Đông Nam Á im lặng chịu đựng các chiến dịch tấn công mạng của Trung Quốc
Nguồn: Gatra Priyandita, “Silence as strategy: Southeast Asia and China’s persistent cyber campaigns”, The Strategist, 01/09/2025
Biên dịch: Viên Đăng Huy
04/09/2025
NghiencuuQT
Các chính phủ Đông Nam Á có khả năng sẽ giữ im lặng thay vì chính thức buộc tội công khai. Sự kiềm chế này phản ánh một xu hướng thận trọng chung có nguy cơ đánh giá thấp quy mô của thách thức.
Thời điểm của chiến dịch này rất đáng chú ý. Nó trùng với thời điểm căng thẳng ở Biển Đông, một cuộc đụng độ biên giới giữa Thái Lan và Campuchia, và các sự kiện lớn trong khu vực như Đối thoại Shangri-La và các cuộc họp của ASEAN. Trong những thời điểm này, Bắc Kinh có mọi lý do để theo dõi các cuộc trò chuyện ngoại giao. Mặc dù vẫn chưa rõ liệu chiến dịch này có liên quan chặt chẽ đến các sự kiện này hay là một phần của một chiến dịch rộng lớn hơn, nhưng logic của nó là không thể nhầm lẫn: nền ngoại giao của Đông Nam Á có tầm quan trọng chiến lược trực tiếp đối với Bắc Kinh.
Khu vực này cũng là nơi có một số trung tâm đổi mới phát triển nhanh nhất thế giới. Nghiên cứu của ASPI cho thấy các công ty và trường đại học Đông Nam Á đang ngày càng trở thành mục tiêu của hoạt động gián điệp do nhà nước hậu thuẫn, bao gồm cả vì lợi ích kinh tế. Năm 2014, chỉ 3,6% tất cả các công ty và trường đại học trên thế giới bị nhắm mục tiêu bởi hoạt động gián điệp mạng do nhà nước tài trợ; đến năm 2020, con số đó đã tăng gần gấp 5 lần. Hầu hết các tổ chức vẫn chưa được chuẩn bị cho điều này.
Chiến dịch này được cho là do một nhóm đe dọa có tên UNC6384 thực hiện. Nhóm này có liên quan đến Mustang Panda, một trong những nhóm đe dọa dai dẳng tiên tiến (APT) đáng gờm nhất của Trung Quốc, hoạt động bằng cách xâm nhập vào hệ thống và ẩn mình trong thời gian dài. Hoạt động ít nhất từ năm 2012, Mustang Panda chuyên về gián điệp và thu thập thông tin tình báo chính trị. Nhóm này liên tục nhắm vào các chính phủ, tổ chức phi chính phủ, các viện nghiên cứu và công ty viễn thông, thường xuyên khai thác các lỗ hổng trong cơ sở hạ tầng công nghệ thông tin và truyền thông. Đây không phải là những vụ tấn công ngẫu nhiên mà là những chiến dịch có cấu trúc rõ ràng, phù hợp với các mục tiêu chiến lược của Bắc Kinh: định hình các vấn đề khu vực, đi trước các thay đổi chính sách và duy trì lợi thế tình báo.
Chiến dịch mới nhất của UNC6384 bắt đầu vào tháng 3 và tập trung vào các nhà ngoại giao tại một số quốc gia Đông Nam Á. Google xác nhận có từ 20 đến 24 quan chức và nhân viên đã tải xuống phần mềm độc hại, hầu hết là ở Đông Nam Á. UNC6384 được biết đến là nhóm thường khai thác Wi-Fi công cộng tại các khách sạn—một phương thức phổ biến để xâm nhập vào thiết bị của các quan chức khi họ đang di chuyển.
Nhóm này đã thể hiện những đặc điểm của một nhóm gián điệp Trung Quốc chuyên nghiệp: thao túng tâm lý xã hội, sử dụng phần mềm độc hại tùy chỉnh, chiếm quyền điều khiển mạng, thực thi phần mềm độc hại mà không cần sử dụng tệp và sử dụng các chứng chỉ số đáng tin cậy. Những kỹ thuật này khiến việc phát hiện trở nên khó khăn và đảm bảo chúng có thể tồn tại trong hệ thống trong một thời gian dài. Mặc dù không rõ bên bảo trợ cụ thể nào trong chính phủ Trung Quốc đứng sau UNC6384, nhưng nhóm này có khả năng nằm trong hệ sinh thái của Mustang Panda, vốn đã có tài liệu chứng minh mối liên hệ với Bộ An ninh Quốc gia Trung Quốc.
