Microsoft cáo buộc Trung Quốc lạm dụng yêu cầu tiết lộ lỗ hổng bảo mật

Hôm thứ Sáu, Microsoft đã cáo buộc các tin tặc được nhà nước hậu thuẫn ở Trung Quốc lạm dụng các yêu cầu tiết lộ lỗ hổng bảo mật của nước này trong nỗ lực khám phá và phát triển các phương pháp khai thác zero-day. 

Vào tháng 7 năm 2021, Cơ quan Quản lý Không gian mạng Trung Quốc (CAC) đã ban hành các quy định chặt chẽ hơn về việc tiết lộ các lỗ hổng bảo mật cho các công ty hoạt động trong biên giới nước này. 

Lo ngại rằng quân đội Trung Quốc sẽ khai thác các lỗ hổng bảo mật trước khi báo cáo chúng một cách rộng rãi hơn là một phần không thể thiếu trong cuộc điều tra về việc xử lý lỗ hổng Log4j đang lan rộng. Đầu năm nay, các báo cáo xuất hiện rằng chính phủ Trung Quốc đã trừng phạt Alibaba vì đã báo cáo lỗ hổng bảo mật cho Apache trước, thay vì cho chính phủ. 

Ban Đánh giá An toàn Mạng của Bộ An ninh Nội địa đã nói chuyện với chính phủ Trung Quốc và “không tìm thấy bằng chứng” cho thấy Trung Quốc đã sử dụng kiến ​​thức tiên tiến về điểm yếu của mình để khai thác mạng.

Nhưng trong một báo cáo bảo mật dài 114 trang được công bố hôm thứ Sáu, Microsoft đã công khai cáo buộc chính phủ Trung Quốc lạm dụng các quy định mới và vạch ra cách các nhóm liên kết với nhà nước ngày càng khai thác các lỗ hổng trên toàn cầu kể từ khi chúng được triển khai.

"Việc sử dụng 0 ngày gia tăng trong năm qua từ các tác nhân ở Trung Quốc có thể phản ánh cả năm đầu tiên Trung Quốc yêu cầu công bố lỗ hổng bảo mật đối với cộng đồng an ninh Trung Quốc và một bước quan trọng trong việc sử dụng khai thác 0 ngày như một ưu tiên của nhà nước". Microsoft cho biết. 

"Trong khi chúng tôi quan sát thấy nhiều tổ chức quốc gia đang khai thác các hoạt động khai thác từ các lỗ hổng không xác định, các tổ chức đe dọa quốc gia có trụ sở tại Trung Quốc đặc biệt thành thạo trong việc phát hiện và phát triển các khai thác zero-day."

Microsoft cho biết các quy tắc có hiệu lực vào tháng 9 năm 2021 và đánh dấu "lần đầu tiên trên thế giới chính phủ yêu cầu báo cáo các lỗ hổng cho cơ quan chính phủ để xem xét trước khi lỗ hổng được chia sẻ với chủ sở hữu sản phẩm hoặc dịch vụ." 

Gã khổng lồ công nghệ nói thêm rằng quy định "có thể cho phép các thành phần trong chính phủ Trung Quốc tích trữ các lỗ hổng được báo cáo để vũ khí hóa chúng."

Bộ Ngoại giao Trung Quốc đã không trả lời yêu cầu bình luận về các tuyên bố của Microsoft. 

Microsoft tiếp tục ghi nhận việc lạm dụng các lỗ hổng zero-day cụ thể đối với các tin tặc chính phủ Trung Quốc, bao gồm cả lỗ hổng SolarWindsCVE-2021-35211, hai lỗ hổng ảnh hưởng đến các sản phẩm của Zoho vàCVE-2021-42321, một khai thác không ngày cho lỗ hổng Microsoft Exchange.

Microsoft nói thêm rằng một "tác nhân liên kết với Trung Quốc" có thể có mã khai thác zero-day choCVE-2022-26134- một lỗ hổng ảnh hưởng đến các sản phẩm của Atlassian - bốn ngày trước khi lỗ hổng này được tiết lộ công khai vào ngày 2 tháng 6. Nam diễn viên “có khả năng đã tận dụng nó để chống lại một thực thể có trụ sở tại Hoa Kỳ.”

