Làn sóng tấn công mạng mới từ Trung Quốc đang nhắm thẳng vào trái tim quyền lực của các quốc gia châu Á. Các nhà nghiên cứu bảo mật từ Trend Micro vừa tiết lộ chiến dịch gián điệp mạng tinh vi được thực hiện bởi nhóm hacker có tên mã SHADOW-EARTH-053. Mục tiêu của chúng không chỉ dừng lại ở các cơ quan chính phủ và quốc phòng tại Nam Á, Đông Á và Đông Nam Á, mà còn mở rộng sang một quốc gia thành viên NATO ở châu Âu. Đáng lo ngại hơn, các nhà báo và nhà hoạt động cũng đã trở thành con mồi của chiến dịch tấn công này.

Bóng ma mang tên SHADOW-EARTH-053 lộ diện

SHADOW-EARTH-053 được Trend Micro đánh giá là một nhóm tấn công có nguồn gốc từ Trung Quốc với khả năng tác chiến mạng cực kỳ tinh vi. Chúng tôi cho rằng việc nhắm mục tiêu đa dạng từ chính phủ đến nhà báo cho thấy đây không phải chiến dịch tấn công ngẫu nhiên mà là kế hoạch gián điệp có hệ thống. Nhóm này đã sử dụng các kỹ thuật tấn công tiên tiến để thâm nhập vào hệ thống của các tổ chức mục tiêu, thu thập thông tin tình báo có giá trị.

Điều đáng chú ý là phạm vi tấn công rộng khắp từ châu Á sang châu Âu. Việc một quốc gia NATO bị nhắm mục tiêu cho thấy tham vọng toàn cầu của nhóm hacker này. Các chuyên gia an ninh mạng đánh giá đây là dấu hiệu cho thấy các cuộc tấn công mạng từ Trung Quốc đang ngày càng leo thang và mở rộng phạm vi ảnh hưởng.

Kỹ thuật tấn công và phương thức thâm nhập

Theo phân tích của các chuyên gia, SHADOW-EARTH-053 sử dụng những kỹ thuật tấn công APT (Advanced Persistent Threat - tấn công dai dẳng có chủ đích) cực kỳ tinh vi. APT là dạng tấn công mạng kéo dài, bí mật và có mục đích cụ thể, thường được các nhóm hacker có sự hậu thuẫn từ nhà nước thực hiện. Chúng không tìm cách tạo ra thiệt hại ngay lập tức mà ẩn mình trong hệ thống để thu thập thông tin tình báo trong thời gian dài.

Các vector tấn công chính bao gồm email lừa đảo (phishing) có độ tinh vi cao, khai thác lỗ hổng zero-day (lỗ hổng chưa được vá) và sử dụng malware tùy chỉnh để duy trì quyền truy cập lâu dài. Chúng tôi đánh giá đây là những kỹ thuật đặc trưng của các nhóm tấn công được nhà nước bảo trợ, với nguồn lực và thời gian không giới hạn để thực hiện các chiến dịch phức tạp.

Tác động nghiêm trọng lên an ninh khu vực

Chiến dịch tấn công này tạo ra những hệ lụy nghiêm trọng đối với an ninh thông tin của khu vực châu Á - Thái Bình Dương. Việc các cơ quan chính phủ và quốc phòng bị thâm nhập có nghĩa những thông tin mật về chính sách, kế hoạch quân sự và các dự án chiến lược có thể đã bị đánh cắp. Đối với Việt Nam, mặc dù chưa được xác nhận trong danh sách mục tiêu lần này, nhưng vị trí địa lý và tầm quan trọng chiến lược của nước ta trong khu vực khiến nguy cơ bị nhắm mục tiêu là rất cao.

Việc các nhà báo và nhà hoạt động bị tấn công cho thấy mục đích không chỉ là thu thập tình báo quốc gia mà còn giám sát, kiểm soát thông tin và có thể đe dọa những tiếng nói bất đồng. Theo thống kê của CERT Việt Nam, năm 2023 đã ghi nhận hơn 15.000 cuộc tấn công mạng vào các cơ quan, tổ chức tại Việt Nam, trong đó nhiều vụ được nghi có xuất xứ từ các nhóm APT nước ngoài.

Khuyến nghị bảo vệ khẩn cấp cho doanh nghiệp Việt

Các tổ chức, doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp bảo vệ sau để tránh trở thành mục tiêu tiếp theo. Đầu tiên, cập nhật hệ điều hành và phần mềm lên phiên bản mới nhất để vá các lỗ hổng bảo mật. Triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) để giám sát và phát hiện sớm các hoạt động bất thường trên hệ thống. Tăng cường đào tạo nhận thức an ninh mạng cho nhân viên, đặc biệt về nhận biết email phishing và các kỹ thuật social engineering.

Chúng tôi khuyến nghị các doanh nghiệp thiết lập cơ chế sao lưu dữ liệu định kỳ và lưu trữ offline, triển khai xác thực đa yếu tố (MFA) cho tất cả tài khoản quan trọng. Đặc biệt quan trọng là thiết lập hệ thống giám sát mạng 24/7 và có kế hoạch ứng phó sự cố mạng chi tiết. Trong bối cảnh các cuộc tấn công APT ngày càng tinh vi, việc đầu tư vào an ninh mạng không còn là tùy chọn mà đã trở thành yêu cầu bắt buộc để tồn tại trong thời đại số.