Tin tặc Trung Quốc ẩn trong Microsoft 365 suốt 18 tháng mà không bị phát hiện

Trong khoảng một năm rưỡi, một nhóm tin tặc Trung Quốc có liên hệ với nhà nước đã đọc email công ty, mở các tệp nội bộ và di chuyển qua mạng của doanh nghiệp trong khi, với mọi công cụ giám sát, trông chẳng khác gì một nhân viên bình thường đăng nhập để làm việc. Vụ xâm nhập, được hãng bảo mật Volexity mô tả chi tiết, không bẻ gãy Microsoft 365. Nó giả làm chính những người đã có sẵn chìa khóa.

Chính sự khác biệt đó mới là toàn bộ câu chuyện, và nó giải thích vì sao vụ rò rỉ liên quan đến bất kỳ ai có công việc nằm bên trong một tài khoản đám mây. Microsoft 365 ngày nay là nơi phần lớn công ty lưu thư từ, tài liệu và danh tính đăng nhập một lần mở khóa mọi thứ còn lại. Kẻ tấn công chưa bao giờ phải đánh bại hệ thống ấy. Chúng mượn một lần đăng nhập hợp lệ và đi vào bằng cửa chính, còn lớp phòng thủ được dựng lên để hỏi “đúng là bạn không?” đã quyết định rằng đúng.

Nhóm này được theo dõi với tên UNC5221, còn gọi là VerdantBamboo, một chiến dịch gốc Trung Quốc mà giới nghiên cứu đã dõi theo nhiều năm vì nhắm vào các thiết bị nằm ở rìa mạng doanh nghiệp. Chiến dịch gần đây của chúng đánh trúng các hãng dịch vụ pháp lý, công ty phần mềm, nhà cung cấp thuê ngoài quy trình và các nhà cung cấp công nghệ. Đây không phải mục tiêu ngẫu nhiên: đó là những tổ chức nắm giữ bí mật của các tổ chức khác, từ hồ sơ khách hàng đến mã nguồn và những chiếc chìa khóa vươn tới các khách hàng phía sau.

Kho công cụ giải thích vì sao quyền truy cập vô hình lâu đến vậy. Trung tâm là một cửa hậu tên Brickstorm, ban đầu viết bằng ngôn ngữ Go rồi dựng lại bằng Rust, cắm vào các thiết bị mạng vốn hiếm khi chạy phần mềm bảo mật và gần như không bao giờ được kiểm tra. Trong một trường hợp, kẻ tấn công lọt vào qua hệ thống đồng bộ tệp Egnyte có thể truy cập qua VPN của công ty. Từ chỗ đứng lặng lẽ đó, tính năng proxy tích hợp của Brickstorm cho phép chúng định tuyến hoạt động qua chính mạng của nạn nhân, nên khi chạm tới Microsoft 365 bằng thông tin đăng nhập đánh cắp, kết nối trông như cục bộ và hợp lệ. Volexity đánh giá với độ tin cậy cao rằng đây là chủ ý, một cách hòa vào lưu lượng bình thường và né các quy tắc truy cập có điều kiện vốn sẽ gắn cờ một lần đăng nhập đến từ sai nơi. Hai mảnh nữa giữ cho cánh cửa luôn mở: một cửa hậu .NET được các nhà nghiên cứu đặt tên Plenet, trao cho kẻ điều khiển một bảng điều khiển tương tác và quyền kiểm soát tệp, cùng một reverse shell viết bằng Python tên AgentPSD, để dành làm phương án dự phòng. Sự dư thừa ấy mới là mục đích. Tất cả được dựng lên để sống sót qua việc bị phát hiện, chứ không phải để tránh bị phát hiện mãi mãi.

Chi tiết khó chịu nhất là phép tính thời gian. Việc phát hiện đến vào khoảng mười tám tháng sau khi kẻ xâm nhập lọt vào lần đầu. Trong những chiến dịch kiểu này, các điều tra viên đã đo được thời gian ẩn náu trung bình hơn một năm, đủ lâu để trong nhiều trường hợp, nhật ký ghi lại vụ đột nhập ban đầu đã bị xóa theo chính sách lưu trữ thông thường trước khi có ai biết rằng cần phải nhìn. Kẻ tấn công không chỉ ẩn mình. Chúng tồn tại lâu hơn cả bằng chứng.

Tầm với vượt khỏi nạn nhân đầu tiên. Trong ít nhất một trường hợp, nhóm này xâm nhập một nhà cung cấp dịch vụ quản lý, công ty công nghệ thông tin bên ngoài vận hành hệ thống cho hàng chục khách hàng nhỏ hơn, và cài một phiên bản Brickstorm vào tường lửa của họ. Một vụ đột nhập duy nhất ở đó trở thành chiếc chìa khóa vạn năng mở tới mọi khách hàng phía sau. Đó là phần câu chuyện đi xa khỏi nước Mỹ, nơi tập trung phần lớn mục tiêu đã biết. Bất kỳ công ty nào thuê ngoài bộ phận công nghệ thông tin, tức gần như mọi công ty, đều thừa hưởng mức an toàn của một nhà cung cấp mà nó không thể nhìn vào bên trong.

Không điều nào trong số này là lỗi của Microsoft 365 mà một bản vá sẽ khắc phục. Cửa ngõ là thiết bị của bên thứ ba và thông tin đăng nhập bị đánh cắp, còn đám mây thì hành xử đúng như thiết kế ngay khi một lần đăng nhập đáng tin cậy xuất hiện. Đó là bài toán khó mà vụ việc để ngỏ. Những tổ chức không có phần mềm phát hiện trên máy chủ và thiết bị gần như không có cơ hội thấy được hoạt động ấy, và ngay cả nơi có nó cũng đối mặt một chiến dịch được dựng để trông như chuyện thường ngày. Vì đây là gián điệp chứ không phải mã độc tống tiền, không có màn hình bị khóa hay thư đòi tiền chuộc nào buộc người ta báo động: chỉ có dữ liệu lặng lẽ rời đi chừng nào kẻ điều khiển còn muốn tiếp tục quan sát.

Các vụ đột nhập lộ ra vào khoảng tháng 3 năm 2025, và từ đó lời cảnh báo đã nhân lên. Giữa tháng 8 năm 2025 và tháng 1 năm 2026, FBI, NSA và cơ quan an ninh mạng Mỹ CISA đã phát đi một loạt cảnh báo về các vụ xâm nhập do nhà nước Trung Quốc hậu thuẫn, và CISA còn riêng rẽ cảnh báo Brickstorm nhắm vào máy chủ VMware. Lời khuyên thực tế của các điều tra viên hẹp và chẳng hào nhoáng: giữ nhật ký lâu hơn khoảng thời gian kẻ tấn công có thể ẩn nấp, và đặt khả năng phát hiện lên những thiết bị lặng lẽ ở rìa mạng, đúng nơi mà hóa ra những bóng ma thích trú ngụ.

Thẻ: an ninh mạng