SentinelOne: Các hãng TQ đứng phía sau với hơn 15 bằng sáng chế về gián điệp mạng

[trungthuc]

Theo SentinelOne, các hãng TQ đứng phía sau với hơn 15 bằng sáng chế về ứng dụng gián điệp mạng có dính líu đếni nhóm hacker nỗi tiếng Silk Typhoon (còn gọi là "Hafnium").

Hãng an ninh mạng nổi tiếng SentinelOne (Mỹ) có chia sẻ với trang THN rằng, hơn 15 bằng sáng chế này gồm các phầ mềm điều tra và khai thác xâm nhập vào hệ thống, cho phép thu thập số liệu bị mã hóa từ thiết bị đầu cuối, điều tra sản phẩm kỹ thuật của Apple và truy cập từ xa vào bộ định tuyến (router) và những thiết bị "nhà thông minh".

"Những kiến thức hiểu biết mới này về năng lực của các công ty có liên kết với nhóm hacker Silk Typhoon cho thấy một điểm thiếu sót quan trọng trong lĩnh vực quy ra thủ phạm tấn công mạng: Việc theo dõi tác nhân đe dọa thường chỉ liên kết các chiến dịch và cụm hoạt động với một cái tên cụ thể", theo Dakota Cary, cố vấn chiến lược chuyên trách về TQ tại SentinelLabs, nhóm nghiên cứu và phân tích mối đe dọa của SentinelOne.

Cụ thể hơn, Dakota Cary cho biết cần phải đào sâu để nắm hiểu về các công ty và tổ chức mà những tên hacker này đang tiếp tay làm việc, vì đó mới là nguồn sức mạnh thực sự của họ.

"Nghiên cứu của chúng tôi đã chứng minh về tầm mức quan trọng để xác định không chỉ những cá nhân đứng sau các cuộc tấn công mà còn cả các công ty mà họ làm việc, năng lực của những hãng đó", Dakota Cary có cho biết thêm.

(Minh họa)

Bọn tin tặc Silk Typhoon vốn nổi tiếng nhất với việc khai thác các lỗ hổng zero-day trong Microsoft Exchange Server vào đầu năm 2021. Cuộc tấn công này đã gây ảnh hưởng đến hàng chục ngàn tổ chức trên toàn thế giới, cho phép Silk Typhoon đánh cắp dữ kiện nhạy cảm và cài đặt các "cửa hậu" (backdoor) để duy trì quyền được truy cập liên tục vào mạng lưới của nạn nhân.

Exchange Server là phần mềm máy chủ do Microsoft phát minh ra, sử dụng để phụ trách email, lịch làm việc, danh bạ và các thao tác cộng tác khác trong môi trường kinh doanh.

Bộ Tư pháp Mỹ nêu ra tên tuổi của 2 tên hacker dính líu sâu đậm với nhóm Silk Typhoon

Sự phát hiện ra về 2 tên hacker này được tiếp nối với bản cáo trạng trong tháng 7/2025 của Bộ Tư pháp Mỹ với Xu Zewei và Zhang Yu, hai tên hacker TQ bị tố cáo đã cho điều phối chiến dịch khai thác xâm nhập mạng trái phép với quy mô lớn năm 2021 nhắm vào Microsoft Exchange Server, sử dụng các lỗ hổng zero-day (chưa được biết đến) có tên ProxyLogon.

Bộ Tư pháp Mỹ xác định 2 tên Xu Zewei và Zhang Yu có dính líu trực tiếp đến các hoạt động mờ ám của bọn tin tặc Silk Typhoon.

Các tài liệu tòa án cho biết tên Xu Zewei đã từng làm việc tại Shanghai Powerock Network, còn tên Zhang Yu kia là nhân viên của Shanghai Firetech Information Science and Technology. Theo giới truyền thông ở Mỹ, đây là hai công ty "vỏ bọc" ở TQ, được dựng lên để hỗ trợ chiến dịch tấn công mạng, không có thông tin công khai về địa chỉ chính xác, quy mô hoạt động, số nhân viên hoặc mặt hàng dịch vụ.

Đáng chú ý hơn, trang Natto Thoughts từng đưa tin Shanghai Powerock Network đã cho hủy đăng ký kinh doanh vào ngày 7/4/2021, chỉ hơn một tháng sau khi Microsoft công khai tố cáo bọn hacker TQ về các hoạt động khai thác lỗ hổng zero-day. Sau đó, tên Xu Zewei đã gia nhập công ty an ninh mạng Chaitin Tech, nhưng rồi lại tiếp tục chuyển việc và làm quản lý CNTT tại Shanghai GTA Semiconductor.

Shanghai GTA Semiconductor là công ty chế tạo chất bán dẫn có trụ sở tại thành phố Thượng Hải (TQ), nổi bật trong lĩnh vực sản xuất chip kết hợp chuyên dụng, đặc biệt cho ngành xe hơi, thiết bị kỹ nghệ và điều khiển nguồn điện năng.

Cần lưu ý rằng, tên Yin Kecheng, một tin tặc có liên hệ với Silk Typhoon, được biết đã từng làm việc tại công ty Shanghai Heiying Information Technology (TQ) do tên Zhou Shuai thành lập. Tên Zhou Shuai này được cho là hacker TQ yêu nước và kẻ môi giới mua bán tin tức rò rỉ bị đánh cắp.

Theo trang THN, cuộc điều tra sâu hơn về mạng lưới kết nối giữa các cá nhân và công ty đã phát hiện ra cho thấy, những bằng sáng chế được nộp từi Shanghai Firetech Information Science and Technology cùng với Shanghai Siling Commerce Consulting Center.

