Khi cả thế giới đang chạy đua phát triển vaccine COVID-19, có một cuộc chiến thầm lặng khác diễn ra trong không gian số - cuộc săn lùng thông tin nghiên cứu vaccine. Vụ bắt giữ và dẫn độ một hacker Trung Quốc từ Milan về Mỹ vừa hé lộ góc tối này. Nghi phạm được cho là thành viên của nhóm tin tặc được nhà nước Trung Quốc hậu thuẫn, chuyên đột nhập hệ thống để đánh cắp dữ liệu vaccine COVID-19. Chúng tôi cho rằng đây chỉ là phần nổi của tảng băng trôi trong các hoạt động gián điệp mạng xung quanh đại dịch thế kỷ.

Khi Vaccine Trở Thành Mục Tiêu Tấn Công

Advanced Persistent Threat (APT) - thuật ngữ chỉ các nhóm tấn công có tổ chức, thường được nhà nước hậu thuẫn, đã biến thông tin vaccine thành "vàng số" trong thời kỳ đại dịch. Vụ việc này không phải là trường hợp đơn lẻ mà là một phần trong chiến dịch có hệ thống nhằm thu thập thông tin nghiên cứu y tế từ các quốc gia phát triển. Các chuyên gia an ninh mạng từ lâu đã cảnh báo về việc các nhóm APT từ Trung Quốc, Nga và Triều Tiên nhắm vào các công ty dược phẩm và viện nghiên cứu.

Điểm đáng chú ý là thời điểm các cuộc tấn công này diễn ra song song với giai đoạn các nước đang cạnh tranh gay gắt trong việc phát triển vaccine. Phương pháp tấn công thường bao gồm spear-phishing (tấn công lừa đảo có mục tiêu), khai thác lỗ hổng zero-day (lỗ hổng chưa được vá) và sử dụng malware tùy chỉnh để duy trì quyền truy cập lâu dài vào hệ thống mục tiêu. Chúng tôi đánh giá cao mức độ tinh vi của các cuộc tấn công này.

Chiến Thuật Gián Điệp Số Của Các Nhóm APT

Lateral movement (di chuyển ngang) và privilege escalation (leo thang đặc quyền) là hai kỹ thuật then chốt mà các nhóm hacker nhà nước thường sử dụng. Sau khi xâm nhập thành công vào hệ thống, họ không vội vàng lấy dữ liệu mà thường "nằm vùng" trong nhiều tháng để thu thập thông tin tối đa. Quá trình này bao gồm việc lập bản đồ mạng nội bộ, xác định các máy chủ chứa dữ liệu quan trọng và tạo ra nhiều backdoor (cửa hậu) để đảm bảo quyền truy cập liên tục.

Data exfiltration (rò rỉ dữ liệu) được thực hiện một cách cực kỳ tinh vi để tránh bị phát hiện. Thay vì tải xuống hàng terabyte dữ liệu cùng lúc, các hacker thường chia nhỏ và mã hóa thông tin, sau đó truyền qua các kênh hợp pháp như cloud storage hoặc social media. Command and Control (C&C) server - máy chủ điều khiển từ xa - thường được ẩn sau nhiều lớp proxy và tor network để che giấu nguồn gốc thực sự.

Thiệt Hại Không Chỉ Dừng Ở Con Số

Intellectual Property (IP) theft - việc đánh cắp tài sản trí tuệ trong lĩnh vực dược phẩm có thể gây thiệt hại hàng tỷ USD. Một nghiên cứu của công ty Pfizer ước tính chi phí phát triển một loại vaccine mới lên tới 2.6 tỷ USD và mất 10-15 năm. Khi thông tin này bị đánh cắp, các quốc gia khác có thể tiết kiệm được hàng tỷ USD và nhiều năm nghiên cứu. Điều này không chỉ ảnh hưởng đến lợi nhuận của các công ty mà còn làm suy yếu động lực đầu tư vào R&D (nghiên cứu và phát triển) trong tương lai.

Supply chain attack (tấn công chuỗi cung ứng) là hệ quả tiềm ẩn khác khi thông tin vaccine bị đánh cắp. Nếu hacker có được thông tin về quy trình sản xuất và nguồn cung ứng nguyên liệu, họ có thể tấn công vào các khâu yếu nhất của chuỗi để gây gián đoạn sản xuất vaccine toàn cầu. Chúng tôi lo ngại điều này có thể tạo ra khủng hoảng y tế nghiêm trọng trong các tình huống khẩn cấp tương lai.

Làm Thế Nào Để Bảo Vệ Thông Tin Nghiên Cứu

Zero Trust Architecture (kiến trúc không tin tưởng) là mô hình bảo mật tiên tiến nhất hiện nay mà các tổ chức nghiên cứu cần triển khai ngay. Nguyên tắc "never trust, always verify" (không bao giờ tin tưởng, luôn xác minh) yêu cầu xác thực và ủy quyền cho mọi thiết bị, người dùng và ứng dụng truy cập vào mạng, bất kể họ ở đâu. Multi-Factor Authentication (MFA) - xác thực đa yếu tố phải được bắt buộc cho tất cả tài khoản có quyền truy cập dữ liệu nhạy cảm.

Data Loss Prevention (DLP) và Endpoint Detection and Response (EDR) là hai công nghệ then chốt cần triển khai song song. DLP giúp phát hiện và ngăn chặn việc truyền tải thông tin nhạy cảm ra ngoài tổ chức, trong khi EDR giám sát liên tục các hoạt động bất thường trên từng thiết bị đầu cuối. Việc thực hiện penetration testing (kiểm tra thâm nhập) định kỳ bởi các chuyên gia bên ngoài cũng giúp phát hiện sớm các lỗ hổng trước khi hacker khai thác. Chúng tôi khuyến nghị các tổ chức Việt Nam trong lĩnh vực y tế và nghiên cứu nên đầu tư nghiêm túc vào an ninh mạng để bảo vệ tài sản trí tuệ quý giá.