SentinelOne: Các hãng Trung Quốc đứng sau hơn 15 bằng sáng chế về gián điệp mạng
Theo SentinelOne, các hãng Trung Quốc đứng sau hơn 15 bằng sáng chế về công cụ gián điệp mạng có liên hệ với nhóm hacker đình đám Silk Typhoon (còn gọi là Hafnium).
Hãng an ninh mạng nổi tiếng SentinelOne (Mỹ) chia sẻ với trang THN rằng hơn 15 bằng sáng chế này gồm các công cụ điều tra và xâm nhập hệ thống, cho phép thu thập dữ liệu mã hóa từ thiết bị đầu cuối, điều tra sản phẩm công nghệ Apple và truy cập từ xa vào bộ định tuyến (router) và những thiết bị nhà thông minh.
“Những hiểu biết mới này về năng lực của các công ty liên kết với Silk Typhoon cho thấy một điểm thiếu sót quan trọng trong lĩnh vực quy kết thủ phạm tấn công mạng: Việc theo dõi tác nhân đe dọa thường chỉ liên kết các chiến dịch và cụm hoạt động với một cái tên cụ thể”, theo Dakota Cary, cố vấn chiến lược chuyên về Trung Quốc tại SentinelLabs - nhóm nghiên cứu và phân tích mối đe dọa của SentinelOne.
Cụ thể hơn, Dakota Cary cho biết cần đi sâu, hiểu cả các công ty và tổ chức mà những hacker này đang làm việc, vì đó mới là nguồn sức mạnh thực sự của họ.
"Nghiên cứu từ chúng tôi chứng minh tầm quan trọng của việc xác định không chỉ những cá nhân đứng sau các cuộc tấn công mà còn cả các công ty mà họ làm việc, năng lực của những hãng đó", Dakota Cary nói thêm.
Silk Typhoon nổi tiếng nhất với việc khai thác các lỗ hổng zero-day trong Microsoft Exchange Server vào đầu năm 2021. Cuộc tấn công này đã ảnh hưởng đến hàng chục nghìn tổ chức trên toàn thế giới, cho phép Silk Typhoon đánh cắp dữ liệu nhạy cảm và cài đặt các cửa hậu để duy trì quyền truy cập liên tục vào mạng lưới của nạn nhân.
Exchange Server là phần mềm máy chủ do Microsoft phát triển, dùng để quản lý email, lịch làm việc, danh bạ và các tác vụ cộng tác khác trong môi trường doanh nghiệp.
Bộ Tư pháp Mỹ nêu tên hai hacker liên quan Silk Typhoon
Các phát hiện này tiếp nối cáo trạng trong tháng 7.2025 của Bộ Tư pháp Mỹ với Xu Zewei và Zhang Yu, hai hacker Trung Quốc bị cáo buộc điều phối chiến dịch khai thác quy mô lớn năm 2021 nhắm vào Microsoft Exchange Server, sử dụng các lỗ hổng zero-day (chưa được biết đến) có tên ProxyLogon.
Bộ Tư pháp Mỹ xác định Xu Zewei và Zhang Yu có liên quan trực tiếp đến các hoạt động của Silk Typhoon.
Các tài liệu tòa án cho biết Xu Zewei từng làm việc tại Shanghai Powerock Network, còn Zhang Yu là nhân viên Shanghai Firetech Information Science and Technology. Theo truyền thông Mỹ, đây là hai công ty “vỏ bọc” ở Trung Quốc, được dựng lên để hỗ trợ chiến dịch tấn công mạng, không có thông tin công khai về địa chỉ chính xác, quy mô hoạt động, số nhân viên hoặc mặt hàng dịch vụ,.
Đáng chú ý, trang Natto Thoughts đưa tin Shanghai Powerock Network đã hủy đăng ký kinh doanh vào ngày 7.4.2021, chỉ hơn một tháng sau khi Microsoft công khai cáo buộc các hacker Trung Quốc về hoạt động khai thác lỗ hổng zero-day. Sau đó, Xu Zewei gia nhập công ty an ninh mạng Chaitin Tech, nhưng rồi lại tiếp tục chuyển việc và làm quản lý CNTT tại Shanghai GTA Semiconductor.
Shanghai GTA Semiconductor là công ty chế tạo chất bán dẫn có trụ sở tại thành phố Thượng Hải (Trung Quốc), nổi bật trong lĩnh vực sản xuất chip tích hợp chuyên dụng, đặc biệt cho ngành ô tô, thiết bị công nghiệp và điều khiển nguồn điện .
Cần lưu ý rằng Yin Kecheng, một hacker có liên hệ với Silk Typhoon, được cho từng làm việc tại công ty Shanghai Heiying Information Technology (Trung Quốc) do Zhou Shuai thành lập. Zhou Shuai được cho là hacker Trung Quốc yêu nước và người môi giới dữ liệu.
Theo trang THN, cuộc điều tra sâu hơn về mạng lưới kết nối giữa các cá nhân và công ty đã phát hiện ra những bằng sáng chế được nộp bởi Shanghai Firetech Information Science and Technology cùng Shanghai Siling Commerce Consulting Center.
Shanghai Siling Commerce Consulting Center là công ty được đồng sáng lập bởi Zhang Yu và Yin Wenji (Giám đốc điều hành Shanghai Firetech Information Science and Technology) nhằm thu thập thu thập dữ liệu từ các thiết bị Apple, router và thiết bị phòng vệ.