Shanghai Siling Commerce Consulting Center là công ty được đồng sáng lập bởi tên Zhang Yu và Yin Wenji (Giám đốc điều hành Shanghai Firetech Information Science and Technology) nhằm thu thập thu thập tư liệu của các thiết bị Apple, router và thiết bị phòng vệ.

Cũng có bằng chứng cho thấy Shanghai Firetech Information Science and Technology đang đưa ra các giải pháp cho phép thực hiện hoạt động tiếp cận gần nhắm vào các cá nhân bị xem là mục tiêu.

"Các phương pháp mà Shanghai Firetech Information Science and Technology kiểm soát đa dạng hơn so với những gì mà công chúng biết về bọn tin tặc Silk Typhoon", Dakota Cary nhấn mạnh.

Tham khảo tư liệu:
SentinelOne nổi tiếng với nền tảng bảo mật tiên tiến sử dụng trí tuệ nhân tạo (AI) và học máy để bảo vệ các hệ thống máy tính, thiết bị IoT (internet vạn vật) và khối lượng công việc trên đám mây.

Các dịch vụ chính của SentinelOne

- Bảo mật điểm cuối (Endpoint Security): SentinelOne chuyên về bảo vệ các điểm cuối (như laptop, máy tính để bàn, máy chủ) khỏi các mối đe dọa mạng.

- Nền tảng Singularity: Đây là nền tảng chính của SentinelOne, cho kết hợp nhiều chưc năng bảo mật như:

1/ EPP (Endpoint Protection Platform): Ngăn chặn phần mềm độc hại, mã độc tống tiền (ransomware), các cuộc tấn công zero-day và tấn công không sử dụng file trong thời gian thực tế, không dựa vào chữ ký truyền thống.

2/ EDR (Endpoint Detection and Response): Tự động tạo dòng thời gian chi tiết về chuỗi sự kiện tấn công, giúp các chuyên gia phân tích bảo mật điều tra và phản ứng hiệu quả.

3/ XDR (Extended Detection and Response): Mở rộng khả năng phát hiện và phản ứng ra ngoài điểm cuối, gồm mạng, đám mây và danh tính, cung cấp một cách tiếp cận toàn diện để kiểm soát mối đe dọa.

4/ AI: SentinelOne sử dụng AI hành vi để phân tích các mẫu hành vi và phát hiện các mối đe dọa đã biết và chưa biết đến. AI giúp tự động hóa quá trình phát hiện, ngăn chặn, phản ứng và khắc phục, giảm thiểu sự can thiệp qua thủ công.

5/ Phản ứng tự động: Nền tảng này có khả năng tự động cho cách ly và khắc phục các mối đe dọa mà không cần sự can thiệp liên tục của con người.

6/ Khôi phục hệ thống (1-Click Rollback): SentinelOne có chức năng độc đáo là cho phép khôi phục hệ thống bị ảnh hưởng trở về trạng thái an toàn trước khi bị tấn công chỉ với một cú nhấp chuột, giúp giảm thời gian khắc phục hậu quả.

SentinelOne thường xuyên được các tổ chức đánh giá hàng đầu công nhận là công ty dẫn đầu trong lĩnh vực nền tảng ngăn chận và bảo vệ điểm cuối.

SentinelLabs là bộ phận nghiên cứu và thu thập tình báo các mối đe dọa của SentinelOne.
Chức năng và vai trò của SentinelLabs:
- Nghiên cứu mối đe dọa: Chuyên săn lùng, phân tích và giải mã các loại mã độc (malware), lỗ hổng bảo mật, nhóm tấn công có tổ chức và tinh vi (APT), cũng như hoạt động tội phạm mạng trên tất cả nền tảng.

- Phân tích sâu: Nhóm này gồm các chuyên gia bảo mật, thực hiện quá trình kỹ thuật đảo ngược, phát hiện lỗ hổng bảo mật và nhà nghiên cứu chuyên sâu về hoạt động của các tác nhân gây đe dọa.

Kỹ thuật đảo ngược là một quá trình phân tích, "bóc tách" ra một sản phẩm, hệ thống hóa các phần mềm hiện có để hiểu rõ về cách thiết kế, nguyên tắc hoạt động, cấu trúc bên trong hoặc mã nguồn của nó. Mục đích không phải là để tạo ra một bản sao giống y hệt (dù đôi khi có thể dẫn đến điều đó), mà nhằm hiểu sâu sắc cách thức mà nó được tạo ra và hoạt động.

Chia sẻ thông tin: Một phần quan trọng trong sứ mạng của SentinelLabs là chia sẻ công khai những sự phát hiện, đưa ra biện pháp và các thông tin chi tiết về các mối đe dọa. Điều này giúp cho cộng đồng an ninh mạng hiểu rõ hơn về bối cảnh mối đe dọa và tăng cường khả năng phòng thủ chung.

- Cung cấp tin tình báo: Các báo cáo và nghiên cứu từ SentinelLabs cung cấp thông tin tình báo quan trọng cho khách hàng, giúp họ hiểu rõ hơn về các rủi ro tiềm tàng và cách thức để bảo vệ hệ thống của mình.

- Đóng góp vào ngành: SentinelLabs thường xuyên được trích dẫn trong các tin tức và báo cáo về an ninh mạng, thể hiện vai trò là một trong những nguồn thông tin đáng tin cậy về các mối đe dọa mới và xu hướng tấn công.

Tóm lại, SentinelLabs là "bộ não" nghiên cứu cho SentinelOne, luôn đi đầu trong việc khám phá và phân tích các mối đe dọa mạng để cung cấp thông tin tình báo và cải thiện khả năng bảo vệ của các sản phẩm an ninh mạng.