Đặc vụ mạng FBI Mỹ: Salt Typhoon đã hack gần như mọi người dân Mỹ

 (theregister.com)
1 điểm bởi GN⁺ 2025-09-01 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nhóm hack Salt Typhoon đã xâm nhập mạng viễn thông Mỹ trong nhiều năm và thu thập trên diện rộng thông tin nhạy cảm của hàng triệu người
  • Vụ tấn công này là hoạt động gián điệp với quy mô chưa từng có, nhắm mục tiêu bừa bãi vào người dân Mỹ
  • Các công ty hậu thuẫn của Salt Typhoon, có liên hệ với chính phủ Trung Quốc, đã xâm phạm hơn 80 quốc gia, và khoảng 200 tổ chức tại Mỹ đã bị ảnh hưởng
  • Hậu quả của cuộc tấn công bao gồm theo dõi vị trí của hàng triệu người dùng điện thoại di động, giám sát lưu lượng internet, thậm chí nghe lén một số cuộc gọi điện thoại
  • FBI cho rằng trong tương lai các mối đe dọa mạng tinh vi hơn sẽ tiếp tục gia tăng, đồng thời cảnh báo về sự cần thiết phải tăng cường bảo mật

Tổng quan về chiến dịch gián điệp Salt Typhoon

  • FBI Mỹ xác nhận rằng Salt Typhoon, một nhóm hack được chính phủ Trung Quốc hậu thuẫn, đã xâm nhập các mạng viễn thông lớn của Mỹ trong nhiều năm và thu thập với quy mô lớn thông tin cá nhân của nhiều người dân Mỹ
  • Phó giám đốc phụ trách an ninh mạng của FBI, Michael Machtinger, cho biết trong một cuộc phỏng vấn với truyền thông rằng đợt tấn công gián điệp này có thể đã đánh cắp thông tin của gần như mọi người dân Mỹ
  • Trước đây từng có nhận thức rằng những người không nắm thông tin nhạy cảm sẽ không phải là mục tiêu, nhưng Salt Typhoon cho thấy bất kỳ ai cũng có thể trở thành mục tiêu của tấn công mạng

Phạm vi tấn công và đứng sau vụ việc

  • Hoạt động gián điệp mạng của Salt Typhoon bắt đầu ít nhất từ năm 2019 và bị chính phủ Mỹ phát hiện vào mùa thu năm 2023
  • Ngoài Mỹ, cơ quan chính phủ của 12 quốc gia cũng đã cùng đưa ra cảnh báo về mức độ nghiêm trọng của cuộc tấn công này
  • Phạm vi xâm nhập đã mở rộng từ 9 nhà mạng lớn của Mỹ vượt ra ngoài mạng lưới chính phủ đến các tổ chức tại hơn 80 quốc gia
  • Khoảng 200 tổ chức tại Mỹ đã bị ảnh hưởng, trong đó có các nhà mạng lớn như Verizon và AT&T
  • Các công ty bị chỉ đích danh đứng sau gồm Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology, và Sichuan Zhixin Ruijie Network Technology
    • Những công ty này cung cấp giải pháp an ninh mạng cho Bộ An ninh Quốc gia Trung Quốc và Quân Giải phóng Nhân dân Trung Quốc

Cách thức tấn công và các loại thiệt hại

"Những hành vi mà Trung Quốc thực hiện thông qua các bên trung gian như vậy là hành động bừa bãi và nguy hiểm, vượt xa mức độ thông thường của ngành gián điệp mạng"

  • Machtinger đánh giá đây là một vụ xâm phạm gián điệp mạng nghiêm trọng chưa từng có tại Mỹ
  • Salt Typhoon đã nhắm mục tiêu trên diện rộng một cách bừa bãi, nghe lén thông tin vị trí địa lý, lưu lượng internet, thậm chí cả nội dung một số cuộc gọi của hàng triệu người dùng điện thoại di động
  • Phạm vi nạn nhân không chỉ gồm người dân bình thường mà còn có hơn 100 quan chức cấp cao trong các chính quyền tổng thống đương nhiệm và tiền nhiệm
    • Một số hãng tin đưa tin rằng Tổng thống Donald Trump và Phó tổng thống JD Vance cũng là mục tiêu
  • Đặc biệt, các nhân vật cấp cao còn bị xâm phạm sâu hơn ở mức chặn bắt nội dung thực tế