Cũng có bằng chứng cho thấy Shanghai Firetech Information Science and Technology đang phát triển các giải pháp cho phép thực hiện hoạt động tiếp cận gần nhắm vào cá nhân bị nhắm mục tiêu.
“Các công cụ mà Shanghai Firetech Information Science and Technology kiểm soát đa dạng hơn so với những gì công chúng biết về Silk Typhoon”, Dakota Cary nhấn mạnh.
1. SentinelOne nổi tiếng với nền tảng bảo mật tiên tiến sử dụng trí tuệ nhân tạo (AI) và học máy để bảo vệ các hệ thống máy tính, thiết bị IoT (internet vạn vật) và khối lượng công việc trên đám mây.
Các dịch vụ chính về SentinelOne
Bảo mật điểm cuối (Endpoint Security): SentinelOne chuyên về bảo vệ các điểm cuối (như laptop, máy tính để bàn, máy chủ) khỏi các mối đe dọa mạng.
Nền tảng Singularity: Đây là nền tảng chính của SentinelOne, tích hợp nhiều tính năng bảo mật như:
EPP (Endpoint Protection Platform): Ngăn chặn phần mềm độc hại, mã độc tống tiền (ransomware), các cuộc tấn công zero-day và tấn công không sử dụng file trong thời gian thực, không dựa vào chữ ký truyền thống.
EDR (Endpoint Detection and Response): Tự động tạo dòng thời gian chi tiết về chuỗi sự kiện tấn công, giúp các nhà phân tích bảo mật điều tra và phản ứng hiệu quả.
XDR (Extended Detection and Response): Mở rộng khả năng phát hiện và phản ứng ra ngoài điểm cuối, gồm mạng, đám mây và danh tính, cung cấp một cách tiếp cận toàn diện để quản lý mối đe dọa.
AI: SentinelOne sử dụng AI hành vi để phân tích các mẫu hành vi và phát hiện các mối đe dọa đã biết và chưa biết. AI giúp tự động hóa quá trình phát hiện, ngăn chặn, phản ứng và khắc phục sự cố, giảm thiểu sự can thiệp thủ công.
Phản ứng tự động: Nền tảng này có khả năng tự động cách ly và khắc phục các mối đe dọa mà không cần sự can thiệp liên tục của con người.
Khôi phục hệ thống (1-Click Rollback): SentinelOne có tính năng độc đáo cho phép khôi phục hệ thống bị ảnh hưởng về trạng thái an toàn trước khi bị tấn công chỉ với một cú nhấp chuột, giúp giảm thời gian khắc phục sự cố.
SentinelOne thường xuyên được các tổ chức đánh giá hàng đầu công nhận là công ty dẫn đầu trong lĩnh vực nền tảng bảo vệ điểm cuối.
2. SentinelLabs là bộ phận nghiên cứu và tình báo mối đe dọa của SentinelOne. Chức năng và vai trò của SentinelLabs:
Nghiên cứu mối đe dọa: Chuyên săn lùng, phân tích và giải mã các loại mã độc (malware), lỗ hổng bảo mật, nhóm tấn công có tổ chức và tinh vi (APT), cũng như hoạt động tội phạm mạng trên tất cả nền tảng.
Phân tích sâu: Nhóm này bao gồm các chuyên gia bảo mật, thực hiện quá trình kỹ thuật đảo ngược, nhà phát triển lỗ hổng bảo mật và nhà nghiên cứu chuyên sâu về hoạt động của các tác nhân đe dọa.
Kỹ thuật đảo ngược là một quá trình phân tích, "bóc tách" một sản phẩm, hệ thống hoặc phần mềm hiện có để hiểu rõ về thiết kế, nguyên lý hoạt động, cấu trúc bên trong hoặc mã nguồn của nó. Mục đích không phải là để tạo ra một bản sao y hệt (dù đôi khi có thể dẫn đến điều đó), mà nhằm hiểu sâu sắc cách thức nó được tạo ra và hoạt động.
Chia sẻ thông tin: Một phần quan trọng trong sứ mệnh của SentinelLabs là chia sẻ công khai những phát hiện, công cụ và thông tin chi tiết về các mối đe dọa. Điều này giúp cộng đồng an ninh mạng hiểu rõ hơn về bối cảnh mối đe dọa và tăng cường khả năng phòng thủ chung.
Cung cấp tình báo: Các báo cáo và nghiên cứu từ SentinelLabs cung cấp thông tin tình báo quan trọng cho khách hàng, giúp họ hiểu rõ hơn về các rủi ro tiềm ẩn và cách bảo vệ hệ thống của mình.
Đóng góp vào ngành: SentinelLabs thường xuyên được trích dẫn trong các tin tức và báo cáo về an ninh mạng, thể hiện vai trò là một trong những nguồn thông tin đáng tin cậy về các mối đe dọa mới và xu hướng tấn công.
Tóm lại, SentinelLabs là "bộ não" nghiên cứu cho SentinelOne, luôn đi đầu trong việc khám phá và phân tích các mối đe dọa mạng để cung cấp thông tin tình báo và cải thiện khả năng bảo vệ của các sản phẩm an ninh mạng.