Quân đội Hoa Kỳ có dựa vào các kỹ sư Trung Quốc để bảo trì đám mây từ xa không? "Digital Guard" của Microsoft đang bị Bộ Quốc phòng Hoa Kỳ nhắm mục tiêu

Vào ngày 15 tháng 7, Microsoft bị phát hiện đã sử dụng các kỹ sư Trung Quốc để bảo trì từ xa hệ thống máy tính của Bộ Quốc phòng Hoa Kỳ trong gần một thập kỷ, nhưng chỉ có "Digital Escorts" với năng lực kỹ thuật hạn chế mới thực hiện các hướng dẫn thay mặt Microsoft, tạo điều kiện cho tin tặc Trung Quốc lợi dụng tình hình. Sau khi tin tức này được công bố, Bộ trưởng Quốc phòng Hoa Kỳ Pete Hegseth cho biết một cuộc điều tra kéo dài hai tuần đã được tiến hành.

Hệ thống "Digital Guard" chỉ mới được phát hiện trong thập kỷ qua và ngay cả Bộ Quốc phòng cũng không biết về nó

Hệ thống này ra đời cách đây mười năm. Để giành được hợp đồng đám mây của chính phủ Hoa Kỳ, Microsoft đã đề xuất một "kế hoạch thỏa hiệp" để các kỹ sư nước ngoài từ Trung Quốc và các quốc gia khác chịu trách nhiệm bảo trì công nghệ, sau đó nhân viên Mỹ được Bộ Quốc phòng Hoa Kỳ cấp phép an ninh sẽ thay mặt họ nhập lệnh. Họ được gọi là "Người hộ tống Kỹ thuật số".

Microsoft đã thuê ngoài Insight Global và ASM Research để tuyển dụng nhân viên bảo vệ, hầu hết đều là cựu chiến binh hoặc chỉ có giấy phép an ninh. Mức lương theo giờ của họ khởi điểm từ 18 đô la. Kỹ năng kỹ thuật của họ còn hạn chế và họ không thể xác định liệu một chương trình có độc hại hay không. Một nhân viên bảo vệ hiện tại tiết lộ:

"Chúng tôi phải xử lý hàng trăm yêu cầu từ các kỹ sư Trung Quốc mỗi tháng, và chúng tôi phải ngăn chặn dữ liệu bị "rò rỉ", nhưng đào tạo kỹ thuật không thể bù đắp được khoảng trống đó. Ngay cả khi phát hiện ra những hướng dẫn đáng ngờ, thực tế là không thể nhìn thấy sau đó. Chúng tôi chỉ có thể tin rằng những kỹ sư này không làm gì sai trái."

Hệ thống này đã hoạt động nhiều năm và khá kín tiếng. Ngay cả Cơ quan Hệ thống Thông tin Bộ Quốc phòng Hoa Kỳ (DISA) cũng tuyên bố "không ai biết về điều này".

Mối đe dọa từ tin tặc Trung Quốc vẫn tiếp diễn, các chuyên gia cho rằng nó nguy hiểm hơn TikTok

Văn phòng Giám đốc Tình báo Quốc gia Hoa Kỳ (ODNI) luôn coi Trung Quốc là nguồn đe dọa tin tặc tích cực nhất. Năm 2023, tin tặc Trung Quốc thậm chí đã xâm nhập vào hộp thư đám mây của các quan chức chính phủ cấp cao Hoa Kỳ và đánh cắp 60.000 email của Bộ Ngoại giao.

Harry Coker, cựu quan chức cấp cao của CIA và NSA, cho biết sau khi chứng kiến hệ thống bảo vệ:

"Nếu tôi là một điệp viên tình báo Trung Quốc, đây sẽ là cơ hội hoàn hảo để xâm nhập."

Ông nhấn mạnh rằng vấn đề này nghiêm trọng hơn nhiều so với những lo ngại về gián điệp liên quan đến TikTok hay sinh viên Trung Quốc. John Sherman, cựu Giám đốc Thông tin của Bộ Quốc phòng, cũng ngạc nhiên khi nghe về điều này:

"Tôi đáng lẽ phải biết về việc này và DISA cùng Bộ Tư lệnh Không gian mạng Hoa Kỳ nên xem xét lại."