Các mối đe dọa mạng tương tự có nguồn gốc từ Trung Quốc

  • Ngoài Salt Typhoon, nhóm Volt Typhoon đã hack hàng trăm router cũ để xây dựng botnet và tiếp cận các mạng hạ tầng trọng yếu của Mỹ
    • Sau đó xác nhận rằng mục đích là chuẩn bị cho các cuộc tấn công mạng mang tính phá hoại
  • Nhóm Silk Typhoon trong hơn 10 năm qua đã tấn công các nhà cung cấp IT và cloud, đánh cắp dữ liệu thuộc nhiều lĩnh vực như chính phủ, công nghệ, giáo dục và pháp lý

Các mối đe dọa mạng toàn cầu khác

  • Machtinger chỉ ra rằng ngoài Trung Quốc còn có Nga, Iran, Triều Tiên, cùng các tổ chức tội phạm mạng và nhóm ransomware trong và ngoài nước đang liên tục tiến hành tấn công hằng ngày
  • Dự kiến các tác nhân này sẽ ngày càng áp dụng phương thức tấn công tinh vi hơn
  • Ông nhấn mạnh sự cần thiết của các biện pháp an ninh mạng chủ động như nâng cao nhận thức bảo mật, cập nhật hệ thống và thay thế thiết bị cũ

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-09-01
Ý kiến Hacker News

  • Cộng đồng bảo mật đã cảnh báo rằng nếu việc nghe lén hợp pháp (Lawful Access) được tự động hóa một cách dễ dàng, thì phe xấu chắc chắn sẽ xâm nhập mạng lưới
    Giờ thì Trung Quốc đang lợi dụng các hệ thống bị CALEA làm suy yếu để lấy dữ liệu mạng trên toàn nước Mỹ
    Nhìn vào các trường hợp trước đây như NSA nghe lén backbone của Google, Room 641A, MAINWAY, Poindexter và TIA, hay Palantir, thì Mỹ cũng chưa bao giờ là ngoại lệ
    NSA vốn vừa làm phòng thủ vừa làm tấn công, nhưng suốt nhiều thập kỷ qua đã trở thành một tổ chức chỉ tập trung vào tấn công, và những ai tin rằng chỉ riêng Mỹ mới có thể làm kiểu này thì quá ngây thơ

    • Một cánh cửa có khóa thì chỉ người có chìa mới mở được...
      Nhưng ngay cả không có chìa, vẫn có thể phá khóa, nhấc cửa lên, tháo bản lề, đập cửa, chui qua khe dưới hay phía trên cửa, hoặc lừa người giữ chìa mở cửa, và nếu có trí tưởng tượng thì còn nhiều cách khác nữa

    • Tôi muốn biết trên thực tế họ đã chọc thủng bằng cách nào
      Tôi đoán либо nhà cung cấp phần mềm hỗ trợ CALEA đã bị xâm nhập, hoặc nhà cung cấp Mediator Device mà nhiều nhà mạng cùng dùng đã bị tấn công
      MD (Mediator device) là thiết bị phần mềm đảm nhiệm việc bắt luồng dữ liệu (yêu cầu wiretap) và quản lý bằng chứng pcap
      MD thường bật cổng (r)span trên thiết bị mạng bằng SNMP polling, rồi hút toàn bộ dữ liệu về để lưu trữ
      Không có nhiều thông tin kỹ thuật, nên tôi muốn biết đó là nhà cung cấp nào và thiết bị nào đã bị chọc thủng
      Có thể xem giải thích chi tiết về LI (Lawful Intercept) tại đây

    • Rất nhiều người từng làm ở NSA giờ lại làm cho các công ty an ninh tư nhân như NSO Group
      Nghĩ đến thực trạng đó thì đáng sợ thật, nhưng nhìn vào mức lương họ nhận được thì nếu tôi được mời chắc tôi cũng sẽ phải đắn đo
      Nếu muốn đọc hậu trường từ người trong cuộc, tôi khuyên nên đọc cuốn sách 'This Is How They Tell Me the World Ends' của Nicole Perlroth
      Từ sau khi sách xuất bản đã có thêm rất nhiều vụ việc xảy ra, nhưng đây vẫn là tài liệu tham khảo tốt để hiểu bối cảnh ngành này

    • Có lẽ quyết định ngớ ngẩn này xuất phát từ việc những người nắm quyền sợ chính công dân của họ hơn là các mối đe dọa từ bên ngoài

    • Toàn là những kẻ ngốc với cảm giác ưu việt đạo đức
      Không phải họ quên các chiến dịch tấn công, mà là ngay từ đầu họ còn chẳng biết hoặc chẳng quan tâm chuyện đó từng tồn tại

