào trên tài khoản hoặc thiết bị của bạn.

Đối với những người làm việc trong lĩnh vực quốc phòng, trách nhiệm cá nhân còn lớn hơn nữa: thúc đẩy tổ chức của bạn xác nhận ngay lập tức sự sẵn sàng CMMC. Chờ đợi một cuộc kiểm toán hoặc, tệ hơn, một vụ rò rỉ, không còn là một lựa chọn nữa.

Thời gian cho Hành động là Ngay bây giờ

Bão Mặn đại diện cho một tuyên bố rõ ràng từ Bắc Kinh: trận chiến không gian mạng là toàn cầu, không khoan nhượng, và liên kết chặt chẽ với quốc phòng. Điều này không chỉ đơn thuần về một cuộc xâm nhập đơn lẻ mà là sự vũ trang hóa âm ầm của chính internet.

FBI và các đối tác của nó đã làm sáng tỏ mối đe dọa sâu sắc này và cung cấp các công cụ cần thiết để đối phó với nó. Trách nhiệm giờ đây thuộc về các nhà lãnh đạo trên mọi lĩnh vực để hành động quyết đoán. Những người trì hoãn có nguy cơ tìm thấy mạng lưới của mình bị biến thành hệ thống giám sát của người khác. Những người hành động nhanh chóng sẽ đóng vai trò quan trọng trong việc bảo vệ không chỉ doanh nghiệp của họ mà còn cả an ninh quốc gia của họ.

Ngoc Vy

Ngọc Vy là nhà báo công nghệ chuyên về trí tuệ nhân tạo, các công nghệ mới nổi và tác động xã hội của chúng. Cô kết hợp kiến thức chuyên môn sâu với những phóng sự thực tế về hệ sinh thái khởi nghiệp tại Việt Nam, từ các tranh luận về đạo đức AI đến ứng dụng công nghệ trong chính phủ. Ngọc Vy cũng đặc biệt quan tâm đến việc thu hẹp khoảng cách giới trong lĩnh vực báo chí về STEM.

Content

Content