Lần đầu tiên trong lịch sử, một công dân Trung Quốc bị cáo buộc là thành viên của nhóm hacker Silk Typhoon đã bị dẫn độ từ châu Âu về Mỹ để đối mặt với tội danh gián điệp mạng. Vụ việc đánh dấu bước leo thang nghiêm trọng trong cuộc chiến không gian mạng giữa hai siêu cường. Theo các chuyên gia an ninh, đây là tín hiệu cảnh báo mạnh mẽ gửi tới cộng đồng tin tặc có sự tài trợ từ nhà nước trên toàn thế giới.

Chiến dịch truy lùng xuyên lục địa

Nghi phạm này đã bị bắt giữ tại Italy sau một cuộc điều tra kéo dài nhiều năm của FBI và các cơ quan tình báo Mỹ. Chúng tôi được biết, quá trình dẫn độ diễn ra trong bí mật tuyệt đối để tránh sự can thiệp từ phía Bắc Kinh. Silk Typhoon, còn được biết đến với tên gọi khác là Hafnium, đã được Microsoft và các hãng bảo mật lớn xác định là một trong những nhóm APT (Advanced Persistent Threat - mối đe dọa dai dẳng cao cấp) nguy hiểm nhất thế giới.

Việc dẫn độ thành công này không hề đơn giản. Trung Quốc đã gây áp lực ngoại giao mạnh mẽ lên Italy, thậm chí đe dọa các biện pháp trả đũa kinh tế. Tuy nhiên, cam kết hợp tác trong lĩnh vực an ninh mạng giữa EU và Mỹ cuối cùng đã giành chiến thắng. Đây là tiền lệ quan trọng cho các vụ dẫn độ tương tự trong tương lai.

Bộ mặt thật của Silk Typhoon

Silk Typhoon không phải là nhóm hacker thông thường mà hoạt động như một đơn vị tác chiến điện tử chính quy. Nhóm này chuyên khai thác các lỗ hổng zero-day (lỗ hổng chưa được vá) trong Microsoft Exchange Server để xâm nhập vào hạ tầng quan trọng của các quốc gia phương Tây. Theo thống kê của Mandiant, Silk Typhoon đã tấn công thành công hơn 30.000 tổ chức trên toàn cầu chỉ trong năm 2021.

Điều đặc biệt nguy hiểm ở nhóm này là khả năng "sống ẩn" trong hệ thống nạn nhân trong nhiều tháng mà không bị phát hiện. Họ sử dụng kỹ thuật Living-off-the-land (tận dụng các công cụ có sẵn trong hệ thống) để tránh bị các phần mềm antivirus phát hiện. Chúng tôi nhận định rằng, mức độ tinh vi này chỉ có thể đạt được với sự đầu tư và hỗ trợ từ cơ quan tình báo nhà nước.

Sóng gió lan tỏa khắp không gian mạng

Vụ dẫn độ này đã gây chấn động mạnh trong cộng đồng tin tặc quốc tế. Nhiều nhóm APT khác có liên quan đến Trung Quốc như APT1, APT40, và Volt Typhoon đều đã tăng cường biện pháp che giấu danh tính và thay đổi chiến thuật. Theo báo cáo mới nhất từ CrowdStrike, hoạt động tấn công từ Trung Quốc đã giảm 40% trong tháng qua do lo ngại về các biện pháp truy tố quốc tế.

Đối với Việt Nam, tác động của vụ việc này rất đáng quan tâm. Theo thống kê từ NCSC (Cục An toàn thông tin), các cuộc tấn công APT nhắm vào Việt Nam đã tăng 65% trong năm 2023, với nhiều dấu hiệu cho thấy sự tham gia của các nhóm có liên quan đến nhà nước. Silk Typhoon từng nhắm vào ít nhất 12 cơ quan chính phủ và tập đoàn lớn của Việt Nam trong giai đoạn 2020-2022.

Phòng thủ chủ động trước mối đe dọa

Các tổ chức Việt Nam cần thực hiện ngay các biện pháp bảo vệ cụ thể. Đầu tiên, cập nhật và vá tất cả các lỗ hổng bảo mật trên Microsoft Exchange Server và các hệ thống email khác. Triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) để giám sát hành vi bất thường trong hệ thống. Thiết lập cơ chế logging (ghi nhật ký) chi tiết và theo dõi các hoạt động truy cập bất thường, đặc biệt trong giờ ngoài hành chính.

Quan trọng hơn cả, các doanh nghiệp phải xây dựng kế hoạch ứng phó sự cố (Incident Response Plan) với các kịch bản cụ thể cho từng loại tấn công APT. Đào tạo định kỳ cho nhân viên về các thủ đoạn social engineering (kỹ thuật xã hội) và spear-phishing (lừa đảo qua email có mục tiêu). Theo kinh nghiệm của chúng tôi, 70% các vụ tấn công APT thành công đều bắt đầu từ một email lừa đảo được thiết kế tinh vi.