  • Tôi từng có kinh nghiệm viết đặc tả nghe lén hợp pháp cho node 3G GGSN
    Chuyện đã lâu rồi, nhưng đặc tả thời đó được thiết kế sao cho ngay cả hệ thống quản lý mạng cũng không để lại bản ghi nghe lén
    Vì thế nhà mạng không thể biết có đang nghe lén hay không, và cơ quan thực thi pháp luật sẽ trực tiếp ra lệnh nghe lén qua console LI
    Theo chuẩn khi đó, có thể nghe lén tối đa 3% lưu lượng, và có những trường hợp ngay cả nhà mạng cũng không biết việc nghe lén đang diễn ra, chứ chưa nói đến đối tượng bị nhắm tới
    Không phải hệ thống nghe lén hợp pháp lúc nào cũng dễ bị hack, nhưng một khi đã bị chọc thủng thì cực kỳ khó phát hiện nó có đang bị lạm dụng hay không
    Đó là lý do khó ai có thể chắc được việc xâm nhập bắt đầu từ khi nào và bằng cách nào

    • Việc người vận hành mạng hoàn toàn không thể xem log giám sát đối với nghe lén hợp pháp có vẻ quá nguy hiểm
      Nếu ai đó đột nhập thì có lẽ sẽ chẳng ai biết

  • Đây chính là kết quả của việc cài backdoor chính phủ bắt buộc vào hạ tầng mạng
    Thật khó tin là bảo mật lại lỏng lẻo đến vậy trên một hạ tầng quan trọng như thế
    Nhưng nhìn vào vụ hack OPM hay việc CIA quản lý thất bại các online dropsite thì giờ tôi cũng không còn ngạc nhiên trước năng lực bảo mật yếu kém của chính phủ nữa

    • Tôi đang nghiêm túc cân nhắc việc không dùng số điện thoại nữa
      Bảo mật quá yếu, trong khi số điện thoại lại bị dùng như phương tiện xác minh danh tính gần ngang số an sinh xã hội, dù thực ra không hề bắt buộc phải có

    • Những tác nhân tấn công cấp quốc gia hàng đầu, ngay cả không có backdoor, vẫn có thể xâm nhập hầu hết hệ thống nhờ kỹ thuật, nguồn lực và sự bền bỉ của họ
      Không nên chỉ đổ lỗi vô điều kiện cho backdoor; điều cần thiết là năng lực phục hồi an ninh mạng mạnh hơn và khả năng phòng thủ tốt hơn
      Đáng để đọc báo cáo gần đây của Atlantic Council về việc Mỹ nên phản ứng thế nào trước việc Trung Quốc xây dựng hệ thống thu thập lỗ hổng ở cấp quốc gia
      Liên kết báo cáo

    • Máy tính sẽ không bao giờ có thể an toàn 100%, và đặc biệt ở cấp độ quốc gia, việc tiếp cận phần cứng vật lý là quá dễ, nên bảo mật rốt cuộc vẫn là bài toán tiền bạc, chỉ là tiếp tục thêm các số 0 vào đó

  • Với vụ Salt Typhoon, hiếm khi có chuyện đến năm 2024 đã bị công khai trên diện rộng mà đến giờ vẫn chưa được kiểm soát hoàn toàn và vẫn đang tiếp diễn
    Đa số sự cố thường được chia sẻ bài học sau khi hậu kiểm xong, còn lần này thì kẻ tấn công vẫn đang kiểm soát mạng và dữ liệu vẫn tiếp tục bị rò rỉ
    Bài viết liên quan

  • Có thể xem tài liệu công bố chính thức của CISA tại đây

    • Doge và MAGA được cho là đã cắt giảm 30% nhân sự của cơ quan đó (CISA)
      Đúng là quá “đúng thời điểm” khi lại đẩy bớt quan chức ra ngoài vào lúc an ninh mạng và bảo mật hạ tầng đang quan trọng hơn bao giờ hết
      Liên kết bài viết liên quan

    • Liên kết trực tiếp tới khuyến nghị của chính phủ: xem đây

  • Có phát biểu rằng “Trung Quốc đang có hành vi liều lĩnh và nguy hiểm vượt ra ngoài chuẩn mực thông thường của lĩnh vực gián điệp”, khiến tôi tự hỏi rốt cuộc “chuẩn mực” của gián điệp là gì

    • Nhìn vào việc các cơ quan tình báo Mỹ thu thập liên lạc toàn cầu qua PRISM, Upstream và những chương trình tương tự, thì có vẻ ở đây “chuẩn mực” nghĩa là từ trước đến giờ chỉ có Mỹ mới được làm chuyện đó
      Giờ thì Trung Quốc đã trở thành đối thủ ngang tầm doing điều tương tự

    • Có vẻ họ đang nói đến cái “chuẩn” rằng chỉ chính phủ Mỹ mới được quyền tiến hành nghe lén hàng loạt bất hợp pháp đối với công dân của mình
      Phản ứng với việc Trung Quốc làm thế này giống kiểu “Bọn này dám làm thế à?”

