Lặng lẽ chiến dịch Cyber Guardian

Ngày 18/7/2025, Bộ trưởng Điều phối An ninh quốc gia Singapore K. Shanmugam lần đầu công khai xác nhận UNC3886, một nhóm tấn công mạng tinh vi, đang nhắm vào hạ tầng trọng yếu của đảo quốc.

Tên nhóm tấn công được nêu ra, nhưng gần như mọi chi tiết quan trọng khác đều bị giữ lại: mục tiêu cụ thể, kỹ thuật xâm nhập, mức độ thiệt hại và cách thức xử lý vụ việc. Lý do chỉ có một: tiết lộ thêm có thể gây hại cho an ninh quốc gia. Phải nhiều tháng sau, thế giới mới biết phía sau sự dè sẻn ấy là Chiến dịch Cyber Guardian. Đây là chiến dịch ứng phó sự cố mạng lớn nhất trong lịch sử Singapore, kéo dài hơn 11 tháng, với hơn 100 chuyên gia từ 6 cơ quan chính phủ.

cyberguardian1.jpg
Bộ trưởng Josephine Teo trao đổi với Giám đốc điều hành CSA David Koh (phải) tại khu vực kỹ thuật bên lề một cuộc gặp các lực lượng phòng thủ mạng.

11 tháng trong bóng tối

Câu chuyện bắt đầu trước thông báo công khai của Bộ trưởng Shanmugam nhiều tháng. Vào một thời điểm trong nửa đầu năm 2025 chưa được Singapore công bố, các kỹ sư bảo mật tại 4 nhà mạng lớn, gồm M1, SIMBA Telecom, Singtel và StarHub, phát hiện dấu hiệu bất thường trong hệ thống nội bộ. Họ báo cáo ngay lên Cơ quan An ninh mạng Singapore (CSA) và Cơ quan Phát triển thông tin và truyền thông (IMDA). Điều họ lần ra sau đó không phải là dấu vết của tin tặc thông thường, mà là hoạt động của một nhóm tấn công chuyên nghiệp như một cơ quan tình báo.

Nhóm tấn công được định danh là UNC3886, tên mã do công ty an ninh mạng Mandiant dùng để theo dõi một nhóm gián điệp mạng có năng lực cao. Singapore không chính thức cáo buộc bất kỳ quốc gia nào đứng sau vụ việc. Nhưng Mandiant và nhiều tổ chức nghiên cứu an ninh mạng phương Tây mô tả UNC3886 là nhóm gián điệp mạng có liên hệ với Trung Quốc. Bắc Kinh thường phủ nhận các cáo buộc gián điệp mạng và khẳng định phản đối mọi hình thức tấn công mạng.

Điều làm UNC3886 đặc biệt nguy hiểm không phải sức phá hoại tức thì, mà là sự kiên nhẫn và khả năng ẩn mình. Trong vụ Singapore, nhóm này sử dụng hai lớp công cụ. Lớp thứ nhất là lỗ hổng zero-day, tức kẽ hở chưa được biết tới trong phần mềm hoặc thiết bị, nên nhà sản xuất chưa kịp vá. UNC3886 lợi dụng chính kẽ hở đó để vượt qua lớp bảo vệ bên ngoài của mạng viễn thông. Đây là loại công cụ tấn công mạng hiếm, đắt giá, thường gắn với các chiến dịch có nguồn lực lớn hoặc được nhà nước hậu thuẫn.

Lớp thứ hai là rootkit, tức phần mềm ẩn sâu trong hệ thống máy tính, giúp che giấu dấu vết của kẻ tấn công và duy trì quyền truy cập trong thời gian dài mà không dễ bị phát hiện. “Điều này khiến việc phát hiện kẻ tấn công trở nên cực kỳ khó khăn, buộc các chuyên gia phòng thủ phải kiểm tra bảo mật toàn diện trên toàn bộ mạng lưới”, CSA mô tả trong báo cáo công bố ngày 9/2/2026.

Đây không phải lần đầu UNC3886 bị phát hiện sử dụng những công cụ như vậy. Trong báo cáo công bố tháng 3/2025, Mandiant cho biết từ giữa năm 2024 đã phát hiện UNC3886 cài “cửa hậu” vào các thiết bị định tuyến Juniper, loại thiết bị điều phối luồng dữ liệu ở phần lõi của nhiều mạng viễn thông và cơ quan chính phủ. Những “cửa hậu” này được tùy biến để ẩn mình, giúp kẻ tấn công duy trì quyền truy cập lâu dài mà không dễ bị phát hiện.

Trước đó, UNC3886 cũng từng khai thác các lỗ hổng chưa có bản vá trong tường lửa FortiGate và các nền tảng máy chủ ảo hóa của Vmware để xâm nhập những tổ chức quốc phòng, tài chính và viễn thông tại Mỹ và châu Á. Singapore không phải một mục tiêu ngẫu nhiên, mà giống một mắt xích được lựa chọn có tính toán trong chuỗi hoạt động gián điệp mạng toàn cầu đã kéo dài nhiều năm.

Dấu hiệu được công bố cho thấy đây không phải cuộc tấn công nhằm tống tiền hay đánh cắp dữ liệu khách hàng theo kiểu thông thường. Thứ chúng hướng tới có thể giá trị hơn và khó nhận ra hơn: những dữ liệu kỹ thuật đủ để phác họa cấu trúc vận hành của hạ tầng viễn thông Singapore. Với hoạt động gián điệp mạng, những dữ liệu như sơ đồ kết nối, các điểm điều phối, tuyến truyền dẫn, quyền truy cập và đường đi của dữ liệu có thể quan trọng hơn một tập hồ sơ khách hàng.

