Gặp gỡ các hacker 'Bão' Trung Quốc đang chuẩn bị cho chiến tranh

Hôm nay, trong số các rủi ro an ninh mạng đối diện với Hoa Kỳ, ít cái gì to lớn hơn khả năng gây hại tiềm ẩn do các hacker được hỗ trợ bởi Trung Quốc, mà các quan chức an ninh quốc gia cao cấp của Hoa Kỳ đã mô tả là 'mối đe dọa hịt lịch sử'.

Hoạt động của các hacker được hỗ trợ bởi chính phủ Trung Quốc đã xâm nhập sâu vào các hệ thống mạng của cơ sở hạ tầng phức tạp của Hoa Kỳ, bao gồm nguồn nước, năng lượng và người cung cấp vận tải. Mục tiêu, các quan chức cho biết, là mở đường cho các cuộc tấn công mạng có thể gây hại trong trường hợp xảy ra một xung đột tương lai giữa Trung Quốc và Hoa Kỳ, chẳng hạn như một cuộc xâm lược Trung Quốc có thể xảy ra tại Đài Loan.

'Các hacker của Trung Quốc đang sẵn sàng trên cơ sở hạ tầng của Mỹ để gây ra hỗn loạn và gây thiệt hại thực tế cho người dân và cộng đồng Mỹ, nếu hoặc khi Trung Quốc quyết định thời điểm đã đến để tấn công,' Giám đốc FBI cựu cuối cùng Christopher Wray nói với các nghị sĩ năm ngoái.

Chính phủ Hoa Kỳ và các đồng minh của nó đã thực hiện hành động chống lại một số nhóm hacking Trung Quốc thuộc 'bão' và công bố thông tin mới về những mối đe dọa do những nhóm này gây ra.

Vào tháng 1 năm 2024, Hoa Kỳ đã phá vỡ 'Volt Bão', một nhóm hacker của chính phủ Trung Quốc được giao nhiệm vụ tạo điều kiện cho các cuộc tấn công mạng gây hại. Sau đó vào tháng 9 năm 2024, các cơ quan liên bang đã kiểm soát một botnet do một nhóm hacker Trung Quốc khác gọi là 'Flax Bão' điều hành, sử dụng một công ty an ninh mạng có trụ sở tại Bắc Kinh để giúp che giấu các hoạt động của hacker chính phủ Trung Quốc. Sau đó vào tháng 12 năm 2025, chính phủ Mỹ đã áp đặt trừng phạt cho công ty an ninh mạng do vai trò được cáo buộc của nó trong 'nhiều vụ xâm nhập máy tính' chống lại các nạn nhân của Mỹ.

Kể từ khi xuất hiện Volt Bão, một nhóm hacker mới khác được hỗ trợ bởi Trung Quốc có tên là 'Muối Bão' xuất hiện trong các mạng của các tập đoàn điện thoại và internet của Mỹ, có khả năng thu thập thông tin tình báo về người Mỹ - và các mục tiêu tiềm năng của giám sát của Mỹ - bằng cách xâm nhập vào các hệ thống viễn thông được sử dụng cho chặn nghe của cảnh sát.

Dưới đây là những điều chúng ta đã biết về các nhóm hacker Trung Quốc đang chuẩn bị cho chiến tranh.

Volt Bão

Volt Bão đại diện cho một dạng mới của các nhóm hacker được hỗ trợ bởi Trung Quốc; không chỉ nhắm vào việc đánh cắp các bí mật nhạy cảm của Mỹ, mà còn chuẩn bị làm gián đoạn 'khả năng di chuyển' của quân đội Mỹ, theo Giám đốc FBI lúc đó.

Microsoft đầu tiên xác định Volt Bão vào tháng 5 năm 2023, phát hiện rằng các hacker đã nhắm mục tiêu và xâm nhập vào thiết bị mạng, như bộ định tuyến, tường lửa và VPN, ít nhất từ cuối năm 2021 như một phần của nỗ lực liên tục để xâm nhập sâu vào các hệ thống cơ sở hạ tầng phức tạp của Mỹ. Cộng đồng tình báo Mỹ cho biết thực ra, có thể là các hacker đã hoạt động lâu hơn nếu như năm năm.