    • Có lẽ họ đang nói đến việc nhắm mục tiêu bừa bãi, không phân biệt, kiểu ‘indiscriminate targeting’
      Phó giám đốc FBI phụ trách mảng mạng nói rằng “Giờ đây chúng ta đang bước vào thời kỳ mà ngay cả những người không làm việc trong lĩnh vực nhạy cảm cũng không thể chắc rằng mình không phải mục tiêu của Trung Quốc”

    • Trước giờ tôi không biết gián điệp lại có chuẩn mực hay sổ tay quy tắc gì cả
      Tôi cứ nghĩ luật duy nhất là “đừng để bị bắt”
      Cũng có thể là tôi không hiểu rõ lĩnh vực này

    • Rốt cuộc thì có vẻ chỉ là những quy tắc mềm trong đầu họ mà thôi

  • Tôi muốn biết ngoài chính phủ ra còn có nguồn đáng tin cậy nào khác liên quan tới bản tin này không
    Vụ này có vẻ hoàn toàn có thể xảy ra, nhưng xét đến lịch sử đầy rẫy dối trá, thì chỉ riêng thông báo từ chính phủ hiện tại là chưa đủ để tôi tin
    Một nguồn bên thứ ba bớt màu sắc đảng phái hơn có lẽ sẽ thuyết phục hơn

    • Verizon nói rằng các chính trị gia cụ thể đã bị nhắm mục tiêu
      Liên kết liên quan

    • Một người bạn của tôi làm trong lĩnh vực bảo mật ở Úc nói rằng Trung Quốc gần như đã có mọi thứ trong dữ liệu của Mỹ rồi

  • Chính phủ Mỹ rồi cũng sẽ chỉ tiếp tục gia tăng giám sát mà thôi

  • Theo Nhà Trắng và FBI, hacker Trung Quốc đã tấn công bừa bãi, theo dõi vị trí điện thoại di động của hàng triệu người, giám sát lưu lượng Internet, và trong một số trường hợp còn ghi âm cuộc gọi
    Nạn nhân bao gồm cả cựu tổng thống Donald Trump và phó tổng thống JD Vance
    Ban đầu tôi tưởng việc giám sát này được thực hiện bằng cách kết nối trực tiếp vào trạm gốc hoặc hạ tầng, nhưng đọc trang Wikipedia thì có vẻ đường đi thực tế là hack máy chủ
    Không biết có phải các máy chủ kiểu như của AT&T đã bị xâm nhập hay không
    Tôi đang nghĩ không biết có cách nào để dữ liệu của mình không bị lấy trong những trường hợp thế này không
    Dù có dùng VPN thì nếu họ lấy được dữ liệu vị trí bằng tam giác hóa, có lẽ cũng chẳng có cách nào ngoài việc tắt hẳn điện thoại
    Nguồn - phương thức của Salt Typhoon

    • Cách duy nhất để dữ liệu của tôi bị lấy ít hơn trong trường hợp này là tuyệt đối không dùng số điện thoại cho bất cứ thứ gì, và cấu hình SIM chỉ để dùng dữ liệu, đồng thời thay/luân phiên SIM thường xuyên

    • Càng thấy rõ rằng các quy định về bán và môi giới dữ liệu kiểu GDPR ít nhất cũng ngăn được kịch bản tệ nhất
      Có thể vụ hack lần này đúng là lấy dữ liệu từ phía bị xâm nhập, nhưng thực tế phần lớn dữ liệu vốn đã có thể được mua hợp pháp trên “thị trường không hẳn là chợ đen”, nên bản thân cấu trúc ngành mới là vấn đề
      Từng có nhà báo mua dữ liệu vị trí công khai rồi thử tìm nhân viên cơ quan tình báo
      Dù bán ít hơn đi nữa, thì chừng nào dữ liệu vẫn còn được lưu ở những nơi dễ bị hack như vậy, giới hạn vẫn còn đó

    • Có đoạn nói rằng tổng thống Trump và phó tổng thống JD Vance cũng nằm trong số nạn nhân
      Giá như nhà báo vui tính hơn một chút và thử xin bình luận từ Angela Merkel thì chắc sẽ thú vị hơn

  • Liên quan đến chuyện này, còn có bài viết nói rằng Israel cũng từng tham gia nghe lén viễn thông Mỹ
    Chính phủ Israel cũng đang ở trong tình thế có thể tiếp cận mạng lưới Mỹ theo cùng cách như Trung Quốc