Một số chuyên gia cảnh báo rằng luật pháp Trung Quốc cho phép chính phủ thu thập dữ liệu từ các công ty hoặc công dân miễn là dữ liệu đó được coi là vì "mục đích hợp pháp". Nói cách khác, nhân viên của Microsoft tại Trung Quốc có thể được yêu cầu cung cấp thông tin cho các cơ quan tình báo bất cứ lúc nào, khiến hệ thống bảo vệ trở nên vô nghĩa.

Guard hoạt động như thế nào?

Sau đây là quy trình hoạt động của "Digital Guard":

1. Các kỹ sư Trung Quốc đưa ra yêu cầu bảo trì: Các kỹ sư Microsoft Trung Quốc đưa ra các tài liệu yêu cầu mở, chẳng hạn như bảo trì tường lửa, kiểm tra hồ sơ hệ thống, v.v.

2. Lực lượng bảo vệ kỹ thuật số Hoa Kỳ nhận lệnh: Lực lượng bảo vệ địa phương Hoa Kỳ sẽ họp với các kỹ sư Trung Quốc để thảo luận.

3. Những người lính canh đã sao chép các hướng dẫn: Các kỹ sư Trung Quốc đã đưa các hướng dẫn trên máy tính cho những người lính canh, sau đó họ nhập trực tiếp vào hệ thống đám mây của Bộ Quốc phòng.

4. Nhân viên bảo mật không thể phân biệt được nội dung của mã: Nếu có một tập lệnh có tên "fix_servers.sh", nhưng thực chất đó là một chương trình độc hại, nhân viên bảo mật sẽ không thể phân biệt được.

Matthew Erickson, một kỹ sư của Microsoft tham gia thiết kế hệ thống, thừa nhận rằng các nhân viên bảo vệ chỉ "biết chút ít về công nghệ" là cùng, và công việc bảo trì thực sự vẫn phải nhờ đến các kỹ sư nước ngoài. Các nhân viên bảo vệ chỉ đảm bảo rằng các kỹ sư nước ngoài không thể nhìn thấy mật khẩu hoặc thông tin cá nhân.

Tại sao lại có hệ thống như vậy?

Bộ Quốc phòng Hoa Kỳ quy định những người xử lý thông tin nhạy cảm phải là công dân Hoa Kỳ hoặc người nắm giữ thẻ xanh. Tuy nhiên, đội ngũ của Microsoft lại trải rộng khắp thế giới, với lượng lớn kỹ sư ở Trung Quốc, Ấn Độ và Châu Âu. Việc thuê tạm thời lượng lớn kỹ sư người Mỹ là quá tốn kém.

Vào thời điểm đó, "nhà vận động hành lang FedRAMP" của Microsoft, Indy Crowley, đã vận động chính phủ, nói rằng rủi ro bảo trì đám mây không lớn hơn so với các nhà cung cấp dịch vụ khác của chính phủ. Bộ Quốc phòng từng đề nghị chỉ cần thuê trực tiếp các kỹ sư người Mỹ, nhưng Crowley đã từ chối vì chi phí sẽ khiến việc chuyển đổi sang đám mây của chính phủ trở nên quá tốn kém. Cuối cùng, Microsoft đã chọn hệ thống Guardian là giải pháp tiết kiệm chi phí và nhân công nhất, có thể đáp ứng các quy định của Bộ Quốc phòng mà không tốn nhiều chi phí.

(Lưu ý: FedRAMP là chương trình chuẩn hóa do rủi ro liên bang Hoa Kỳ thúc đẩy, cung cấp cơ chế đánh giá bảo mật thống nhất, cấp phép và giám sát liên tục cho các sản phẩm và dịch vụ đám mây do các cơ quan chính phủ sử dụng để đảm bảo rằng các dịch vụ đám mây này đáp ứng các tiêu chuẩn bảo mật.)

Người trong nội bộ đã được cảnh báo, nhưng bị ban quản lý cấp cao phớt lờ

Thực tế, có những người trong Microsoft phản đối hệ thống này, cho rằng rủi ro bảo mật quá cao, nhưng Tom Keane, lúc đó là người đứng đầu nền tảng đám mây, đã thúc đẩy hệ thống này vì nó sẽ giúp mở rộng việc kinh doanh nhanh chóng. Những người phản đối cuối cùng đã rời đi, và hệ thống bảo vệ được đưa vào hoạt động. Sau đó, các giám đốc an ninh của Microsoft cảnh báo rằng hệ thống bảo vệ có lỗ hổng, và các kỹ sư ở nước ngoài có thể biết chi tiết về đám mây liên bang Hoa Kỳ, trong khi các nhân viên bảo vệ không thể tìm thấy bất kỳ vấn đề nào. Những cảnh báo này vẫn không thay đổi quyết định của công ty.

