Google: Hacker lừa 24 nhà ngoại giao Đông Nam Á cài phần mềm độc hại

Theo Google Threat Intelligence Group, những cuộc tấn công này sử dụng kỹ thuật social engineering (kỹ nghệ xã hội, hay hình thức lừa đảo dựa trên thao túng tâm lý) và phần mềm độc hại giả dạng các bản cập nhật phần mềm vô hại, được cho là do nhóm UNC6384 thực hiện, dựa trên bằng chứng kỹ thuật.

Thuật ngữ “UNC” được dùng để chỉ hoạt động tấn công mạng có mối liên hệ với nhau nhưng chưa được quy cho một nhóm hacker cụ thể. Nói cách khác, khi các nhà nghiên cứu an ninh mạng phát hiện nhiều cuộc tấn công có dấu hiệu tương đồng nhưng chưa đủ thông tin để gán cho một nhóm hacker đã biết đến, họ sẽ tạm thời đặt tên dạng “UNC + số” cho các hoạt động đó.

Khoảng 24 nạn nhân đã tải xuống phần mềm độc hại này, theo Patrick Whitsell - kỹ sư an ninh cấp cao của Google. Dù Google không tiết lộ quốc tịch của các nhà ngoại giao ở Đông Nam Á bị ảnh hưởng, Patrick Whitsell nói với hãng tin Bloomberg rằng ông tin chắc rằng kẻ tấn công "liên quan đến Trung Quốc”.

Google cho biết hacker đã xâm nhập vào mạng Wi-Fi của mục tiêu, sau đó lợi dụng quyền truy cập này để lừa các nhà ngoại giao tải xuống phần mềm độc hại có tên SOGU.SEC giả dạng plug-in của Adobe. Sau đó, SOGU.SEC được cài đặt trực tiếp vào bộ nhớ thiết bị để tránh bị phát hiện, Patrick Whitsell giải thích.

“Tôi cho rằng các nhà ngoại giao thường có những tài liệu rất nhạy cảm trên laptop phục vụ cho công việc hàng ngày. Khi đã xâm nhập được thiết bị đó, hacker có thể lấy những tài liệu này”, Patrick Whitsell tiết lộ, nhưng cho biết ông không thể xác định được có bao nhiêu dữ liệu đã bị gửi đi hoặc bị mất.

Google tiết lộ 24 nhà ngoại giao ở Đông Nam Á bị hacker lừa cài phần mềm độc hại SOGU.SEC - Ảnh: Bloomberg

Căng thẳng an ninh mạng giữa Mỹ và Trung Quốc

Báo cáo trên có thể làm gia tăng căng thẳng về an ninh mạng giữa Mỹ và Trung Quốc.

Tháng trước, Microsoft cảnh báo các nhóm hacker Trung Quốc đã khai thác lỗ hổng trong phần mềm SharePoint của hãng để xâm nhập các tổ chức trên toàn cầu.

SharePoint là nền tảng phần mềm do Microsoft phát triển, chủ yếu được sử dụng để lưu trữ, chia sẻ, quản lý tài liệu và hợp tác nội bộ trong các tổ chức, doanh nghiệp. Nói cách khác, SharePoint giống mạng nội bộ, nơi mọi người trong công ty có thể truy cập các file tài liệu, chia sẻ thông tin, cộng tác trên cùng một dự án và làm việc nhóm một cách hiệu quả hơn.

Đến tháng 8, chính phủ Trung Quốc lại cáo buộc gián điệp Mỹ tấn công mạng vào các công ty quân sự của nước châu Á này thông qua một lỗ hổng trong Exchange của Microsoft.

Exchange là nền tảng máy chủ email và cộng tác do Microsoft phát triển, được nhiều tổ chức và doanh nghiệp sử dụng để quản lý email, lịch làm việc, danh bạ và các tác vụ cộng tác khác.

Hôm 20.8, Microsoft cho biết đã thu hẹp quyền truy cập của một số công ty Trung Quốc vào hệ thống cảnh báo sớm về các lỗ hổng an ninh mạng. Điều này diễn ra sau khi giới chuyên gia nghi ngờ phía Trung Quốc có liên quan đến chiến dịch tấn công mạng nhắm vào máy chủ SharePoint của Microsoft hồi tháng 7.

Các chuyên gia an ninh mạng cho rằng đã có rò rỉ từ Chương trình Bảo vệ Chủ động của Microsoft (MAPP). Đây là chương trình mà Microsoft sử dụng để giúp các công ty an ninh mạng trên toàn cầu, gồm cả từ Trung Quốc, nắm được thông tin về các mối đe dọa trước công chúng, từ đó có thể giúp phòng thủ tốt hơn trước hacker. Cụ thể hơn, MAPP chia sẻ sớm thông tin về các lỗ hổng bảo mật và bản vá trước khi Microsoft công bố công khai.

