Một hacker nhà nước Trung Quốc vừa bị dẫn độ về Mỹ để đối diện với các cáo buộc tấn công mạng nghiêm trọng - đánh dấu bước ngoặt trong cuộc chiến an ninh mạng toàn cầu. Xu Zewei, thành viên của nhóm APT (Advanced Persistent Threat - tấn công bền bỉ nâng cao) mang tên Silk Typhoon, bị cáo buộc đã thực hiện các cuộc tấn công có chủ đích vào hệ thống của nhiều trường đại học Mỹ. Chúng tôi cho rằng đây không chỉ là vụ bắt giữ thông thường mà là tín hiệu mạnh mẽ trong việc truy tố các hacker nhà nước. Vụ việc này hứa hẹn sẽ làm thay đổi cục diện của làng an ninh mạng quốc tế trong thời gian tới.

Nhóm Silk Typhoon: Khi hacker nhà nước vượt ranh giới đỏ

Silk Typhoon không phải cái tên xa lạ trong giới an ninh mạng quốc tế. Nhóm APT này được các chuyên gia đánh giá là một trong những đơn vị tấn công mạng tinh vi nhất, chuyên nhắm vào các mục tiêu chiến lược như trường đại học, viện nghiên cứu và các tổ chức giáo dục. Điều đặc biệt nguy hiểm ở nhóm này là khả năng duy trì quyền truy cập trong hệ thống mục tiêu trong thời gian dài mà không bị phát hiện. Họ thường sử dụng các kỹ thuật Social Engineering (tấn công xã hội) kết hợp với malware (phần mềm độc hại) tùy chỉnh để xâm nhập vào hạ tầng IT của các tổ chức.

Việc nhắm vào các trường đại học không phải ngẫu nhiên mà thể hiện chiến lược dài hạn của các nhóm tấn công nhà nước. Các trường đại học là kho báu tri thức với hàng ngàn nghiên cứu khoa học, công nghệ tiên tiến và dữ liệu sinh viên quốc tế. Chúng tôi phân tích thấy đây là mục tiêu "vàng" cho hoạt động thu thập tình báo, đặc biệt trong lĩnh vực công nghệ cao, AI và nghiên cứu quốc phòng. Hơn nữa, hệ thống bảo mật của các trường đại học thường yếu hơn so với doanh nghiệp hay cơ quan chính phủ, tạo điều kiện thuận lợi cho kẻ tấn công.

Kỹ thuật tấn công: Phẫu thuật không dao kéo của hacker chuyên nghiệp

Các nhóm APT như Silk Typhoon thường áp dụng phương pháp "Living off the Land" - sử dụng các công cụ hệ thống có sẵn để thực hiện tấn công nhằm tránh bị phát hiện. Thay vì sử dụng malware phức tạp, họ khai thác PowerShell, WMI (Windows Management Instrumentation) và các tiện ích quản trị hệ thống khác. Kỹ thuật này khiến việc phát hiện trở nên cực kỳ khó khăn vì các hoạt động của hacker trông giống như hoạt động quản trị bình thường.

Một trong những đặc trưng nguy hiểm của Silk Typhoon là khả năng lateral movement (di chuyển ngang) trong mạng nội bộ. Sau khi xâm nhập thành công một máy tính, họ âm thầm lan rộng quyền truy cập sang các hệ thống khác mà không cần phá vỡ tường lửa từ bên ngoài. Nhóm này cũng thường xuyên sử dụng kỹ thuật credential harvesting (thu thập thông tin đăng nhập) để chiếm quyền điều khiển các tài khoản có đặc quyền cao. Điều đáng lo ngại là họ có thể duy trì quyền truy cập trong hàng tháng, thậm chí hàng năm mà không bị phát hiện.

Tác động sâu rộng: Từ phòng thí nghiệm đến an ninh quốc gia

Theo báo cáo từ FBI, các cuộc tấn công vào trường đại học có thể gây thiệt hại lên tới hàng triệu USD cho mỗi vụ việc. Dữ liệu nghiên cứu bị đánh cắp không chỉ có giá trị kinh tế mà còn ảnh hưởng đến lợi thế cạnh tranh trong các lĩnh vực công nghệ then chốt. Chúng tôi đánh giá rằng việc mất các nghiên cứu về AI, sinh học phân tử hay công nghệ bán dẫn có thể làm thay đổi cán cân sức mạnh công nghệ toàn cầu.

Riêng với Việt Nam, mối đe dọa từ các nhóm APT đang ngày càng gia tăng khi nước ta đẩy mạnh chuyển đổi số và phát triển công nghệ thông tin. Các trường đại học và viện nghiên cứu trong nước cần đặc biệt cảnh giác trước những cuộc tấn công tương tự. Theo thống kê từ Cục An toàn thông tin, số vụ tấn công mạng vào các tổ chức giáo dục Việt Nam đã tăng 300% trong năm 2024 so với năm trước.

Biện pháp phòng chống: Lá chắn bảo vệ thông tin tại Việt Nam

Các trường đại học và tổ chức giáo dục Việt Nam cần triển khai ngay các biện pháp bảo mật cơ bản. Đầu tiên là thiết lập Multi-Factor Authentication (xác thực đa yếu tố) cho tất cả tài khoản có quyền truy cập vào dữ liệu nhạy cảm. Tiếp theo, cần triển khai giải pháp Network Segmentation (phân đoạn mạng) để hạn chế khả năng di chuyển ngang của kẻ tấn công khi đã xâm nhập thành công một phần hệ thống. Việc cập nhật thường xuyên các bản vá bảo mật và sử dụng EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) cũng vô cùng quan trọng.

Chúng tôi khuyến nghị các tổ chức cần đầu tư vào đào tạo nhận thức an ninh mạng cho cán bộ, giảng viên và sinh viên. Phần lớn các cuộc tấn công APT bắt đầu từ email lừa đảo hoặc trang web giả mạo nhắm vào yếu tố con người. Bên cạnh đó, việc thiết lập SOC (Security Operations Center - trung tâm điều hành an ninh) hoặc thuê dịch vụ giám sát an ninh mạng 24/7 sẽ giúp phát hiện sớm các dấu hiệu bất thường. Cuối cùng, cần xây dựng kế hoạch ứng phó sự cố chi tiết và tổ chức diễn tập thường xuyên để đảm bảo sẵn sàng đối phó với các cuộc tấn công phức tạp.