Microsoft cho biết họ không còn sử dụng các kỹ sư Trung Quốc để hỗ trợ các hệ thống quốc phòng

Sau khi vụ việc bị phanh phui, Microsoft tuyên bố rằng họ không cho phép các kỹ sư Trung Quốc "liên hệ trực tiếp với hệ thống phòng thủ quốc gia" mà chỉ cung cấp hướng dẫn. Các nhân viên bảo vệ đã được đào tạo kỹ thuật đầy đủ và hợp tác với bộ phận giám sát. Công ty cũng nhấn mạnh rằng còn có một quy trình đánh giá nội bộ mang tên "Lockbox", nhưng chi tiết không được tiết lộ.

Chủ tịch Microsoft Brad Smith cũng đã đề cập tại phiên điều trần của Thượng viện vào tháng 5 rằng công ty đang "loại bỏ công dân Trung Quốc khỏi các cơ quan chính phủ", nhưng không giải thích cách họ tiếp cận các hệ thống này ngay từ đầu. Người phát ngôn của Microsoft, Frank Shaw, cũng đã tweet vào ngày 19 tháng 7:

"Sẽ không có kỹ sư Trung Quốc nào cung cấp hỗ trợ kỹ thuật cho hệ thống đám mây quốc phòng của Hoa Kỳ và các dịch vụ liên quan."

Bộ trưởng Quốc phòng Hoa Kỳ Pete Hegseth cũng đã đăng dòng tweet vào ngày 19 tháng 7 (X) liên quan đến vấn đề này:

"Chúng tôi sẽ tiến hành một cuộc điều tra kéo dài hai tuần để đảm bảo các kỹ sư Trung Quốc bị loại khỏi hoàn toàn các dịch vụ đám mây của Bộ Quốc phòng, và công dân Trung Quốc không còn được phép tham gia nữa. Chúng tôi cũng sẽ tiếp tục giám sát và ứng phó với các mối đe dọa an ninh mạng và cơ sở hạ tầng quân sự."

Sàn sàn giao dịch hợp đồng vĩnh viễn phi tập trung (Perp DEX) GMX được báo cáo đã gặp sự cố bảo mật vào hôm qua. Phiên bản GMX V1 ban đầu đã bị tấn công, gây thiệt hại lên tới 40 triệu đô la. Đội ngũ phát triển GMX cho biết V2 và token chính không bị ảnh hưởng, nhưng niềm tin cộng đồng có thể đã bị tổn hại nghiêm trọng.

Thuật toán giá GLP bị khai thác, tin tặc đánh cắp 40 triệu đô tài sản

Hôm qua, GMX chính thức thông báo rằng do nhóm tài sản GLP của mình bị tấn công, công ty đã phải tạm dừng khẩn cấp mọi hoạt động giao dịch trên GMX V1 và dừng giữa chừng hoàn toàn cơ chế đúc và đổi token GLP trên mạng lưới Arbitrum và Avalanche .

GLP là token thanh khoản của GMX, và tài sản đằng sau nó bao gồm Bitcoin, ETH và stablecoin. Theo phân tích Chuỗi SlowMist, lần tấn công bắt nguồn từ lỗ hổng thiết kế trong logic định giá của GLP. Tin tặc đã đánh cắp tiền bằng cách thao túng tổng tài sản được quản lý (AUM):

Hoạt động vị thế đầu cơ giá xuống của v1 sẽ ngay lập tức ảnh hưởng đến việc tính toán AUM, cho phép kẻ tấn công thao túng giá token GLP. Kẻ tấn công đã lợi dụng lỗ hổng thiết kế này và thực hiện tấn công tái nhập lệnh trong quá trình thực hiện lệnh, thiết lập thành công lượng lớn vị thế đầu cơ giá xuống để thao túng giá trung bình của GLP, tăng giá GLP một cách giả tạo và rút tiền lãi.

