Charles Carmakal, giám đốc kỹ thuật của Mandiant, cho biết: “Đây là chiến dịch gián điệp mạng quy mô lớn nhất được thực hiện bởi một kẻ đe dọa có mối liên hệ với Trung Quốc kể từ vụ khai thác hàng loạt Microsoft Exchange vào đầu năm 2021”.
Vụ hack Microsoft Exchange đã xâm phạm hàng chục nghìn máy tính trên toàn cầu.
Trong một bài đăng trên blog hôm thứ Năm 15/6, Mandiant thuộc sở hữu của Google bày tỏ “rất tin tưởng” rằng nhóm khai thác lỗ hổng phần mềm trong Cổng bảo mật email của Barracuda Networks đã tham gia vào “hoạt động gián điệp hỗ trợ Cộng hòa Nhân dân Trung Hoa”. Nó cho biết hoạt động bắt đầu sớm nhất là vào tháng 10/2022.
Mandiant cho biết các tin tặc đã gửi email có chứa tệp đính kèm độc hại để có quyền truy cập vào các thiết bị và dữ liệu của các tổ chức bị nhắm mục tiêu.
Trong số các tổ chức đó, 55% đến từ châu Mỹ, 22% từ châu Á Thái Bình Dương và 24% từ châu Âu, Trung Đông và châu Phi; bao gồm các bộ ngoại giao ở Đông Nam Á, các văn phòng thương mại nước ngoài và các tổ chức học thuật ở Đài Loan và Hồng Kông.
Mandiant cho biết tác động phần lớn ở châu Mỹ có thể phản ánh một phần địa lý của cơ sở khách hàng của Barracuda.
Barracuda đã thông báo vào ngày 6/6 rằng một số thiết bị bảo mật email của họ đã bị tấn công vào đầu tháng 10, tạo cho những kẻ xâm nhập một cửa sau vào các mạng bị xâm nhập. Vụ hack nghiêm trọng đến mức công ty California đề nghị thay thế hoàn toàn các thiết bị.
Sau khi phát hiện ra nó vào giữa tháng 5, Barracuda đã phát hành các bản vá ngăn chặn và khắc phục nhưng nhóm hack, mà Mandiant xác định là UNC4841, đã thay đổi phần mềm độc hại của họ để cố gắng duy trì quyền truy cập, Mandiant cho biết.
Nhóm này sau đó “phản công bằng các hoạt động tần suất cao nhắm vào một số nạn nhân ở ít nhất 16 quốc gia khác nhau.”
Thông tin về vụ vi phạm được đưa ra khi Ngoại trưởng Hoa Kỳ Antony Blinken khởi hành đến Trung Quốc vào cuối tuần này như một phần trong nỗ lực của chính quyền Biden nhằm sửa chữa mối quan hệ đang xấu đi giữa Washington và Bắc Kinh.
Chuyến thăm của ông ban đầu được lên kế hoạch vào đầu năm nay nhưng đã bị hoãn vô thời hạn sau khi phát hiện và bắn hạ thứ mà Hoa Kỳ nói là khinh khí cầu do thám Trung Quốc bay qua Hoa Kỳ.
Mandiant cho biết việc nhắm mục tiêu ở cả cấp độ tài khoản tổ chức và cá nhân, tập trung vào các vấn đề ưu tiên chính sách cao đối với Trung Quốc, đặc biệt là ở khu vực Châu Á Thái Bình Dương. Nó cho biết các tin tặc đã tìm kiếm tài khoản email của những người làm việc cho các chính phủ có lợi ích chính trị hoặc chiến lược đối với Trung Quốc vào thời điểm họ đang tham gia các cuộc họp ngoại giao với các quốc gia khác.
Chính phủ Hoa Kỳ đã cáo buộc Bắc Kinh là mối đe dọa gián điệp mạng chính của họ, với việc các tin tặc Trung Quốc do nhà nước hậu thuẫn đánh cắp dữ liệu từ cả khu vực tư nhân và công cộng.
Xét về thông tin tình báo thô ảnh hưởng đến Hoa Kỳ, các cuộc xâm nhập điện tử lớn nhất của Trung Quốc đã nhắm mục tiêu vào OPM, Anthem, Equifax và Marriott.
Đầu năm nay, Microsoft cho biết các tin tặc Trung Quốc do nhà nước hậu thuẫn đã nhắm mục tiêu vào cơ sở hạ tầng quan trọng của Hoa Kỳ và có thể đặt nền tảng kỹ thuật cho khả năng làm gián đoạn liên lạc quan trọng giữa Hoa Kỳ và châu Á trong các cuộc khủng hoảng trong tương lai.
Trung Quốc cho biết Hoa Kỳ cũng tham gia vào hoạt động gián điệp mạng chống lại họ, xâm nhập vào máy tính của các trường đại học và công ty của họ.