Điệp viên Trung Quốc tái tạo mạng botnet và dùng AI của Mỹ để thao túng dư luận

Điệp viên Trung Quốc tái tạo mạng botnet và dùng AI của Mỹ để thao túng dư luận

Nhiều báo cáo gần đây chỉ ra rằng các điệp viên Trung Quốc tiếp tục sử dụng mọi công cụ công nghệ có sẵn – bao gồm cả trí tuệ nhân tạo (AI) của Mỹ – để thu thập dữ liệu và thao túng từ những người có quyền tiếp cận thông tin an ninh cho đến công dân bình thường. Ngoài ra, họ còn cố gắng gây ảnh hưởng đến dư luận về việc xây dựng các trung tâm dữ liệu cho AI, dù cho đến nay vẫn chưa thành công.

Một trong các báo cáo đã phát hiện sự "trỗi dậy đáng kể" của một mạng botnet liên quan đến các nhóm được chính phủ Trung Quốc hậu thuẫn, bao gồm cả Volt Typhoon. Trước đây, nhóm này đã sử dụng mạng lưới thiết bị kết nối bí mật để xâm nhập sâu vào các mạng lưới quan trọng của Mỹ và chuẩn bị cho các cuộc tấn công phá hoại trong tương lai.

Mạng botnet Volt Typhoon tái xuất hiện

Vào tháng 1 năm 2024, FBI tuyên bố đã tiêu diệt mạng botnet KV-botnet của Volt Typhoon, bao gồm hàng trăm bộ định路由 (router) đã hết hạn sử dụng và các thiết bị kết nối internet khác. Khi đó, KV-botnet bao gồm 4 cụm, trong đó cụm KV chủ yếu được dùng làm mạng truyền tải dữ liệu bí mật, còn cụm JDY dùng để quét và trinh sát.

Tuy nhiên, trong một báo cáo công bố vào thứ Tư, Black Lotus Labs thuộc Lumen cho biết mặc dù cụm KV phần lớn đã không còn hoạt động sau đợt trấn áp của cơ quan thực thi pháp luật, nhưng cụm JDY vẫn là một mối đe dọa hoạt động tích cực và đã tăng lên hơn 1.500 bộ định tuyến và thiết bị IoT bị xâm phạm.

"Phân tích hoạt động này cho thấy sự tập trung rõ ràng vào việc xác định cơ sở hạ tầng dễ bị tổn thương ngay sau khi các lỗ hổng bảo mật được công bố, cho thấy kết quả trinh sát được các tác nhân đe dọa dai dẳng tiên tiến (APT) liên quan đến Trung Quốc đưa vào hoạt động nhanh chóng," nhóm tình báo đe dọa viết. "Sự tập trung mục tiêu này đã được quan sát thấy trên nhiều lĩnh vực, trong đó quân đội Mỹ và các thực thể liên quan là nổi bật nhất."

Trong khi sự trỗi dậy của mạng botnet đặt ra mối đe dọa cấp bách nhất, và các công ty an ninh khuyến nghị tất cả các doanh nghiệp nên thực hiện hướng dẫn của CISA và NCSC để giảm thiểu hoạt động của Volt Typhoon, một báo cáo khác cho thấy các nỗ lực vận hành gây ảnh hưởng của Trung Quốc cũng chưa hề hạ nhiệt.

Sử dụng AI của Mỹ cho hoạt động bí mật về... AI của Mỹ

OpenAI cho biết trong một báo cáo thứ Tư rằng họ đã cấm các tài khoản ChatGPT có khả năng xuất xứ từ Trung Quốc sau khi những tài khoản này sử dụng mô hình của công ty AI Mỹ để tạo nội dung cho các hoạt động bí mật về – hãy đoán xem – AI của Mỹ. Mặc dù không trong hai cụm này dường như đạt được nhiều thành công trong việc gieo rắc sự hỗn loạn hay lung lay ý kiến, nhưng việc họ đã cố gắng làm điều đó là rất đáng kể, theo Ben Nimmo, điều tra viên chính của nhóm Tình báo và Điều tra của OpenAI.

"Cả hai chiến dịch dường như đều không thu hút được nhiều sự tương tác thực tế," Nimmo nói với các phóng viên. "Chúng quan trọng vì những gì chúng tiết lộ về ý định của các tác nhân gây ảnh hưởng từ Trung Quốc và các câu chuyện họ đang thử nghiệm cũng như tìm cách khuếch đại."

Cụm đầu tiên đã sử dụng ChatGPT để tạo nội dung mạng xã hội và hình ảnh cho một chiến dịch tuyên bố rằng các trung tâm dữ liệu và ứng dụng AI đang làm tăng nhu cầu điện và gây chi phí cao hơn cho người dân Mỹ.

"Ví dụ, họ yêu cầu các truyện tranh về giá đấu giá công suất của một nhà khai thác lưới điện dựa trên báo cáo từ một tờ báo khu vực hợp pháp," báo cáo cho biết. "Họ yêu cầu ChatGPT tập trung vào các bình luận về việc giá công suất tăng như một hệ quả của nhu cầu điện tiêu thụ đỉnh điểm, định hình nhu cầu mới này là đến từ các trung tâm dữ liệu và ứng dụng AI, và lập luận rằng những chi phí này cuối cùng được chuyển sang các hộ gia đình bình thường."

