Cục điều tra liên bang Mỹ vừa đưa ra một mức thưởng chưa từng có tiền lệ cho bất kì ai cung cấp thông tin về nhóm hacker Salt Typhoon khi họ có hành vi tấn công vào hệ thống mạng của Mỹ để ăn cắp dữ liệu.
Theo đó, FBI vừa chính thức thông báo treo thưởng lên đến 10 triệu đô la cho bất kỳ ai cung cấp thông tin dẫn đến việc xác định danh tính hoặc bắt giữ các thành viên của Salt Typhoon, một nhóm hacker bị cáo buộc có liên hệ với chính phủ Trung Quốc, đứng sau hàng loạt cuộc tấn công mạng nghiêm trọng nhằm vào các công ty viễn thông tại Mỹ. Để khuyến khích những người tố giác, đặc biệt là các cá nhân có thể đang sinh sống tại Trung Quốc, FBI không chỉ đưa ra phần thưởng tài chính mà còn cam kết hỗ trợ tái định cư và các hình thức hỗ trợ khác. Đồng thời, cơ quan này thiết lập các kênh nhận tin mật an toàn thông qua mạng Tor và ứng dụng nhắn tin Signal, nhằm giúp vượt qua sự kiểm duyệt Internet nghiêm ngặt của Trung Quốc.
Nhóm hacker Salt Typhoon được cho là có liên hệ với Trung Quốc
Salt Typhoon được cộng đồng an ninh mạng đánh giá là một nhóm hacker tinh vi, được cho là hoạt động dưới sự bảo trợ của Bộ An ninh Quốc gia Trung Quốc. Bên cạnh tên gọi Salt Typhoon, nhóm này còn được biết đến với nhiều tên gọi khác như RedMike, Ghost Emperor, FamousSparrow, Earth Estries và UNC2286. Theo các báo cáo từ cơ quan tình báo và các công ty an ninh mạng tư nhân, Salt Typhoon đã hoạt động ít nhất từ năm 2019, với trọng tâm là thu thập thông tin tình báo và thực hiện các chiến dịch gián điệp, đặc biệt là nhằm vào hạ tầng viễn thông tại Mỹ và nhiều quốc gia khác.
Theo những cáo buộc này, Salt Typhoon đã thâm nhập vào hệ thống mạng của hàng loạt tập đoàn viễn thông lớn tại Mỹ như Verizon, AT&T, Lumen/CenturyLink, Charter Communications, Consolidated Communications và Windstream. Phạm vi các vụ tấn công không chỉ giới hạn ở Mỹ, mà còn lan rộng ra ít nhất chín nhà cung cấp viễn thông tại Mỹ và hàng chục doanh nghiệp viễn thông khác trên toàn thế giới.
Theo đó, FBI vừa chính thức thông báo treo thưởng lên đến 10 triệu đô la cho bất kỳ ai cung cấp thông tin dẫn đến việc xác định danh tính hoặc bắt giữ các thành viên của Salt Typhoon, một nhóm hacker bị cáo buộc có liên hệ với chính phủ Trung Quốc, đứng sau hàng loạt cuộc tấn công mạng nghiêm trọng nhằm vào các công ty viễn thông tại Mỹ. Để khuyến khích những người tố giác, đặc biệt là các cá nhân có thể đang sinh sống tại Trung Quốc, FBI không chỉ đưa ra phần thưởng tài chính mà còn cam kết hỗ trợ tái định cư và các hình thức hỗ trợ khác. Đồng thời, cơ quan này thiết lập các kênh nhận tin mật an toàn thông qua mạng Tor và ứng dụng nhắn tin Signal, nhằm giúp vượt qua sự kiểm duyệt Internet nghiêm ngặt của Trung Quốc.
Nhóm hacker Salt Typhoon được cho là có liên hệ với Trung Quốc
Salt Typhoon được cộng đồng an ninh mạng đánh giá là một nhóm hacker tinh vi, được cho là hoạt động dưới sự bảo trợ của Bộ An ninh Quốc gia Trung Quốc. Bên cạnh tên gọi Salt Typhoon, nhóm này còn được biết đến với nhiều tên gọi khác như RedMike, Ghost Emperor, FamousSparrow, Earth Estries và UNC2286. Theo các báo cáo từ cơ quan tình báo và các công ty an ninh mạng tư nhân, Salt Typhoon đã hoạt động ít nhất từ năm 2019, với trọng tâm là thu thập thông tin tình báo và thực hiện các chiến dịch gián điệp, đặc biệt là nhằm vào hạ tầng viễn thông tại Mỹ và nhiều quốc gia khác.
