Google đã phối hợp cùng các đối tác trong ngành ngăn chặn một chiến dịch tấn công mạng quy mô lớn, sau khi phát hiện nhóm tin tặc đứng sau đã xâm nhập ít nhất 53 tổ chức tại 42 quốc gia. Thông tin được hãng tin Reuters dẫn lời các nhà phân tích thuộc Google Threat Intelligence Group.
Theo công bố, nhóm bị theo dõi dưới mã UNC2814, còn được gọi bằng biệt danh “Gallium”, đã hoạt động trong thời gian dài, tập trung vào việc xâm nhập hệ thống của các cơ quan chính phủ và doanh nghiệp viễn thông tại nhiều khu vực trên thế giới. Google cho biết chiến dịch này mang tính chất giám sát có chủ đích thay vì phá hoại công khai.
Điểm đáng chú ý là phương thức hoạt động của nhóm tấn công. Thay vì sử dụng các phần mềm độc hại dễ bị phát hiện hoặc gây rối loạn hệ thống, nhóm này lợi dụng các dịch vụ điện toán đám mây hợp pháp để che giấu hoạt động điều khiển từ xa và thu thập dữ liệu. Trong một số trường hợp, tin tặc sử dụng Google Sheets làm kênh trung gian truyền lệnh và nhận dữ liệu, khiến lưu lượng mạng trông giống hoạt động bình thường của người dùng.
Google khẳng định đây không phải là việc sản phẩm của họ tồn tại lỗ hổng bảo mật, mà là việc các dịch vụ hợp pháp bị lợi dụng như một phương tiện ẩn mình. Công ty đã tiến hành đóng các dự án Google Cloud bị chiếm quyền kiểm soát, vô hiệu hóa hạ tầng mạng liên quan và khóa các tài khoản bị sử dụng cho mục đích điều khiển từ xa.
Một thành phần kỹ thuật quan trọng trong chiến dịch này là backdoor mang tên GRIDTIDE. Theo phân tích của Google Threat Intelligence Group, GRIDTIDE được triển khai sau khi kẻ tấn công có được quyền truy cập ban đầu vào hệ thống mục tiêu, thông qua khai thác lỗ hổng, thu thập thông tin xác thực hoặc sử dụng tài khoản bị rò rỉ.
Sau khi cài đặt, GRIDTIDE cho phép duy trì quyền truy cập bí mật và điều khiển hệ thống từ xa trong thời gian dài. Cơ chế hoạt động của backdoor này dựa trên việc kết nối HTTPS đến một tài liệu Google Sheets do nhóm tấn công kiểm soát. Nội dung trong bảng tính chứa các lệnh được mã hóa. Phần mềm độc hại sẽ định kỳ truy vấn tài liệu, giải mã lệnh và thực thi trên máy bị xâm nhập. Dữ liệu thu thập được sau đó cũng được mã hóa và gửi ngược lại thông qua cùng kênh này.
Do toàn bộ quá trình sử dụng giao thức HTTPS và truy cập đến tên miền hợp pháp, việc phân biệt giữa lưu lượng độc hại và hoạt động thông thường trở nên khó khăn. Các chuyên gia gọi đây là kỹ thuật lợi dụng dịch vụ đáng tin cậy để che giấu hành vi, thay vì thiết lập máy chủ điều khiển riêng dễ bị phát hiện và chặn.
Ngoài khả năng thực thi lệnh, GRIDTIDE còn hỗ trợ thu thập thông tin hệ thống, trích xuất dữ liệu định danh, tải và cài đặt thêm module mở rộng. Trong một số trường hợp, phần mềm này thiết lập cơ chế duy trì quyền truy cập lâu dài thông qua scheduled task, chỉnh sửa registry trên hệ điều hành Windows hoặc tạo dịch vụ nền trên hệ thống Linux. Cách làm này giúp nhóm tấn công tồn tại âm thầm trong hệ thống nạn nhân trong thời gian dài mà không gây ra dấu hiệu bất thường rõ rệt.
Theo giới chuyên gia, xu hướng tấn công hiện nay cho thấy tin tặc ngày càng ưu tiên phương pháp “ẩn mình trong hoạt động hợp pháp” thay vì gây gián đoạn tức thời. Điều này khiến các mô hình phòng thủ truyền thống dựa trên chữ ký mã độc hoặc danh sách đen tên miền kém hiệu quả hơn trước.
Trước thực tế đó, các tổ chức và doanh nghiệp được khuyến nghị thay đổi cách tiếp cận bảo mật. Mô hình Zero Trust – không mặc định tin cậy bất kỳ lưu lượng nào dù đến từ nội bộ hay dịch vụ phổ biến – được xem là hướng đi phù hợp. Nguyên tắc cấp quyền tối thiểu và kiểm soát chặt tài khoản quản trị giúp giảm nguy cơ leo thang đặc quyền khi hệ thống bị xâm nhập.
Bên cạnh đó, việc giám sát lưu lượng mạng ra ngoài cần được chú trọng ngang với bảo vệ truy cập từ bên ngoài. Vì GRIDTIDE phụ thuộc vào kết nối ra các dịch vụ đám mây, hệ thống egress filtering và công cụ phân tích hành vi bất thường có thể giúp phát hiện sớm dấu hiệu truy vấn định kỳ đáng ngờ.
Giải pháp EDR hoặc XDR trên máy trạm và máy chủ cũng được đánh giá là cần thiết, bởi chúng có khả năng ghi nhận hành vi tiến trình, phát hiện việc tạo tác vụ lạ, thay đổi registry hoặc thực thi mã từ thư mục bất thường. Song song đó, phân tách mạng nội bộ và triển khai xác thực đa yếu tố cho tài khoản quan trọng là lớp phòng thủ quan trọng nhằm hạn chế lan rộng khi xảy ra sự cố.
Các chuyên gia cũng nhấn mạnh vai trò của hoạt động “threat hunting” chủ động, thay vì chỉ chờ cảnh báo tự động. Việc rà soát định kỳ các tác vụ nền, dịch vụ lạ và hành vi kết nối định kỳ đến các nền tảng đám mây có thể giúp phát hiện sớm các dấu hiệu xâm nhập tinh vi.
Google cho biết chiến dịch này là ví dụ điển hình về xu hướng tấn công mạng hiện đại, nơi ranh giới giữa lưu lượng hợp pháp và hoạt động độc hại ngày càng khó phân biệt. Sự kiện cũng cho thấy tầm quan trọng của hợp tác liên ngành và chia sẻ thông tin trong việc đối phó các chiến dịch có phạm vi toàn cầu.
Trong bối cảnh hạ tầng số phụ thuộc ngày càng nhiều vào dịch vụ đám mây, bài toán bảo mật không chỉ nằm ở việc vá lỗ hổng kỹ thuật, mà còn ở khả năng nhận diện và phân tích hành vi bất thường ẩn trong những hoạt động tưởng chừng hợp pháp.