Các nạn nhân của vụ tấn công lên tới hơn hàng trăm cơ quan chính phủ và tập đoàn trên toàn thế giới, gồm cả Cơ quan An ninh Hạt nhân Quốc gia Mỹ - đơn vị chịu trách nhiệm thiết kế và duy trì kho vũ khí hạt nhân của nước này.

Với một số cuộc tấn công, Microsoft đã đổ lỗi cho ba nhóm hacker Trung Quốc là Linen Typhoon, Violet Typhoon, Storm-2603. Phía Trung Quốc đã phủ nhận việc có liên quan đến bất kỳ vụ tấn công SharePoint nào.

Trước đó, Reuters đưa tin Microsoft đã thông báo cho các thành viên trong MAPP về các lỗ hổng của SharePoint vào các ngày 24.6, 3.7 và 7.7. Gã khổng lồ công nghệ Mỹ cho biết lần đầu tiên quan sát thấy các nỗ lực khai thác lỗ hổng SharePoint vào ngày 7.7, khiến một số chuyên gia cho rằng kịch bản hợp lý nhất cho sự bùng nổ đột ngột các vụ tấn công mạng là do một thành viên bất hảo của MAPP đã lạm dụng thông tin.

Trong thông báo hôm 20.8, Microsoft cho biết một số công ty Trung Quốc sẽ không còn được nhận được proof of concept code - loại mã mô phỏng cách hoạt động của phần mềm độc hại thực sự. Mã này có thể giúp các chuyên gia an ninh mạng nhanh chóng củng cố hệ thống của họ, nhưng cũng có thể bị hacker lợi dụng để đi trước một bước so với bên phòng thủ.

Microsoft tuyên bố hãng ý thức được rằng thông tin cung cấp cho các đối tác có thể bị khai thác, “đó là lý do chúng tôi thực hiện các biện pháp, cả công khai lẫn bí mật, để ngăn chặn việc lạm dụng”.

“Microsoft liên tục xem xét các thành viên tham gia và sẽ đình chỉ hoặc loại bỏ họ nếu phát hiện vi phạm hợp đồng với chúng tôi, gồm cả điều khoản cấm tham gia vào các cuộc tấn công có tính chất chủ động”, gã khổng lồ công nghệ Mỹ cho biết thêm.

Gã khổng lồ phần mềm Mỹ từ chối tiết lộ tình trạng điều tra vụ tấn công nhắm vào SharePoint cũng như không đi sâu vào chi tiết về những công ty nào đã bị hạn chế.

Microsoft thu hẹp quyền truy cập của một số công ty Trung Quốc vào hệ thống cảnh báo sớm về các lỗ hổng an ninh mạng - Ảnh: Reuters

Gần đây, giới chức Trung Quốc bày tỏ lo ngại về việc chip Nvidia H20, vừa được chính quyền Trump cấp phép bán trở lại cho khách hàng Trung Quốc sau một thời gian tạm dừng, có thể gây rủi ro an ninh mạng. Đây là điều mà công ty Mỹ bác bỏ.

Thậm chí, một số cơ quan Trung Quốc như Cục Quản lý Không gian mạng (CAC), Ủy ban Cải cách và Phát triển Quốc gia (NDRC) và Bộ Công nghiệp và Công nghệ Thông tin (MIIT) tìm cách hạn chế doanh nghiệp công nghệ trong nước mua chip AI Nvidia, theo hai nguồn tin của FT.

Hiện Nvidia đã yêu cầu một số nhà cung ứng ngừng công việc liên quan đến H20 sau khi Trung Quốc cảnh báo về các rủi ro an ninh của loại chip AI này.

H20 là chip AI đã bị Nvidia giảm hiệu suất theo yêu cầu từ Mỹ để bán riêng cho Trung Quốc từ năm 2024, được sử dụng rộng rãi trong quá trình huấn luyện mô hình và suy luận.

Huấn luyện là giai đoạn mô hình AI học từ một tập dữ liệu lớn. Suy luận là bước sử dụng mô hình AI đã được huấn luyện để đưa ra dự đoán hoặc tạo phản hồi, chẳng hạn trả lời câu hỏi thông qua chatbot.

Đầu tháng 8, Tổng thống Donald Trump đã mở đường cho khả năng chip H20 được bán lại tại Trung Quốc, khi đạt thỏa thuận với Nvidia và AMD để chính phủ Mỹ sẽ nhận 15% doanh thu từ việc bán một số chip AI tiên tiến tại thị trường này.

Sơn Vân