Tình báo Hà Lan: Chiến dịch mạng liên quan đến Trung Quốc xâm nhập hàng chục chính phủ phương Tây

Theo chính phủ Hà Lan, một chiến dịch mạng có liên quan đến Trung Quốc, vốn đã xâm nhập vào mạng lưới quốc phòng của Hà Lan vào năm ngoái, có quy mô lớn hơn nhiều so với suy nghĩ trước đây. Chiến dịch này đã xâm nhập vào hàng chục nghìn hệ thống chính phủ và quốc phòng ở các quốc gia phương Tây.

Chiến dịch này, có tên gọi COATHANGER, có liên quan đến chính quyền cộng sản Trung Quốc và nó đã khai thác lỗ hổng zero-day trong hệ thống tường lửa FortiGate được Hà Lan và các quốc gia khác sử dụng trên nhiều mạng lưới chính phủ. Lỗ hổng zero-day tồn tại khi bản cập nhật phần mềm được triển khai lần đầu tiên.

Báo cáo ban đầu của tình báo Hà Lan, công bố vào tháng Hai, cho rằng thiệt hại từ vụ xâm nhập bị hạn chế bởi vì chế độ “phân đoạn mạng”, giúp tách một hệ thống bị ảnh hưởng ra khỏi mạng lưới quốc phòng rộng lớn hơn của quốc gia.

Tuy nhiên, Trung tâm An ninh Mạng Quốc gia Hà Lan (NCSC) thông báo hôm 10/6 rằng chiến dịch mạng của Trung Quốc lớn hơn rất nhiều so với suy nghĩ trước đây.

NCSC dẫn chứng, chiến dịch COATHANGER đã xâm nhập 20.000 hệ thống của hàng chục chính phủ phương Tây, các tổ chức quốc tế, và một số lượng lớn các công ty trong ngành công nghiệp quốc phòng.

Ngoài ra, thông báo của NCSC còn cho biết, những kẻ tấn công đã lợi dụng vụ xâm nhập để cài đặt phần mềm độc hại trên một số mục tiêu bị xâm phạm để đảm bảo quyền truy cập liên tục vào các hệ thống đó. Phần mềm độc hại này vẫn chưa bị loại bỏ.

Thông báo cảnh báo: “Điều này cung cấp cho tác nhân nhà nước [Trung Quốc] quyền truy cập vào hệ thống. Ngay cả khi nạn nhân đã cài đặt các bản cập nhật bảo mật FortiGate, tác nhân nhà nước này vẫn tiếp tục có được quyền truy cập này.”

NCSC nhấn mạnh: “Không biết có bao nhiêu nạn nhân đã thực sự bị cài đặt phần mềm độc hại. Các cơ quan tình báo Hà Lan và NCSC cho rằng rất có thể tác nhân thuộc sở hữu nhà nước này có khả năng mở rộng quyền truy cập tới hàng trăm nạn nhân trên toàn thế giới và có thể đã tiến hành các hành động khác như đánh cắp dữ liệu.”

Vì vậy, thông báo của Hà Lan khuyến cáo rằng, “rất có thể tác nhân nhà nước này vẫn có quyền truy cập vào các hệ thống của một số lượng đáng kể các nạn nhân vào thời điểm này” và các tổ chức nên thực hiện các biện pháp để giảm thiểu hậu quả có thể xảy ra từ việc truy cập đó.

Báo cáo ban đầu của Hà Lan, do Cơ quan An ninh và Tình báo Quân đội Hà Lan cùng với Tổng cục An ninh và Tình báo đồng công bố, không nói rõ những thông tin nào mà các tin tặc đang cố gắng lấy được.

Quy mô của phát hiện mới nhất cho thấy, chiến dịch mạng của Trung Quốc đã tìm cách có được quyền truy cập liên tục vào các ngành công nghiệp quốc phòng ở các quốc gia phương Tây. Tuy nhiên, vẫn chưa rõ liệu tất cả các nạn nhân đều ở các quốc gia trong khối NATO hay có chung mối liên hệ nào khác.

Thông báo của Hà Lan lưu ý, giống như nhiều tin tặc khác, chiến dịch COATHANGER nhắm mục tiêu vào “các thiết bị biên” như tường lửa, máy chủ VPN, bộ định tuyến, và máy chủ email kết nối một hệ thống với mạng lưới lớn hơn.

Thông báo đề xuất, bởi vì rất khó để đoán trước các lỗ hổng zero-day, nên chính phủ khuyến khích áp dụng nguyên tắc “giả định vi phạm.”

Điều này có nghĩa là nên giả định một vụ xâm nhập ban đầu xảy ra và các nỗ lực cần phải được tiến hành để hạn chế thiệt hại.

Nhiều báo cáo đã phát hiện rằng các tác nhân được Trung Quốc hậu thuẫn có liên quan đến cả hệ thống tình báo và cơ quan thực thi pháp luật của Trung Quốc. Các cơ quan này đứng đằng sau các hoạt động gây ảnh hưởng trực tuyến lớn nhất thế giới.

Đầu năm nay, các lãnh đạo tình báo Hoa Kỳ thông báo, họ đã loại bỏ phần mềm độc hại của Trung Quốc có tên gọi Volt Typhoon. Phần mềm độc hại này đã được cài đặt trên hàng trăm thiết bị, dẫn đến việc đe dọa các cơ sở hạ tầng quan trọng của Hoa Kỳ, bao gồm các hệ thống kiểm soát nước, năng lượng, dầu, và không lưu.