U.S. authorities đã xác nhận họ đã phá vỡ hoạt động của một nhóm hacker được hậu thuẫn bởi Trung Quốc, đã xâm nhập vào hàng triệu máy tính trên toàn thế giới để ăn cắp dữ liệu như một phần của chiến dịch gián điệp kéo dài nhiều năm. Bộ Tư pháp và FBI cho biết vào thứ Ba họ đã thành công xóa phần mềm đặt vào bởi nhóm hacker được hậu thuẫn bởi Trung Quốc, được biết đến với tên gọi “Twill Typhoon” hoặc “Mustang Panda,” từ hàng ngàn hệ thống bị lây nhiễm trên khắp Hoa Kỳ trong một hoạt động được cấp phép bởi tòa án vào tháng 8 năm 2024.
Các cơ quan chức năng Pháp đã đứng đầu chiến dịch với sự trợ giúp từ công ty an ninh mạng Sekoia đặt tại Paris. Trong một thông cáo báo chí năm ngoái, cơ quan tố tụng Pháp cho biết phần mềm độc hại này - được biết đến với tên gọi “PlugX” đã lây nhiễm vào vài triệu máy tính trên toàn cầu, trong đó có 3.000 thiết bị đặt tại Pháp.
Sekoia cho biết trong một bài đăng trên blog rằng họ đã phát triển khả năng gửi lệnh tới các thiết bị bị lây nhiễm để xóa phần mềm độc hại PlugX. Các cơ quan chức năng Mỹ cho biết rằng hoạt động này đã được sử dụng để xóa phần mềm độc hại từ hơn 4.200 máy tính bị lây nhiễm tại Hoa Kỳ.
Trong hồ sơ tòa án được lưu trữ tại tòa án liên bang ở Pennsylvania, FBI cho biết họ đã quan sát phần mềm độc hại này - thường được cài đặt vào thiết bị mục tiêu thông qua cổng USB của máy tính - từ càng sớm càng tốt như năm 2012, và rằng phần mềm độc hại này đã được các hacker được hậu thuẫn bởi Trung Quốc sử dụng từ năm 2014.
Một khi đã cài đặt, phần mềm độc hại tiếp tục “thu thập và tổ chức các tệp tin của máy tính nạn nhân để trộm.” FBI cho biết. Các cơ quan chức năng Pháp nói rằng phần mềm độc hại PlugX được “sử dụng đặc biệt cho mục đích gián điệp.”
Trong tuyên bố của mình vào thứ Ba, Bộ Tư pháp Hoa Kỳ đã buộc tội chính phủ Trung Quốc trả tiền cho nhóm Twill Typhoon để phát triển phần mềm độc hại PlugX. Trung Quốc đã lâu phủ nhận cáo buộc của Mỹ về vi phạm hacking.
Mặc dù không nêu rõ các nạn nhân cụ thể của chiến dịch hacking này, FBI cho biết rằng Twill Typhoon đã xâm nhập vào hệ thống của “nhiều” tổ chức chính phủ và tư nhân, bao gồm cả ở Hoa Kỳ. Các mục tiêu quan trọng bao gồm các công ty vận chuyển châu Âu, vài chính phủ châu Âu, nhóm phi danh gia Trung Quốc, và các chính phủ khác trên khắp khu vực Ấn Độ-Thái Bình Dương, theo FBI.
Twill Typhoon tham gia vào danh sách ngày càng tăng về các nhóm hacker được hậu thuẫn bởi Trung Quốc mang tên cơn bão. Danh sách này bao gồm Volt Typhoon, một nhóm hacker của chính phủ Trung Quốc được giao nhiệm vụ chuẩn bị cho các cuộc tấn công mạng phá hoại, và Salt Typhoon, nhóm được hậu thuẫn bởi Trung Quốc chịu trách nhiệm cho các cuộc tấn công hacking hàng loạt vào các công ty điện thoại và internet Hoa Kỳ.
Theo Microsoft, công ty đã phát triển hệ thống đặt tên cho các nhóm hacker, Twill Typhoon (trước đây được biết đến với tên gọi “Tantalum”) đã có lịch sử thành công trong việc xâm nhập vào các máy chính phủ trên khắp châu Phi và châu Âu, và các tổ chức nhân đạo trên toàn thế giới.
Microsoft không trả lời ngay lập tức câu hỏi từ TechCrunch vào thứ Ba.
Đây là hoạt động được cấp phép bởi tòa án mới nhất trong số nhiều hoạt động được các cơ quan chức năng Hoa Kỳ thực hiện trong những năm gần đây để chống lại mối đe dọa ngày càng gia tăng từ các kẻ thù nước ngoài nhắm vào các thiết bị của Mỹ. Trong năm 2024, FBI đã thực hiện nhiều hoạt động liên quan đến việc loại bỏ phần mềm độc hại và kiểm soát botnet độc hại, với mục tiêu là phá vỡ các chiến dịch được hậu thuẫn bởi Trung Quốc nhắm vào cơ sở hạ tầng quan trọng của Mỹ.
Các quan chức an ninh quốc gia Mỹ đã mô tả khả năng tấn công mạng của chính phủ Trung Quốc như là một “mối đe dọa xác định thời kỳ.”
