Nhóm đe dọa mạng do nhà nước Trung Quốc tài trợ, được biết đến với tên gọi Salt Typhoon, đã nhắm mục tiêu vào cơ sở hạ tầng viễn thông toàn cầu từ ít nhất năm 2019. Nhóm này chuyên khai thác các thiết bị biên mạng để thiết lập sự hiện diện sâu rộng và thu thập một lượng lớn dữ liệu nhạy cảm. Đây là một mối đe dọa mạng dai dẳng và tinh vi.

Hoạt Động và Mục Tiêu của Salt Typhoon

Salt Typhoon hoạt động dưới sự chỉ đạo của Bộ An ninh Quốc gia (MSS) Trung Quốc, tập trung vào việc thu thập thông tin tình báo tín hiệu (SIGINT) trong dài hạn. Để che giấu nguồn gốc các chiến dịch, nhóm này sử dụng nhiều công ty bình phong và các hệ sinh thái nhà thầu, trong khi vẫn duy trì sự giám sát trực tiếp từ Bắc Kinh.

Phạm Vi Tấn Công và Các Mục Tiêu Quan Trọng

Các chiến dịch của Salt Typhoon đã lan rộng khắp nhiều khu vực, bao gồm Hoa Kỳ, Vương quốc Anh, Đài Loan và Liên minh Châu Âu. Nhóm đã xâm nhập ít nhất hàng chục nhà cung cấp dịch vụ viễn thông Hoa Kỳ, nhiều mạng lưới Vệ binh Quốc gia cấp bang, và các dịch vụ liên lạc của đồng minh.

Những cuộc tấn công này có mục tiêu chiến lược là thu thập dữ liệu nhạy cảm. Các loại dữ liệu bị đánh cắp bao gồm cấu hình VoIP, nhật ký chặn hợp pháp (lawful intercept logs), siêu dữ liệu thuê bao, và bản ghi chi tiết cuộc gọi.

Kỹ Thuật Khai Thác Hệ Thống và Mã Độc Chuyên Dụng

Salt Typhoon sử dụng nhiều phương pháp tấn công tiên tiến để đạt được mục tiêu của mình. Trong đó, nổi bật là việc triển khai mã độc được tùy chỉnh riêng (bespoke malware) và các nhị phân “sống nhờ hệ thống” (Living-Off-the-Land Binaries – LOLBINs).

Ngoài ra, nhóm còn sử dụng các phần mềm cấy ghép (firmware implants) khó phát hiện trên các thiết bị biên mạng như bộ định tuyến (routers), cổng VPN (VPN gateways), và tường lửa (firewalls). Những kỹ thuật này giúp nhóm duy trì sự hiện diện lâu dài và bí mật trong hệ thống bị xâm nhập.

Mô Hình Hoạt Động Lai Ghép và Che Giấu Nguồn Gốc

Những cáo trạng và tiết lộ tình báo gần đây đã cho thấy Salt Typhoon hoạt động cùng với các công ty nhà thầu “bán tư nhân”. Các công ty này bao gồm i-SOON (Anxun Information Technology Co., Ltd.), Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong, và Sichuan Zhixin Ruijie.

Các thực thể này cung cấp các dịch vụ thiết yếu cho các chiến dịch tấn công, bao gồm đường dây đăng ký tên miền, cơ sở hạ tầng thuê ngoài, hỗ trợ kỹ thuật và công cụ tùy chỉnh. Kho lưu trữ GitHub bị rò rỉ của i-SOON và vỏ bọc công ty bình phong của họ, bị phơi bày vào năm 2024, đã minh họa cách MSS thuê ngoài các yếu tố quan trọng trong hoạt động tấn công mạng của mình, đồng thời duy trì khả năng phủ nhận một cách hợp lý.

Để biết thêm chi tiết về hoạt động của Salt Typhoon, bạn có thể tham khảo phân tích chuyên sâu tại DomainTools.

Đặc Điểm Thương Mại và Dấu Vết Số

Kỹ thuật tấn công của Salt Typhoon nổi bật bởi cơ sở hạ tầng mô-đun và được công nghiệp hóa. Nhóm thường xuyên đăng ký các tên miền tiếng Anh bằng cách sử dụng danh tính giả mạo tại Hoa Kỳ, thường với tài khoản ProtonMail và địa chỉ ở Miami hoặc Illinois.

