Google phát hiện tin tặc Trung Quốc xâm nhập mạng y tế và quốc phòng Hoa Kỳ
Trong một tiết lộ quan trọng về an ninh mạng, các nhà nghiên cứu bảo mật của Google đã phát hiện ra một hoạt động hack tinh vi có nguồn gốc từ Trung Quốc đã xâm nhập thành công vào các mạng máy tính trên khắp các lĩnh vực y tế và quốc phòng của Hoa Kỳ. Phát hiện này nêu bật mối đe dọa đang diễn ra của các cuộc tấn công mạng do nhà nước bảo trợ nhắm vào cơ sở hạ tầng quan trọng ở Hoa Kỳ.
Phát hiện sự xâm nhập
Nhóm phân tích mối đe dọa (TAG) của Google, chuyên theo dõi các hoạt động hack do nhà nước tài trợ, đã xác định hoạt động độc hại vào đầu năm nay. Các tin tặc đã sử dụng các kỹ thuật tiên tiến để duy trì sự ổn định trong các mạng mục tiêu, thể hiện mức độ phức tạp và tài nguyên cao thường liên quan đến các tác nhân quốc gia.
Hoạt động này dường như là một phần trong chiến dịch rộng lớn hơn của các tác nhân do nhà nước Trung Quốc bảo trợ nhằm thu thập thông tin tình báo và có khả năng tự chuẩn bị cho các hành động gây rối trong thời điểm căng thẳng địa chính trị. Các mục tiêu—các tổ chức y tế và tổ chức quốc phòng—đại diện cho cơ sở hạ tầng quan trọng mà nếu bị xâm phạm có thể gây ra những tác động đáng kể đến an ninh quốc gia.
Phương pháp và kỹ thuật
Nhóm hack Trung Quốc đã sử dụng cách tiếp cận nhiều giai đoạn để xâm phạm mục tiêu của họ:
- Quyền truy cập ban đầu thông qua email lừa đảo có chứa tệp đính kèm độc hại
- Khai thác lỗ hổng zero-day trong phần mềm phổ biến
- Sử dụng phần mềm độc hại tùy chỉnh được thiết kế để tránh bị phát hiện
- Thiết lập các cửa hậu liên tục trong các mạng bị xâm nhập
- Di chuyển ngang để truy cập vào hệ thống và dữ liệu nhạy cảm
Phân tích kỹ thuật của cuộc tấn công
Nhóm bảo mật của Google đã xác định được một số đặc điểm độc đáo của hoạt động cụ thể này giúp phân biệt nó với các chiến dịch hack khác đã biết của Trung Quốc:
| Kỹ thuật |
Mô tả |
Mức độ tinh vi |
| Vectơ ban đầu |
Spear email lừa đảo mạo danh chuyên gia chăm sóc sức khỏe |
Cao |
| Khai thác |
Lỗ hổng zero-day trong phần mềm y tế từ xa |
Quan trọng |
| Kiên trì |
Rootkit tùy chỉnh có khả năng chống phát hiện |
Nâng cao |
| Lọc dữ liệu |
Các kênh được mã hóa giả dạng truyền dữ liệu y tế hợp pháp |
Cao |
Phạm vi vi phạm
Các tổ chức bị ảnh hưởng trải rộng trên nhiều tiểu bang và bao gồm:
- Các bệnh viện và trung tâm y tế nghiên cứu lớn
- Các nhà thầu quốc phòng có quyền tiếp cận các dự án nhạy cảm của chính phủ
- Nhà sản xuất thiết bị y tế
- Nhà cung cấp bảo hiểm y tế
- Các nhà thầu phụ hỗ trợ hoạt động của bộ quốc phòng
Mặc dù Google chưa tiết lộ chính xác số lượng tổ chức bị xâm nhập nhưng các chuyên gia bảo mật ước tính rằng có khả năng hàng chục mục tiêu có giá trị cao đã bị ảnh hưởng, trong đó một số vi phạm đã xảy ra cách đây 18 tháng.
Phương pháp phát hiện và phản hồi của Google
Nhóm phân tích mối đe dọa của Google đã sử dụng kết hợp hệ thống phát hiện tự động và phân tích thủ công để xác định và theo dõi hoạt động tấn công. Cách tiếp cận của họ bao gồm:
- Phân tích các mẫu phần mềm độc hại được chia sẻ bởi các tổ chức bị ảnh hưởng
- Giám sát cơ sở hạ tầng chỉ huy và kiểm soát
- Theo dõi dấu chân kỹ thuật số của tin tặc trên nhiều mạng bị xâm nhập
- Hợp tác với các công ty bảo mật và cơ quan chính phủ khác
Sau khi phát hiện ra, Google đã làm việc với các tổ chức bị ảnh hưởng để giúp họ khắc phục các hành vi xâm nhập và bảo mật mạng của họ. Công ty cũng đã chia sẻ các dấu hiệu về sự xâm phạm với các cơ quan an ninh mạng để giúp ngăn ngừa sự lây nhiễm thêm.