Theo những cáo buộc này, Salt Typhoon đã thâm nhập vào hệ thống mạng của hàng loạt tập đoàn viễn thông lớn tại Mỹ như Verizon, AT&T, Lumen/CenturyLink, Charter Communications, Consolidated Communications và Windstream. Phạm vi các vụ tấn công không chỉ giới hạn ở Mỹ, mà còn lan rộng ra ít nhất chín nhà cung cấp viễn thông tại Mỹ và hàng chục doanh nghiệp viễn thông khác trên toàn thế giới.
Ngoài ra, FBI cũng cho biết rằng nhóm hacker này đã đánh cắp dữ liệu nhật ký cuộc gọi, bao gồm một số thông tin liên lạc cá nhân của rất nhiều nạn nhân, trong đó có các quan chức chính phủ Mỹ và một số nhân vật chính trị. Một điểm đáng chú ý khác là Salt Typhoon còn bị nghi ngờ đã xâm nhập vào các hệ thống được sử dụng cho các hoạt động nghe lén có sự cho phép của tòa án, làm dấy lên lo ngại về khả năng bị lộ thông tin từ các chương trình giám sát nhạy cảm.
Nhóm hacker này được cho là đã tận dụng các lỗ hổng bảo mật để đánh cắp dữ liệu cá nhân, bao gồm dữ liệu từ các quan chức chính phủ Mỹ
Các cuộc tấn công được cho là đã diễn ra liên tục trong vòng từ một đến hai năm trước khi bị phát hiện, và hiện tại, các cơ quan chức năng vẫn chưa thể khẳng định rằng nhóm hacker này đã hoàn toàn bị đẩy ra khỏi các hệ thống bị xâm nhập. Nói về cách thức tấn công, Salt Typhoon đã tận dụng các lỗ hổng bảo mật đã được công khai nhưng vẫn tồn tại trên các thiết bị và máy chủ hướng ra Internet, đặc biệt là các thiết bị router và switch của Cisco. Hai lỗ hổng chính được khai thác trong chiến dịch gần đây là CVE-2023-20198 và CVE-2023-20273, dù cả hai đều đã có bản vá từ trước đó hơn một năm.
Bên cạnh đó, nhóm này sử dụng kỹ thuật “living off the land” khi khai thác các công cụ hợp pháp có sẵn trong hệ thống như PowerShell và WMIC để di chuyển bên trong mạng, từ đó tránh bị phát hiện và duy trì quyền kiểm soát lâu dài. Salt Typhoon còn áp dụng các chiến thuật chống phân tích và xóa dấu vết, khiến cho việc phát hiện và loại bỏ sự hiện diện của nhóm này trở nên cực kỳ khó khăn.
Câu hỏi đặt ra là tại sao FBI lại trao thưởng một số tiền lớn chưa từng có tiền lệ như vậy, kèm theo các kênh tiếp nhận thông tin an toàn và ẩn danh cho người cung cấp, kể cả khi những cá nhân đang sống tại Trung Quốc. Điều này cho thấy FBI hay Mỹ đang nỗ lực thực hiện chiến lược rộng lớn nhằm ngăn chặn các chiến dịch gián điệp mạng mà Bắc Kinh bị cáo buộc đang tiến hành nhằm vào cơ sở hạ tầng trọng yếu của Mỹ. Trên thực tế, những vụ xâm nhập mà Salt Typhoon thực hiện không chỉ xâm phạm quyền riêng tư của hàng triệu người dùng, mà còn đe dọa an ninh quốc gia Mỹ khi các hệ thống giám sát nhạy cảm bị đặt vào tình trạng nguy hiểm. Hiện tại, dù đã bị vạch mặt và đang bị điều tra gắt gao, Salt Typhoon được cho là vẫn còn hoạt động đến năm 2025, và có thể vẫn duy trì quyền truy cập chưa bị phát hiện vào một số hệ thống mạng.
Nguồn: Ars Technica