Đội ngũ GMX nhấn mạnh rằng sự cố chỉ ảnh hưởng đến phiên bản V1, còn V2, cơ chế thị trường tổng thể và token chính của GMX không bị ảnh hưởng. Tuy nhiên, đội ngũ cũng kêu gọi tất cả người dùng ngay lập tức tắt chức năng đòn bẩy và đúc GLP để tránh nguy cơ mở rộng rủi ro. Hiện tại, đội ngũ đang treo thưởng 10% cho những người phát hiện ra lỗ Mũ trắng , nhưng dường như kẻ tấn công không trả tiền .

( Đổi mới công nghệ và cạnh tranh thị trường của Perp DEX: Thảo luận ngắn gọn về cơ hội và thách thức của sàn giao dịch hợp đồng vĩnh viễn Chuỗi )

Nhà đồng sáng lập Infini Junzhu cũng than thở: "So với sự sụp đổ của thế hệ khổng lồ Perp DEX này, điều đáng buồn hơn là anh ta đã bị đánh cắp quá nhiều tiền, nhưng không ai trong giới Trung Quốc còn chú ý đến anh ta nữa."

Người anh hùng không chết đột ngột, anh ta chỉ dần dần biến mất trong dòng chảy của lịch sử và ký ức của nhân dân.

Thiệt hại do tin tặc tấn công crypto sẽ đạt 2,5 tỷ đô la vào năm 2025

GMX không phải là trường hợp cá biệt. Một báo cáocủa Chainalysis vài ngày trước đã chỉ ra rằng trong nửa đầu năm nay, ngành công nghiệp crypto toàn cầu đã chịu tổn thất tích lũy 2,5 tỷ đô la do các sự cố an ninh mạng, trong đó Bybit gây thiệt hại 1,4 tỷ đô la là lớn nhất, trở thành cuộc tấn công tốn kém nhất kể từ đầu năm.

( CEO Bybit tuyên chiến với nhóm tin tặc Triều Tiên Lazarus, treo thưởng 140 triệu đô la cho người lấy lại số tiền bị đánh cắp )

Mặt khác, vài tuần trước, sàn giao dịch crypto lớn nhất Iran Nobitex cũng bị nhóm tin tặc ủng hộ Israel Gonjeshke Darande tấn công, gây thiệt hại hơn 81 triệu đô la, cho thấy cả nền tảng tập trung và phi tập trung đều không thể miễn nhiễm với các cuộc tấn công của tin tặc.

Từ lỗ hổng an ninh mạng đến mặt trận an ninh quốc gia: Tin tặc Triều Tiên trở thành cuộc khủng hoảng toàn cầu

Giữa các cuộc tấn công liên tục, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) Bộ Ngân khố Hoa Kỳ cũng đã công bố một loạt lệnh trừng phạt mới đối với nhóm tin tặc Andariel của Triều Tiên trong tuần này. Thành viên được nêu tên Song Kum Hyok bị tình nghi tấn công nhiều công ty crypto và công ty quốc phòng thông qua kỹ thuật xã hội và xâm nhập mạng, cố gắng xâm nhập và đánh cắp các công nghệ và tài sản cốt lõi.

(Bộ Tài chính Hoa Kỳ trấn áp nhân viên CNTT Triều Tiên! Vạch trần nhiều vụ lừa đảo crypto, rửa tiền và Chuỗi vốn bất hợp pháp )

"Các nhóm tin tặc này có mối liên hệ chặt chẽ với chế độ Triều Tiên và có mục đích sử dụng tài sản kỹ thuật số và mạng lưới giao dịch crypto để thực hiện các hoạt động trốn tránh lệnh trừng phạt xuyên biên giới, hoạt động gián điệp và rửa tiền", chính quyền Hoa Kỳ cho biết.

Cuộc tấn công GMX V1 một lần nữa chứng minh rằng các giao thức DeFi không chỉ đòi hỏi các mô hình kinh tế phức tạp mà còn cần cơ chế phòng thủ mạnh mẽ và kiểm tra rủi ro liên tục. Khi các kỹ thuật tấn công mạng toàn cầu tiếp tục đổi mới và thậm chí kết hợp với các chế độ quốc gia, tương lai của không gian crypto sẽ đối diện những thách thức an ninh thậm chí còn nghiêm trọng hơn.