Quyền quy cho các chủ thể nhà nước Trung Quốc
Mặc dù việc xác định các cuộc tấn công mạng do các quốc gia cụ thể thực hiện là một thách thức lớn, nhưng các nhà nghiên cứu bảo mật của Google đã xác định được một số dấu hiệu chỉ ra các nhóm do nhà nước Trung Quốc bảo trợ:
- Cơ sở hạ tầng chồng chéo với các hoạt động của Trung Quốc được ghi nhận trước đó
- Các chỉ số ngôn ngữ và văn hóa trong quy tắc và chiến thuật hoạt động
- Lựa chọn mục tiêu phù hợp với ưu tiên của tình báo Trung Quốc
- Mức độ tinh vi phù hợp với khả năng được nhà nước bảo trợ
Phát hiện của Google phù hợp với đánh giá của các công ty an ninh mạng khác và các cơ quan chính phủ Hoa Kỳ, vốn trước đây đã xác định Trung Quốc là tác nhân đe dọa dai dẳng nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ.
Ý nghĩa đối với an ninh quốc gia
Việc xâm nhập vào mạng lưới y tế và quốc phòng thể hiện mối lo ngại đáng kể về an ninh quốc gia vì một số lý do:
- Khả năng gián đoạn các hệ thống chăm sóc sức khỏe: Mạng lưới y tế bị tổn hại có thể trở thành mục tiêu gây gián đoạn trong một cuộc khủng hoảng, ảnh hưởng đến các phản ứng về sức khỏe cộng đồng.
- Đánh cắp thông tin quốc phòng nhạy cảm: Việc truy cập vào mạng lưới nhà thầu quốc phòng có thể cung cấp cho đối thủ thông tin chiến lược và kỹ thuật có giá trị.
- Các lỗ hổng trong chuỗi cung ứng: Các nhà thầu quốc phòng và thiết bị y tế thường cung cấp hàng cho nhiều cơ quan chính phủ, tạo ra các cửa hậu tiềm tàng xâm nhập vào các hệ thống nhạy cảm.
- Định vị trước cho các cuộc tấn công trong tương lai: Việc duy trì quyền truy cập vào cơ sở hạ tầng quan trọng cho phép kẻ thù có khả năng phá vỡ các hệ thống này trong các cuộc xung đột trong tương lai.
Các sự cố tương tự trước đó
Vụ việc này là một phần trong mô hình hoạt động mạng của Trung Quốc nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ. Các sự cố đáng chú ý trước đây bao gồm:
| Sự cố |
Năm |
Các lĩnh vực được nhắm mục tiêu |
Tác động |
| Hoạt động APT41 (Rồng kép) |
2020-2021 |
Chăm sóc sức khỏe, Công nghệ, Quốc phòng |
Trộm cắp tài sản trí tuệ và dữ liệu cá nhân |
| Tấn công phễu đám mây |
2017 |
Nhà cung cấp dịch vụ CNTT |
Thỏa hiệp với nhiều công ty đa quốc gia |
| Văn phòng vi phạm quản lý nhân sự |
2015 |
Chính phủ |
Trộm cắp dữ liệu điều tra lý lịch |
| Vi phạm Equifax |
2017 |
Dịch vụ tài chính |
Trộm cắp dữ liệu cá nhân nhạy cảm của 147 triệu người |
Khuyến nghị dành cho tổ chức
Trước mối đe dọa này, các chuyên gia an ninh mạng đề xuất một số biện pháp mà các tổ chức có thể thực hiện để tự bảo vệ mình:
- Triển khai xác thực đa yếu tố trên tất cả các hệ thống quan trọng
- Thường xuyên cập nhật và vá lỗi tất cả phần mềm để ngăn chặn việc khai thác các lỗ hổng đã biết
- Tiến hành đào tạo kỹ lưỡng cho nhân viên để nhận biết các nỗ lực lừa đảo
- Giám sát lưu lượng truy cập mạng để phát hiện hoạt động bất thường và khả năng đánh cắp dữ liệu
- Phân đoạn mạng để hạn chế chuyển động ngang trong trường hợp thỏa hiệp
- Xây dựng và thường xuyên kiểm tra các kế hoạch ứng phó sự cố
- Cộng tác với các công ty an ninh mạng và cơ quan chính phủ để chia sẻ thông tin về mối đe dọa
Bình luận của chuyên gia
Các chuyên gia an ninh mạng đã cân nhắc tầm quan trọng của phát hiện của Google:
Tiến sĩ Sarah Jenkins, nhà nghiên cứu an ninh mạng tại Trung tâm Nghiên cứu Chiến lược và Quốc tế, cho biết: “Vụ việc này nhấn mạnh mối đe dọa dai dẳng mà các tác nhân do nhà nước Trung Quốc bảo trợ gây ra đối với cơ sở hạ tầng quan trọng của Hoa Kỳ”. "Việc nhắm mục tiêu vào cả lĩnh vực y tế và quốc phòng cho thấy nỗ lực phối hợp nhằm thu thập thông tin tình báo và có khả năng chuẩn bị cho các hành động trong tương lai trong tình huống khủng hoảng."