Cho đến nay, các chính phủ trong khu vực đã từ chối phản ứng công khai, tiếp tục một xu hướng đã có từ lâu. Gián điệp mạng được thừa nhận là một yếu tố không mong muốn nhưng là một phần bình thường của hoạt động ngoại giao giữa các quốc gia, tuy nhiên việc công khai chỉ đích danh thủ phạm vẫn rất hiếm. Vào tháng 7, Singapore đã liên kết một chiến dịch với các thủ phạm bị nghi ngờ có liên hệ với Trung Quốc nhưng tránh nêu tên Bắc Kinh. Philippines đã mô tả một số cuộc tấn công là “từ Trung Quốc” mà không chỉ đích danh chính phủ Trung Quốc. Indonesia và Malaysia thường công bố các báo cáo kỹ thuật truy tìm các cuộc tấn công đến cơ sở hạ tầng nhưng không nêu tên bên bảo trợ. Việc chỉ đích danh thủ phạm có xảy ra, nhưng chỉ có chọn lọc, thận trọng và thường chỉ mang tính ngầm.
Có ba yếu tố thúc đẩy sự kiềm chế này. Đầu tiên là giới hạn về năng lực. Việc chỉ đích danh thủ phạm một cách thuyết phục đòi hỏi nhiều hơn là bằng chứng kỹ thuật; nó đòi hỏi thông tin tình báo mà chỉ một số ít chính phủ trong khu vực có. Các công ty an ninh mạng giúp lấp đầy khoảng trống này, nhưng các đánh giá của họ thường bị xem xét một cách thận trọng, do động cơ thương mại và những thành kiến có thể có.
Thứ hai là không có một sự kiện khủng hoảng nào xảy ra. Gián điệp là không mong muốn nhưng có thể chấp nhận được khi nó không gây ra sự gián đoạn nghiêm trọng. Nếu không có một sự cố lớn—chẳng hạn như một cuộc tấn công làm tê liệt cơ sở hạ tầng trọng yếu hoặc một vụ rò rỉ dữ liệu lớn với hậu quả ngay lập tức—các nhà lãnh đạo thấy ít lý do để leo thang. Việc quản lý âm thầm tốt hơn là đối đầu.
Thứ ba là sự thận trọng về chính trị. Hầu hết các quốc gia Đông Nam Á đều theo đuổi chủ nghĩa thực dụng về kinh tế và ngoại giao và chọn cách không công khai các vấn đề nhạy cảm. Việc công khai buộc tội Trung Quốc, một đối tác thương mại và đầu tư không thể thiếu của khu vực, có nguy cơ phải đối mặt với sự trả đũa có thể lớn hơn lợi ích của việc giữ vững lập trường.
Hầu hết các chính phủ cũng thiếu khả năng tấn công mạng đã được công bố. Một số quốc gia, như Indonesia và Campuchia, đã công khai từ chối việc quân sự hóa không gian mạng. Do đó, các quốc gia mặc định tập trung vào phòng thủ: tăng cường các cơ quan an ninh mạng, xây dựng nguồn nhân lực và cập nhật luật pháp. Tốc độ có thể khác nhau, nhưng lập trường tập trung vào khả năng phục hồi hơn là trả đũa là nhất quán.
Điều còn thiếu là một cuộc thảo luận công khai cởi mở về các mối đe dọa do nhà nước bảo trợ. Ngoài Singapore và Malaysia, rất ít chính phủ cung cấp các cập nhật hoặc cảnh báo thường xuyên. Sự thiếu minh bạch này làm giảm nhận thức, hạn chế trách nhiệm giải trình và gạt các tổ chức dân sự và khu vực tư nhân ra khỏi công tác phòng thủ mạng quốc gia.
Chiến dịch UNC6384 đã nhấn mạnh một sự thật lớn hơn: gián điệp mạng hiện là một đặc điểm vĩnh viễn trong môi trường an ninh của Đông Nam Á. Khi các quốc gia Ấn Độ Dương – Thái Bình Dương mở rộng khả năng tấn công mạng của mình, khu vực này sẽ vẫn là một chiến trường chính cho cuộc cạnh tranh tình báo. Các chiến dịch này sẽ tồn tại và ngày càng trở nên tinh vi hơn. Phản ứng mặc định là quản lý âm thầm và tránh leo thang có thể duy trì sự yên bình trong ngắn hạn nhưng tiềm ẩn những mối nguy hiểm lâu dài.
Nếu không có sự minh bạch và sự tham gia rộng rãi hơn của công chúng, các quốc gia có nguy cơ đánh giá thấp quy mô của thách thức và không huy động được các nguồn lực cần thiết. Các chiến dịch tấn công mạng do nhà nước hậu thuẫn không còn có thể bị xem nhẹ như một sự phiền toái hay một điều chấp nhận được trong các vấn đề quốc tế: chúng quá quan trọng đối với an ninh quốc gia. Các chiến dịch này vi phạm nguyên tắc không can thiệp và là một phần của chiến lược có chủ đích nhằm phá hoại quyền tự quyết của các quốc gia.
Gatra Priyandita là một nhà phân tích cấp cao tại Chương trình An ninh Mạng, Công nghệ và An ninh của ASPI.
No comments:
Post a Comment