Họ cũng mua các chứng chỉ SSL thương mại được xác thực tên miền từ GoDaddy và Sectigo để tăng cường tính hợp pháp. Điều này cho phép các cuộc tấn công mạng của họ trông đáng tin cậy hơn.

Việc cung cấp tên miền hàng loạt, các cụm máy chủ DNS dùng chung và việc sử dụng lặp lại các máy chủ tên miền và dải IP cụ thể đã tạo ra các mẫu có thể phát hiện được. Những mẫu này đã hỗ trợ các nhà phòng thủ trong việc lập bản đồ dấu vết của tác nhân theo thời gian.

Cơ Chế Phân Lớp và Các Cá Nhân Liên Quan

Các nỗ lực quy kết đã xác định được hai cá nhân chủ chốt: Yin Kecheng, một nhà điều hành của Sichuan Juxinhe bị Bộ Tư pháp Hoa Kỳ truy tố và bị OFAC trừng phạt vì đã tạo điều kiện cho các vụ vi phạm viễn thông; và Zhou Shuai (còn gọi là “Coldface”), một cựu tư vấn của i-SOON hiện bị buộc tội môi giới dữ liệu bị đánh cắp và điều phối việc cung cấp cơ sở hạ tầng.

Vai trò của họ làm nổi bật mô hình đối thủ nhiều lớp của Salt Typhoon. Mô hình này tách biệt các hoạt động môi giới chiến lược, hậu cần tên miền và triển khai kỹ thuật cấy ghép giữa các nhà thầu liên kết với nhà nước.

Mô hình hoạt động kết hợp của Salt Typhoon – các nhiệm vụ do MSS giao được bổ sung bởi các công ty bình phong và nhà thầu thương mại – phản ánh một sự thay đổi rộng lớn hơn trong học thuyết tấn công mạng của Trung Quốc. Bắc Kinh đang hướng tới một hình thức gián điệp được tư nhân hóa và có khả năng mở rộng, đạt được cả hiệu quả hoạt động và khả năng phủ nhận.

Chiến Lược Phòng Thủ và Giảm Thiểu Rủi Ro

Mặc dù việc sử dụng lặp lại các danh tính giả mạo và cơ sở hạ tầng dùng chung đã khiến Salt Typhoon bị quy kết, nhưng các phần mềm cấy ghép tinh vi và sự hiện diện lâu dài của nhóm vẫn tiếp tục đặt ra những thách thức đáng kể cho các nhà phòng thủ.

Chiến lược phòng thủ an ninh mạng: Nhận Diện và Phát Hiện Sớm

Đối với các nhà phòng thủ mạng, các mẫu đặt tên miền có thể dự đoán được của nhóm, việc mua chứng chỉ SSL hàng loạt và các cụm DNS dùng chung cung cấp các điểm trục phát hiện khả thi.

Giám sát DNS thụ động (passive DNS), dữ liệu đo từ xa của nhà đăng ký (registrar telemetry), việc cấp chứng chỉ SSL và sự trùng lặp danh tính giả mạo có thể tiết lộ các chiến dịch Salt Typhoon mới nổi trước khi chúng phát triển thành các cuộc xâm nhập chủ động.

Các Biện Pháp Bảo Mật Cần Thiết

Tuy nhiên, để giảm thiểu sự dai dẳng lâu dài của nhóm trên các thiết bị biên, các nhà khai thác viễn thông và nhà cung cấp cơ sở hạ tầng quan trọng sẽ cần tăng cường bảo mật firmware, thực thi quản lý cấu hình nghiêm ngặt và triển khai phát hiện bất thường mạnh mẽ trên các hệ thống VoIP và chặn hợp pháp.

Khi Salt Typhoon phát triển các kỹ thuật tấn công và mối quan hệ với các nhà thầu của mình, điều này nhấn mạnh nhu cầu cấp bách về hợp tác quốc tế trong việc theo dõi, quy kết và phá vỡ các chương trình gián điệp mạng liên kết với nhà nước nhắm vào xương sống của truyền thông toàn cầu.