Volt Bão xâm nhập vào hàng ngàn thiết bị kết nối internet này trong những tháng sau báo cáo của Microsoft, khai thác các lỗ hổng trong các thiết bị được xem xét là 'kết thúc vòng đời' và vì thế sẽ không nhận được cập nhật bảo mật. Nhóm hacker sau đó có thêm quyền truy cập vào môi trường IT của nhiều lĩnh vực cơ sở hạ tầng quan trọng, bao gồm hàng không, nguồn nước, năng lượng và vận tải, chuẩn bị cho việc kích hoạt các cuộc tấn công mạng gây hại nhằm vào việc làm chậm phản ứng của chính phủ Mỹ trước một cuộc xâm lược của đồng minh chính của nó, Đài Loan.

'Người này không thực hiện việc thu thập thông tin tinh tế và ăn cắp bí mật mà đã trở thành quy tắc trong Mỹ. Họ đang thăm dò cơ sở hạ tầng cần thiết nhạy cảm để họ có thể làm gián đoạn dịch vụ quan trọng nếu, và khi, mệnh lệnh xuất hiện,' John Hultquist, người phân tích tổng hợp hàng đầu tại công ty an ninh Mandiant nói.

Chính phủ Mỹ nói vào tháng 1 năm 2024 rằng đã thành công phá vỡ một botnet, được sử dụng bởi Volt Bão, bao gồm hàng ngàn bộ định tuyến mạng văn phòng nhỏ tại Mỹ bị nghiễm và sử dụng bởi nhóm hacker Trung Quốc để che giấu các hoạt động gian lận nhằm vào cơ sở hạ tầng quan trọng Mỹ. FBI nói rằng họ đã tháo gỡ phần mềm độc hại từ bộ định tuyến bị nghiễm thông qua một hoạt động được chấp thuận bởi tòa án, chia cắt kết nối của nhóm hacker Trung Quốc với botnet.

Tới tháng 1 năm 2025, Mỹ đã phát hiện hơn 100 xâm nhập trên khắp đất nước và lãnh thổ của mình liên quan đến Volt Bão, theo báo cáo của Bloomberg. Một số lớn cuộc tấn công này đã nhắm vào Guam, một lãnh thổ hòa bình thuộc Mỹ ở Thái Bình Dương và một vị trí chiến lược cho các hoạt động quân sự Mỹ, theo báo cáo. Volt Bão được cho là đã nhắm vào cơ sở hạ tầng quan trọng trên đảo, bao gồm cơ quan điều trị năng lượng chính của đảo, nhà cung cấp dịch vụ di động lớn nhất của đảo và một số mạng liên bang của Mỹ, bao gồm hệ thống phòng thủ nhạy cảm, dựa trên Guam. Bloomberg đưa tin rằng Volt Bão đã sử dụng loại phần mềm độc hại hoàn toàn mới để nhắm vào các mạng ở Guam mà trước đây họ chưa từng triển khai, mà các nhà nghiên cứu coi là một dấu hiệu của sự quan trọng cao đối với khu vực này đối với nhóm hacker do Trung Quốc hỗ trợ.

Flax Bão

Flax Bão, được Microsoft cảnh báo vào tháng 8 năm 2023, là một nhóm hacker được hỗ trợ bởi Trung Quốc khác, mà các quan chức nói rằng đã hoạt động dưới vỏ bọc của một công ty an ninh mạng niêm yết công khai đặt trụ sở tại Bắc Kinh để tiến hành các vụ hack vào cơ sở hạ tầng quan trọng trong vài năm qua. Microsoft nói rằng Flax Bão - cũng hoạt động từ giữa năm 2021 - chủ yếu tấn công vào hàng chục 'cơ quan chính phủ và giáo dục, sản xuất quan trọng và tổ chức CNTT ở Đài Loan'.

