Ai có thể nghĩ được rằng những ứng dụng làm việc quen thuộc như Slack, Discord hay Microsoft Outlook lại có thể trở thành vũ khí gián điệp? Một nhóm Advanced Persistent Threat (APT - tấn công bền bỉ nâng cao) xuất phát từ Trung Quốc vừa chứng minh điều này khi lợi dụng hàng loạt dịch vụ đám mây hợp pháp để thực hiện chiến dịch gián điệp quy mô lớn nhằm vào Mông Cổ. Thay vì sử dụng hạ tầng riêng dễ bị phát hiện, họ đã "núp bóng" sau những dịch vụ mà hàng triệu người dùng tin tưởng hàng ngày. Đây không chỉ là một cuộc tấn công, mà là minh chứng cho sự tiến hóa đáng sợ của chiến thuật tội phạm mạng hiện đại.

Khi ứng dụng chat thành công cụ tình báo

Nhóm hacker này đã thể hiện sự tinh vi đáng kinh ngạc khi biến Microsoft Outlook, Slack, Discord và dịch vụ file.io thành những "cầu nối" điều khiển từ xa. Chúng tôi cho rằng đây là một bước tiến vượt bậc trong chiến thuật tấn công, khi các threat actor (tác nhân đe dọa) không còn phụ thuộc vào một kênh duy nhất mà tạo ra "mạng lưới dự phòng" với nhiều lựa chọn command and control (C2 - điều khiển và chỉ huy). Điều này có nghĩa là ngay cả khi một kênh bị phát hiện và chặn, họ vẫn có thể duy trì quyền kiểm soát qua những kênh khác.

Việc lựa chọn các nền tảng này không hề ngẫu nhiên. Slack và Discord vốn được thiết kế để trao đổi thông tin nhanh chóng, hỗ trợ gửi file và có API mạnh mẽ - những tính năng mà hacker có thể "tái sử dụng" cho mục đích xấu. Microsoft Outlook với khả năng gửi email và đính kèm cũng trở thành kênh truyền lệnh hoàn hảo. File.io - dịch vụ chia sẻ file tạm thời - lại được sử dụng như "hòm thư" để trao đổi dữ liệu đánh cắp được.

Bản chất đằng sau cuộc tấn công "đa kênh"

Chiến thuật "Living off the Land" (sống nhờ vào địa hình) - tức là lợi dụng những công cụ và dịch vụ hợp pháp sẵn có - đang trở thành xu hướng chủ đạo trong các cuộc tấn công APT. Thay vì phát triển malware (phần mềm độc hại) phức tạp dễ bị phát hiện, các nhóm hacker ngày càng thích "ký sinh" trên những dịch vụ mà người dùng và hệ thống bảo mật đã tin tưởng. Đây chính là lý do tại sao cuộc tấn công này có thể kéo dài mà không bị phát hiện trong thời gian dài.

Việc nhắm vào Mông Cổ cũng không phải trùng hợp ngẫu nhiên. Đây là quốc gia có vị trí địa chính trị nhạy cảm, nằm giữa Trung Quốc và Nga, với nhiều tài nguyên khoáng sản quan trọng. Theo đánh giá của chúng tôi, đây có thể là một phần trong chiến lược thu thập thông tin địa chính trị và kinh tế dài hạn. Các nhóm APT Trung Quốc thường được cho là có mối liên hệ với cơ quan tình báo nhà nước và thường nhắm vào những quốc gia có giá trị chiến lược.

Khi ranh giới an ninh trở nên mờ nhạt

Cuộc tấn công này đặt ra những thách thức nghiêm trọng cho các chuyên gia bảo mật toàn cầu. Khi traffic (lưu lượng) độc hại được "ngụy trang" trong những kênh giao tiếp hợp pháp, các hệ thống phòng thủ truyền thống gần như bất lực. Firewall (tường lửa) không thể chặn Slack hay Discord mà không ảnh hưởng đến hoạt động bình thường của doanh nghiệp. Các công cụ phát hiện bất thường cũng khó có thể phân biệt được đâu là hoạt động bình thường, đâu là hành vi đáng ngờ.

Tại Việt Nam, theo thống kê của Cục An toàn thông tin (Bộ TT&TT), năm 2023 đã ghi nhận hơn 13.000 cuộc tấn công mạng, trong đó nhiều cuộc tấn công sử dụng các dịch vụ cloud và mạng xã hội làm cầu nối. Điều này cho thấy chiến thuật "lợi dụng dịch vụ hợp pháp" đang lan rộng và các tổ chức Việt Nam cần nâng cao cảnh giác.

Lời khuyên bảo vệ cho doanh nghiệp Việt

Doanh nghiệp Việt Nam cần ngay lập tức xem xét lại chính sách sử dụng các ứng dụng đám mây. Đầu tiên, thiết lập Data Loss Prevention (DLP - ngăn chặn rò rỉ dữ liệu) để giám sát mọi hoạt động trao đổi file qua Slack, Discord, và các nền tảng tương tự. Thứ hai, triển khai Zero Trust Network Access (ZTNA - truy cập mạng tin cậy bằng không), nghĩa là không tin tưởng bất kỳ kết nối nào từ bên trong hay bên ngoài mà không xác thực kỹ lưỡng.

Chúng tôi khuyến nghị các tổ chức nên định kỳ audit (kiểm toán) tất cả ứng dụng đám mây đang sử dụng, thiết lập whitelist (danh sách trắng) các dịch vụ được phép, và sử dụng Cloud Access Security Broker (CASB - môi giới bảo mật truy cập đám mây) để giám sát hoạt động. Đặc biệt quan trọng là đào tạo nhân viên nhận biết các dấu hiệu bất thường như tin nhắn lạ trên Slack, email đáng ngờ, hoặc yêu cầu chia sẻ file không rõ nguồn gốc. Trong thế giới mà ranh giới giữa công cụ làm việc và vũ khí tấn công ngày càng mờ nhạt, sự cảnh giác chính là tuyến phòng thủ đầu tiên.