Một nhóm tin tặc Advanced Persistent Threat (APT) - thuật ngữ chỉ các nhóm tấn công có tổ chức, hoạt động lâu dài - đến từ Trung Quốc đang âm thầm theo dõi hệ thống ngân hàng Ấn Độ và giới hoạch định chính sách Hàn Quốc. Tuy nhiên, điều khiến các chuyên gia bảo mật ngạc nhiên không phải là việc tấn công xảy ra, mà là cách thức thực hiện thiếu chuyên nghiệp của họ. Thay vì sử dụng những công cụ tinh vi như thường thấy, nhóm này lại dựa vào các Tactics, Techniques, and Procedures (TTPs) - tức chiến thuật, kỹ thuật và quy trình tấn công - đã lỗi thời từ nhiều năm trước. Câu hỏi đặt ra là: liệu đây có phải là sự lơ là hay một chiến lược có chủ đích?

Chiến dịch gián điệp thiếu tập trung

Chúng tôi cho rằng việc nhóm APT Trung Quốc nhắm vào lĩnh vực tài chính Ấn Độ không phải là ngẫu nhiên. Hai quốc gia có quan hệ phức tạp với nhiều tranh chấp biên giới và cạnh tranh kinh tế khốc liệt. Thông tin tài chính luôn là mục tiêu béo bở cho hoạt động gián điệp kinh tế, giúp nắm bắt tình hình kinh tế vĩ mô và các quyết định chính sách tiền tệ quan trọng.

Tuy nhiên, mức độ nỗ lực mà nhóm này bỏ ra lại không tương xứng với tầm quan trọng của mục tiêu. Các chuyên gia phân tích mẫu mã độc và phương thức tấn công cho thấy họ đang tái sử dụng những công cụ từ 2-3 năm trước. Điều này hoàn toàn trái ngược với xu hướng chung của các nhóm APT Trung Quốc khác, vốn nổi tiếng với khả năng phát triển zero-day exploits (lỗ hổng chưa được vá) và malware tinh vi.

Kỹ thuật lỗi thời trong thời đại AI

Phân tích kỹ thuật cho thấy nhóm tấn công này đang sử dụng các phương pháp phishing (lừa đảo qua email) cơ bản và backdoor (cửa hậu) đã được cộng đồng bảo mật ghi nhận từ lâu. Thay vì đầu tư vào research và phát triển công cụ mới, họ dường như chỉ đơn giản tái chế lại những gì đã có. Các Indicators of Compromise (IoCs) - dấu hiệu nhận biết tấn công - mà họ để lại thậm chí còn trùng lặp với những chiến dịch trước đó.

Chúng tôi đánh giá đây có thể là dấu hiệu của sự phân tán nguồn lực trong cộng đồng hacker nhà nước Trung Quốc. Trong khi các nhóm APT hàng đầu như APT1, APT40 tập trung vào những mục tiêu chiến lược quan trọng với công nghệ tối tân, những nhóm cấp hai như này có thể chỉ được giao nhiệm vụ thu thập thông tin thứ yếu với ngân sách và nhân lực hạn chế. Điều này phản ánh một hệ thống phân công lao động rõ ràng trong machine gián điệp mạng của Bắc Kinh.

Tác động lan tỏa đến khu vực

Mặc dù sử dụng kỹ thuật cũ, chiến dịch này vẫn gây ra những tác động nghiêm trọng. Theo thống kê của các firm bảo mật quốc tế, Ấn Độ đang là quốc gia chịu nhiều cuộc tấn công mạng nhất khu vực châu Á-Thái Bình Dương với hơn 1.1 triệu incident được ghi nhận trong năm 2023. Việc hệ thống ngân hàng bị theo dõi có thể dẫn đến rò rỉ thông tin khách hàng, dữ liệu giao dịch và thậm chí là các quyết định chính sách tiền tệ nhạy cảm.

Đối với Việt Nam, tình hình này là hồi chuông cảnh báo. Nước ta có quan hệ địa chính trị phức tạp tương tự với Trung Quốc và đang trong quá trình chuyển đổi số mạnh mẽ của ngành tài chính. Các ngân hàng Việt Nam cần rút kinh nghiệm từ case study này để củng cố hệ thống phòng thủ, đặc biệt là việc monitoring các TTPs đã được công khai.

Lá chắn bảo vệ cho doanh nghiệp Việt

Các tổ chức tài chính Việt Nam cần thực hiện ngay những bước sau để bảo vệ hệ thống. Đầu tiên, cập nhật và vá tất cả các lỗ hổng bảo mật đã biết, đặc biệt chú ý đến những CVE (Common Vulnerabilities and Exposures) từ 2-3 năm trước vì đây chính là kho vũ khí yêu thích của nhóm này. Thứ hai, triển khai Email Security Gateway mạnh mẽ để phát hiện và chặn các email phishing, kết hợp với chương trình đào tạo nhân viên nhận biết social engineering.

Cuối cùng, xây dựng Security Operations Center (SOC) - trung tâm điều hành an ninh mạng - với khả năng threat hunting proactive thay vì chỉ phản ứng sau khi bị tấn công. Chúng tôi khuyến nghị các ngân hàng Việt Nam nên chia sẻ Threat Intelligence với nhau thông qua Hiệp hội Ngân hàng Việt Nam để tạo ra một mạng lưới phòng thủ tập thể. Việc đầu tư vào công nghệ AI và machine learning cho việc phát hiện anomaly cũng trở nên cấp thiết trong bối cảnh các cuộc tấn công ngày càng tinh vi và có tổ chức.