Sau đó, các điều hành viên đã đăng các bình luận và hình ảnh này lên X (Twitter), có khả năng sử dụng tài khoản giả, kèm theo các liên kết đến các câu chuyện tin tức thực về trung tâm dữ liệu.

OpenAI nghi ngờ các điều hành viên là một phần của nhóm mạng xã hội tại một công ty công nghệ tư nhân của Trung Quốc cung cấp dịch vụ cho các khách hàng là chính quyền cấp tỉnh.

"Đây không phải là trường hợp một hoạt động gây ảnh hưởng tạo ra một cuộc tranh luận," Nimmo nói. "Cuộc tranh luận đã tồn tại sẵn. Đây là một hoạt động gây ảnh hưởng từ Trung Quốc cố gắng can thiệp vào nó. Chúng tôi không thấy bất kỳ dấu hiệu nào cho thấy họ đã thành công."

Cụm thứ hai của các tài khoản ChatGPT bị cấm cũng có khả năng xuất xứ từ Trung Quốc và sử dụng các mô hình của OpenAI để viết bình luận và vẽ tranh biếm họa chính trị chỉ trích các chính sách công nghệ và thuế quan của Mỹ.

"Đáng chú ý, các điều hành viên đã quy định trong các câu lệnh (prompt) của họ rằng nội dung không được bao gồm hình ảnh hoạt họa về Tập Cận Bình trong kết quả đầu ra và chỉ nên bao gồm Tổng thống Trump," Nimmo nói.

Các tài khoản này, tất cả đều viết câu lệnh bằng tiếng Trung giản thể và sử dụng VPN để truy cập các hệ thống AI, cũng đã sử dụng ChatGPT để chỉnh sửa báo cáo công việc và giúp thiết kế các hệ thống giám sát mạng xã hội.

"Đây không phải lần đầu tiên chúng tôi thấy các tác nhân ở Trung Quốc cố gắng đưa ra ý tưởng cho giám sát mạng xã hội," Nimmo nói.

Vào tháng 2, OpenAI cho biết họ đã cấm các tài khoản ChatGPT được tin là liên kết với các thực thể chính phủ Trung Quốc đang cố gắng sử dụng các mô hình AI để theo dõi các cá nhân và tài khoản mạng xã hội.

Nếu AI không hiệu quả, hối lộ sẽ là giải pháp?

Nếu các điệp viên Trung Quốc không thể sử dụng hệ thống AI để khai thác thông tin nhạy cảm, họ luôn có các trang web giả mạo và lời mời làm việc hứa hẹn tiền mặt cho bí mật nhà nước. Chúng ta đã thấy những tay trinh sát liên kết với Bắc Kinh sử dụng các chiến thuật này trong quá khứ, và theo Bộ Tư pháp Mỹ, họ vẫn đang sử dụng thủ đoạn này (vì nó hiệu quả).

Vào thứ Tư, chính phủ liên bang cho biết họ đã nhận được lệnh khám xét và thu giữ 13 trang web công ty tư vấn giả mạo được sử dụng để nhắm mục tiêu đến người Mỹ, bao gồm cả những người hiện tại và trước đây có quyền tiếp cận thông tin chính phủ được phân loại và nhạy cảm.

Các tên miền bao gồm centrikglobalconsulting.com, rightinfoconsult.com, finnaclevesperconsulting.com, cydfconsult.com, pulsewaveglobal.com, catalystglobalsolutions.com, thehorizzen.com, geoindopacific.com, gpf-ina.org, safesec-group.com, thetruthinfo.com, Vandercons.com, và gulfpeace.org.

Kể từ tháng 11 năm 2023, các trang web này và các bài đăng tuyển dụng việc làm liên quan trên mạng xã hội, LinkedIn và các nền tảng tuyển dụng khác đã quảng cáo các công việc "tư vấn", bao gồm các vị trí như "Chuyên viên phân tích cao cấp" và "Chuyên viên tư vấn các vấn đề quốc tế".

Các điệp viên bị nghi ngờ thuộc Cộng hòa Nhân dân Trung Hoa (PRC) đã sử dụng các trang web và danh sách tuyển dụng này để tuyển dụng ứng viên và hối lộ họ lấy thông tin nhạy cảm, theo cáo buộc của DOJ.

"Những kẻ đồng lõa đã khuyến khích ứng viên và người được tuyển dụng chia sẻ thông tin mật và nhạy cảm vi phạm nghĩa vụ chính thức của họ và đặc biệt quan tâm đối với chính phủ Cộng hòa Nhân dân Trung Hoa," theo tài liệu tòa án. "Những người tuyển dụng đã gây áp lực lên các ứng viên để chia sẻ thông tin mật và các báo cáo từ 'nguồn nội bộ' vi phạm nghĩa vụ chính thức của họ."

Các tài liệu tòa án cáo buộc những kẻ đồng lõa sau đó đã trả tiền cho những người được tuyển dụng vì các báo cáo này bằng cách sử dụng các tài khoản trực tuyến mang tên cá nhân hư cấu và tiền mã hóa (cryptocurrency) để che giấu danh tính và nguồn gốc của các khoản thanh toán.