Các chiến dịch hack toàn cầu
Trong báo cáo của mình, Microsoft cáo buộc Trung Quốc đang tiến hành các chiến dịch tấn công toàn cầu rầm rộ chống lại cả đồng minh và đối thủ. 

Họ viết, các cuộc tấn công kéo dài khắp Châu Phi, Caribe, Trung Đông, Châu Đại Dương và Nam Á, đặc biệt tập trung vào các quốc gia ở Đông Nam Á và quần đảo Thái Bình Dương.
“Phù hợp với chiến lược Sáng kiến ​​Vành đai và Con đường [BRI] của Trung Quốc, các nhóm đe dọa từ Trung Quốc đã nhắm mục tiêu vào các thực thể ở Afghanistan, Kazakhstan, Mauritius, Namibia, Trinidad và Tobago,” Microsoft cho biết.

Trinidad và Tobago là quốc gia Caribe đầu tiên tham gia sáng kiến ​​này vào năm 2018, ký kết các thỏa thuận xây dựng ngay từ đầu. Tuy nhiên, tin tặc Trung Quốc đã nhắm mục tiêu vào các mạng của nước này trong suốt năm 2021 và tiến hành các hoạt động do thám chống lại một trong các cơ quan chính phủ của nước này vào tháng 3 năm 2022, theo Microsoft. 

Theo Microsoft, các quốc gia trên khắp Đông Nam Á và Thái Bình Dương cũng bị nhắm mục tiêu rộng rãi. 

Các tin tặc nhà nước đã nhắm mục tiêu vào một công ty năng lượng và một cơ quan chính phủ liên quan đến năng lượng ở Việt Nam vào tháng Giêng, đồng thời truy lùng một cơ quan chính phủ Indonesia cùng tháng đó. 

Một nhóm hack khác bị cáo buộc có liên hệ với chính phủ Trung Quốc đã xâm nhập hơn 100 tài khoản liên kết với một tổ chức liên chính phủ nổi tiếng (IGO) ở khu vực Đông Nam Á vào tháng Hai và tháng Ba. Cuộc tấn công đó trùng hợp với một thông báo rằng IGO sẽ họp với Hoa Kỳ và các nhà lãnh đạo khu vực khác. 

Các nhà nghiên cứu của Microsoft lưu ý rằng các cuộc tấn công bắt đầu từ tháng 5, chỉ một tháng sau khi Trung Quốc ký thỏa thuận an ninh với đảo quốc này, cho phép nước này triển khai cảnh sát và quân đội có vũ trang. 

Phần mềm độc hại từ một nhóm hack có trụ sở tại Trung Quốc đã được tìm thấy trên các hệ thống của chính phủ Quần đảo Solomon vào tháng 5. Theo Microsoft, các vụ hack khác cũng nhắm vào các tổ chức ở Papua New Guinea. 

Vào tháng 12 năm 2021, Microsoft đã nhận được một trát tòa cho phép họ thu giữ 42 tên miền được sử dụng bởi một nhóm gián điệp mạng Trung Quốc trong các hoạt động gần đây nhằm vào các tổ chức ở Mỹ và 28 quốc gia khác.

Gã khổng lồ công nghệ lưu ý rằng kể từ hành động đó, cùng một nhóm hack của Trung Quốc đã tìm cách thiết lập quyền truy cập mà họ bị mất. Từ tháng 3 đến tháng 5 năm nay, nhóm đã có thể thỏa hiệp lại ít nhất 5 cơ quan chính phủ trên toàn cầu.

“Khi Trung Quốc tiếp tục thiết lập quan hệ kinh tế song phương với nhiều quốc gia hơn - thường là trong các thỏa thuận liên kết với BRI - thì ảnh hưởng toàn cầu của Trung Quốc sẽ tiếp tục tăng lên,” Microsoft nói.

“Chúng tôi đánh giá các tác nhân đe dọa nhà nước và liên bang của Trung Quốc sẽ theo đuổi các mục tiêu trong các lĩnh vực chính phủ, ngoại giao và tổ chức phi chính phủ của họ để có được những hiểu biết mới, có thể là theo đuổi các mục tiêu gián điệp kinh tế hoặc thu thập thông tin tình báo truyền thống.”