James Wilson, cựu giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), nói thêm: "Điều đặc biệt đáng lo ngại là sự tinh vi và dai dẳng của những kẻ này. Họ không chỉ tìm cách đánh cắp dữ liệu mà còn thiết lập sự hiện diện lâu dài trong các mạng có thể được kích hoạt trong các cuộc xung đột địa chính trị trong tương lai."
Nhóm bảo mật của Google nhấn mạnh tầm quan trọng của việc phòng thủ tập thể trong báo cáo của họ: "Không một tổ chức nào có thể một mình chống lại những mối đe dọa này. Sự hợp tác giữa khu vực công và tư nhân là điều cần thiết để phát hiện và ứng phó với các hoạt động mạng tinh vi do nhà nước tài trợ."
Phản hồi của chính phủ
Chính phủ Hoa Kỳ vẫn chưa đưa ra tuyên bố chính thức về phát hiện của Google. Tuy nhiên, các chuyên gia an ninh mạng dự đoán rằng vụ việc có thể dẫn đến việc tăng cường giám sát các hoạt động mạng của Trung Quốc và có thể có các biện pháp trừng phạt hoặc biện pháp ngoại giao mới.
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) dự kiến sẽ đưa ra lời khuyên với các chi tiết kỹ thuật và đề xuất giảm thiểu cho các tổ chức bị ảnh hưởng. Cơ quan này trước đây đã đưa ra khuyến cáo tương tự sau các chiến dịch hack khác của Trung Quốc.
Kết luận
Việc Google phát hiện tin tặc Trung Quốc xâm nhập vào mạng lưới y tế và quốc phòng của Hoa Kỳ nêu bật cuộc chiến đang diễn ra chống lại các mối đe dọa mạng do nhà nước bảo trợ. Khi căng thẳng địa chính trị tiếp diễn, các tổ chức phải luôn cảnh giác và đầu tư vào các biện pháp an ninh mạng mạnh mẽ để bảo vệ hệ thống và dữ liệu của mình.
Vụ việc này như một lời nhắc nhở rằng cơ sở hạ tầng quan trọng ở Hoa Kỳ vẫn là mục tiêu hàng đầu của các quốc gia đối địch đang tìm cách thu thập thông tin tình báo và có khả năng làm gián đoạn các dịch vụ trong thời điểm xung đột. Mặc dù sự can thiệp của Google đã giúp giảm thiểu mối đe dọa đặc biệt này, nhưng thách thức lớn hơn trong việc bảo vệ chống lại các tác nhân tinh vi được nhà nước bảo trợ đòi hỏi nỗ lực và sự hợp tác liên tục giữa các khu vực công và tư nhân.
Khi các mối đe dọa an ninh mạng tiếp tục gia tăng, các tổ chức phải đón đầu các chiến thuật và công nghệ mới nổi để bảo vệ mạng cũng như dữ liệu nhạy cảm mà họ nắm giữ. Phát hiện của nhóm bảo mật của Google không chỉ là một chiến thắng trong trường hợp cụ thể này mà còn là minh chứng cho tầm quan trọng của nghiên cứu bảo mật chuyên dụng và thông tin về mối đe dọa trong cuộc chiến đang diễn ra chống lại các kẻ thù trên mạng.
Bài viết này dựa trên thông tin được cung cấp bởi Nhóm phân tích mối đe dọa của Google và các báo cáo của ngành an ninh mạng. Để biết thông tin mới nhất về vụ việc này, vui lòng tham khảo các tuyên bố chính thức của Google và các cơ quan chính phủ có liên quan.
Google bắt được tin tặc Trung Quốc đang ẩn nấp trong Mạng lưới y tế và quốc phòng Hoa Kỳ
https://ift.tt/PKWvzc3
Google bắt được hacker Trung Quốc đang ẩn nấp trong mạng lưới y tế và quốc phòng của Hoa Kỳ
https://ift.tt/PKWvzc3
TechOffice
