10 quốc gia cảnh báo: Tin tặc Trung Quốc đang chiếm dụng hạ tầng mạng toàn cầu để thực hiện tấn công

10 quốc gia cảnh báo: Tin tặc Trung Quốc đang chiếm dụng hạ tầng mạng toàn cầu để thực hiện tấn công

Một bản tư vấn an ninh mạng chung từ 10 quốc gia cho thấy phần lớn các nhóm tin tặc liên kết với Trung Quốc đang lợi dụng các router và thiết bị IoT bị xâm phạm trên toàn thế giới. Các thiết bị này được biến thành mạng lưới proxy để thực hiện xâm nhập, đánh cắp dữ liệu và làm gián đoạn hoạt động của các tổ chức.

Mối đe dọa từ các mạng lưới botnet quy mô lớn

Bản tư vấn an ninh vừa được Trung tâm An ninh Mạng Quốc gia Anh (NCSC) phối hợp cùng 15 cơ quan chính phủ từ Mỹ, Úc, Canada, Đức, Nhật Bản, Hà Lan, New Zealand, Tây Ban Nha và Thụy Điển đưa ra.

"Bất kỳ ai là mục tiêu của các tác nhân mạng liên kết với Trung Quốc đều có thể bị ảnh hưởng bởi việc sử dụng các mạng lưới bí mật," bản tư vấn cảnh báo.

Việc sử dụng các mạng lưới thiết bị bị xâm phạm - hay còn gọi là botnet - để tạo điều kiện cho hoạt động mạng độc hại không phải là mới. Tuy nhiên, các tác nhân mạng liên kết với Trung Quốc hiện đang sử dụng chúng một cách chiến lược và ở quy mô lớn.

Integrity Technology Group và mạng lưới Raptor Train

Bản tư vấn chỉ ra rằng một số mạng lưới bí mật này được tạo ra và duy trì bởi các công ty an ninh thông tin của Trung Quốc. Ví dụ điển hình là Tập đoàn Công nghệ Integrity (Trung Quốc), đơn vị đã kiểm soát và quản lý mạng lưới gọi là Raptor Train. Vào năm 2024, mạng lưới này đã lây nhiễm hơn 200.000 thiết bị trên toàn cầu, bao gồm router SOHO (văn phòng nhỏ/nhà ở), camera web kết nối internet, máy ghi video, tường lửa và thiết bị lưu trữ gắn mạng (NAS).

FBI trước đây đã đánh giá Tập đoàn Công nghệ Integrity phải chịu trách nhiệm cho hoạt động xâm nhập máy tính được quy cho nhóm tin tặc Flax Typhoon.

Các nhóm "Typhoon" khác cũng được cho là sử dụng các mạng lưới bí mật này cho hạ tầng của chúng. Đôi khi, nhiều nhóm liên kết với Trung Quốc sử dụng chung một mạng lưới bí mật. Volt Typhoon, nhóm được chính phủ Trung Quốc hậu thuẫn và bị cáo buộc đã xâm nhập sâu vào các mạng lưới quan trọng của Mỹ để chuẩn bị cho các cuộc tấn công phá hoại trong tương lai, đã xây dựng botnet KV của mình chủ yếu từ các router Cisco và Netgear đã hết vòng đời (end-of-life).

Thách thức trong việc phòng thủ

Do số lượng các mạng lưới bí mật này quá lớn, với các botnet mới được phát triển và triển khai thường xuyên trong khi các mạng cũ bị đóng xuống (đôi khi là do nỗ lực phá vỡ của cơ quan thực thi pháp luật), các cơ quan chính phủ cho rằng việc liệt kê chi tiết tất cả các mạng lưới đã biết sẽ không thực tế.

Tuy nhiên, vẫn có các bước mà các đơn vị phòng thủ có thể thực hiện để đối phó với mối đe dọa này.

Khuyến nghị an ninh

NCSC khuyên rằng: "Tất cả các tổ chức nên lập bản đồ và thiết lập đường cơ sở cho lưu lượng thiết bị biên của mình, đặc biệt là các kết nối VPN và truy cập từ xa, đồng thời áp dụng bộ lọc nguồn thông báo mối đe dọa động bao gồm các chỉ số của mạng lưới bí mật đã biết."

Ngoài ra, các tổ chức nên triển khai xác thực đa yếu tố (MFA) cho truy cập từ xa cùng với các kiểm soát an ninh mô hình Zero Trust (không tin tưởng), danh sách cho phép IP và xác minh chứng chỉ máy nếu có thể.

Các chính phủ cũng đề xuất các tổ chức lớn và có rủi ro cao nên cân nhắc chủ động săn lùng lưu lượng SOHO và IoT đáng ngờ, sử dụng lập bản đồ địa lý và phát hiện bất thường dựa trên học máy (machine learning).

Đáng chú ý, các nhóm tội phạm mạng vì động cơ tài chính cũng chiếm dụng router và các thiết bị kết nối khác để ngụy trang hoạt động phạm tội của họ. Chỉ tháng trước, FBI đã làm việc với cảnh sát từ 8 quốc gia khác để phá vỡ SocksEscort, một dịch vụ proxy dân cư được sử dụng để xâm phạm hàng trăm nghìn router trên toàn thế giới và thực hiện gian lận kỹ thuật số, gây thiệt hại hàng triệu USD cho doanh nghiệp và người tiêu dùng.