Tiếp theo vào tháng 9 năm 2023, chính phủ Mỹ cho biết đã kiểm soát một botnet khác, được tạo bởi hàng trăm nghìn thiết bị kết nối internet bị nghiễm, và được sử dụng bởi Flax Bão để 'tiến hành các hoạt động mạng gian lận được diễn giả là dịch vụ internet thông thường từ các thiết bị tiêu dùng đã bị nhiễm'. Các cơ tố phiên tòa nói rằng botnet đã cho phép các hacker được hỗ trợ bởi chính phủ Trung Quốc khác 'hack vào các mạng ở Mỹ và trên toàn thế giới để ăn cắp thông tin và đe doạ cơ sở hạ tầng của chúng ta.' 

Bộ Tư pháp sau đó đã xác minh kết quả của Microsoft, bổ sung rằng Flax Bão cũng 'tấn công vào nhiều tập đoàn Mỹ và nước ngoài.'

Các quan chức Mỹ nói rằng botnet được sử dụng bởi Flax Bão đã được vận hành và kiểm soát bởi công ty an ninh mạng có trụ sở tại Bắc Kinh, Tập Đoàn Công Nghệ Integrity. Vào tháng 1 năm 2024, chính phủ Mỹ đã áp đặt trừng phạt đối với Integrity Tech vì các liên kết được cáo buộc với Flax Bão.

Sal Bão

Nhóm mới nhất - và có thể nguy hiểm nhất - trong đội quân tác chiến mạng được hỗ trợ bởi chính phủ Trung Quốc mà đã được phát hiện trong vài tháng gần đây là Sal Bão.

Sal Bão nổi tiếng vào tháng 10 năm 2024 với một loại hoạt động thu thập thông tin khác. Như The Wall Street Journal đầu tiên đưa tin, nhóm hacker liên kết với Trung Quốc đã xâm nhập vào một số nhà cung cấp điện thoại và internet của Mỹ, bao gồm AT&T, Lumen (trước đây là CenturyLink) và Verizon. Journal đưa tin sau đó vào tháng 1 năm 2025 rằng Sal Bão cũng xâm nhập vào các nhà cung cấp internet của Mỹ Charter Communications và Windstream. Quan chức an ninh mạng Mỹ Anne Neuberger nói rằng chính phủ liên bang đã xác định một nhà cung cấp dịch vụ viễn thông thứ chín bị đánh hack.

Theo một báo cáo, Sal Bão có thể đã tiếp cận các nhà cung cấp dịch vụ này bằng cách sử dụng bộ định tuyến Cisco bị nhiễm. Một khi đã tiến vào mạng của nhà cung cấp dịch vụ viễn thông, những hacker này có thể truy cập vào siêu dữ liệu cuộc gọi và tin nhắn từ khách hàng, bao gồm ngày giờ cuộc trò chuyện của khách hàng, địa chỉ IP nguồn và đích và số điện thoại của hơn một triệu người dùng; hầu hết trong số đó là cá nhân đang sống ở khu vực Washington D.C. Trong một số trường hợp những hacker có khả năng thu âm cuộc gọi từ những người Mỹ lớn tuổi. Neuberger cho biết 'một số lượng lớn' trong số những người đã bị truy cập dữ liệu là 'mục tiêu của chính phủ quan tâm.' 

Bằng cách xâm nhập vào những hệ thống mà các cơ quan thực thi pháp luật sử dụng cho việc thu thập dữ liệu khách hàng được ủy quyền bởi tòa án, Sal Bão cũng có thể truy cập vào dữ liệu và hệ thống chứa phần lớn yêu cầu dữ liệu của chính phủ Mỹ, bao gồm các danh tính tiềm năng của các mục tiêu của Trung Quốc bị giám sát của Mỹ. 

Vẫn chưa rõ khi nào cuộc xâm nhập vào hệ thống chặn ng