12 cơ quan chính phủ Mông Cổ vừa trở thành con mồi của một nhóm hacker tinh vi chưa từng được ghi nhận trước đây. GopherWhisper - tên gọi của nhóm tấn công này - được xác định có nguồn gốc từ Trung Quốc và đã triển khai thành công các backdoor (cửa hậu) được viết bằng ngôn ngữ lập trình Go vào hạ tầng thông tin quan trọng của quốc gia này. Chúng tôi cho rằng đây là một trong những chiến dịch tấn công có chủ đích nghiêm trọng nhất nhằm vào chính phủ Mông Cổ trong thời gian gần đây.

Kẻ thù ẩn mình với công nghệ Go

Công ty an ninh mạng ESET từ Slovakia đã phát hiện ra hoạt động của GopherWhisper thông qua một cuộc điều tra sâu rộng. Nhóm APT (Advanced Persistent Threat - tấn công bền bỉ cao cấp) này sử dụng một kho vũ khí đa dạng, chủ yếu được phát triển bằng ngôn ngữ Go. APT là thuật ngữ chỉ các cuộc tấn công mạng có chủ đích, kéo dài và sử dụng kỹ thuật cao để xâm nhập vào mục tiêu cụ thể, thường là các tổ chức chính phủ hoặc doanh nghiệp lớn.

Điểm đáng chú ý là GopherWhisper sử dụng các injector (bộ tiêm) và loader (bộ tải) để triển khai và thực thi nhiều loại backdoor khác nhau trong hệ thống mục tiêu. Backdoor là những đoạn mã độc được cài đặt ngầm cho phép hacker truy cập trái phép vào hệ thống bất cứ lúc nào mà không cần thông qua các biện pháp bảo mật thông thường. Việc chọn ngôn ngữ Go cho thấy sự tinh vi của nhóm này, bởi Go ít được các hệ thống phòng thủ chú ý hơn so với các ngôn ngữ truyền thống khác.

Dấu vết Trung Quốc trong chiến dịch tấn công

Các chuyên gia phân tích mã độc đã xác định rõ ràng mối liên hệ giữa GopherWhisper và Trung Quốc thông qua nhiều bằng chứng kỹ thuật. Phương thức tấn công, công cụ sử dụng và các chỉ thị điều khiển đều mang đặc điểm của các nhóm APT có nguồn gốc từ quốc gia này. Chúng tôi nhận thấy đây không phải là trường hợp cô lập mà là một phần trong chiến lược tấn công mạng rộng lớn nhằm vào các quốc gia láng giềng.

Mông Cổ với vị trí địa chính trị đặc biệt giữa Trung Quốc và Nga luôn là mục tiêu hấp dẫn cho các hoạt động tình báo mạng. Việc 12 cơ quan chính phủ bị xâm nhập cho thấy quy mô và mức độ nghiêm trọng của cuộc tấn công này. Những thông tin nhạy cảm về chính sách, kinh tế và an ninh quốc gia có thể đã bị đánh cắp trong thời gian dài mà không được phát hiện.

Hậu quả nghiêm trọng từ cuộc tấn công

Cuộc tấn công của GopherWhisper không chỉ gây thiệt hại về mặt thông tin mà còn làm lung lay niềm tin của công dân vào khả năng bảo vệ dữ liệu của chính phủ. 12 cơ quan bị tấn công có thể bao gồm các bộ ngành quan trọng như ngoại giao, quốc phòng, tài chính và nội vụ, tạo ra những rủi ro nghiêm trọng cho an ninh quốc gia Mông Cổ.

Theo đánh giá của chúng tôi, việc sử dụng backdoor có nghĩa là hacker có thể duy trì quyền truy cập lâu dài vào các hệ thống này, thu thập thông tin tình báo liên tục và thậm chí có thể tiến hành các hoạt động phá hoại khi cần thiết. Đây là mối đe dọa dai dẳng mà Mông Cổ phải đối mặt trong thời gian tới.

Bài học cảnh báo cho Việt Nam

Vụ việc tại Mông Cổ đặt ra những câu hỏi quan trọng về tình trạng an ninh mạng tại Việt Nam. Chúng tôi khuyến nghị các cơ quan chính phủ và doanh nghiệp Việt Nam cần ngay lập tức rà soát lại hệ thống bảo mật, đặc biệt chú ý đến các ứng dụng viết bằng Go và các dấu hiệu của backdoor. Việc triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại thiết bị đầu cuối) và tăng cường giám sát mạng 24/7 là những biện pháp cấp thiết.

Ngoài ra, cần tổ chức các buổi đào tạo nhận thức an ninh mạng cho nhân viên, thực hiện kiểm tra bảo mật định kỳ và xây dựng kế hoạch ứng phó sự cố mạng chi tiết. Kinh nghiệm từ Mông Cổ cho thấy không có tổ chức nào có thể tự tin rằng mình an toàn trước các mối đe dọa APT ngày càng tinh vi.