Chuyên gia Collin Hogue-Spears của Black Duck tóm gọn vụ việc: không có hồ sơ khách hàng bị đánh cắp, không có dịch vụ bị gián đoạn, không có món tiền chuộc nào được đòi. Điều UNC3886 theo đuổi trong 11 tháng bên trong bốn nhà mạng là “bản đồ” của mạng lưới. Đây là loại tình báo mà một quốc gia cần có nếu muốn chuẩn bị năng lực gây gián đoạn, gây áp lực hoặc can thiệp có chọn lọc trong một cuộc khủng hoảng tương lai.

cyberguardian2.jpg
Bản đồ các tuyến cáp biển kết nối Singapore với khu vực và thế giới.

Singapore phản ứng thận trọng. Ngay khi xác nhận bị xâm nhập, CSA và IMDA phối hợp khởi động Cyber Guardian - chiến dịch ứng phó sự cố mạng liên cơ quan lớn nhất trong lịch sử Singapore. Hơn 100 chuyên gia từ 6 cơ quan được huy động: CSA, IMDA, Trung tâm Công nghệ thông tin chiến lược (CSIT), Dịch vụ Kỹ thuật số và tình báo của Quân đội Singapore (DIS), Cơ quan Công nghệ Chính phủ (GovTech) và Cục An ninh nội địa (ISD). Thành phần ấy cho thấy đây không còn là một sự cố kỹ thuật thuần túy.

Sự tham gia của DIS cho thấy Singapore không xem đây là sự cố công nghệ, mà là thách thức gắn trực tiếp với năng lực phòng thủ quốc gia. Suốt 11 tháng, đội ngũ phòng thủ thực hiện song song hai nhiệm vụ: vừa âm thầm truy lùng và loại bỏ từng điểm xâm nhập của UNC3886, vừa bảo đảm các dịch vụ viễn thông vận hành ổn định. Có thời điểm, UNC3886 đã tiếp cận được một phần hạ tầng trọng yếu của mạng viễn thông Singapore. Tuy nhiên, nhóm này bị phát hiện và chặn lại trước khi dùng lối vào ấy để gây thiệt hại thực tế. Đến đầu năm 2026, Singapore đã khóa các lối vào mà UNC3886 sử dụng, mở rộng năng lực giám sát, rồi công bố đầy đủ hơn về chiến dịch diễn ra trong im lặng.

Mắt xích trong cuộc đi săn trên hạ tầng viễn thông toàn cầu

Ngày 9/2/2026, tại cuộc gặp các lực lượng phòng thủ mạng tham gia chiến dịch, Bộ trưởng Phát triển số và Thông tin Josephine Teo cảm ơn những người đã âm thầm bảo vệ hạ tầng số của Singapore trong suốt nhiều tháng. Trong trường hợp này, “âm thầm” không phải là cách nói xã giao. Nhưng ý nghĩa của chiến dịch đã vượt khỏi biên giới Singapore từ trước khi được công bố.

Câu hỏi đầu tiên mà giới phân tích đặt ra khi đọc báo cáo của CSA là: tại sao lại là Singapore? Đảo quốc với gần sáu triệu dân này không có chiều sâu lãnh thổ hay quy mô dân số của một cường quốc, nhưng lại nằm ở điểm giao của những luồng dữ liệu, tài chính và hậu cần-vận tải quan trọng bậc nhất châu Á. Hơn 95% lưu lượng Internet liên lục địa toàn cầu được truyền qua cáp biển; riêng với Singapore, hơn 99% lưu lượng viễn thông quốc tế phụ thuộc vào các tuyến cáp ngầm. Điều đó biến đảo quốc này thành một điểm nút đặc biệt nhạy cảm trong cấu trúc kết nối số của khu vực.

cyberguardian4.jpg
Từ trái sang: Chuyên gia Eric Chen từ IMDA, ME5 Eugene Tay từ SAF DIS, Tiến sĩ Adrian Tang từ CSIT và chuyên gia Benedict Chong từ CSA - các thành viên đã ngăn chặn cuộc tấn công mạng của UNC3886.

Ai xâm nhập đủ sâu để hiểu cấu trúc kỹ thuật của hạ tầng viễn thông Singapore, dù chưa gây gián đoạn, cũng có thể theo dõi cách dữ liệu di chuyển trong cả khu vực. Và không chỉ vậy. Trên thực tế, các luồng dữ liệu ngoại giao, tài chính và vận hành doanh nghiệp xuyên biên giới có thể đi qua chính những hạ tầng mà các nhóm APT muốn âm thầm lập bản đồ. APT là cách giới an ninh mạng gọi những nhóm tấn công có chủ đích, được tổ chức bài bản và có khả năng bám trụ lâu dài trong hệ thống mục tiêu.

Theo Bloomberg, năm 2024, nhóm Volt Typhoon bị nghi đã xâm nhập Singtel, nhà mạng lớn nhất Singapore; Singtel sau đó cho biết đã loại bỏ mã độc, không ghi nhận dữ liệu bị lấy cắp hay dịch vụ bị ảnh hưởng. Điều này cho thấy, trong giai đoạn 2024-2026, Singapore đã trở thành địa bàn hoạt động của ít nhất hai nhóm tình báo mạng riêng biệt.

Nhưng Singapore không phải trường hợp đơn lẻ. Vụ việc này nằm trong một chuỗi tấn công toàn cầu có nhiều điểm giống nhau. Năm 2024, tại Mỹ, Salt Typhoon được cho là đã xâm nhập ít nhất 9 công ty viễn thông - trong đó có các tên tuổi lớn như AT&T, Verizon và T-Mobile, thậm chí bị cáo buộc tiếp cận các hệ thống phục vụ việc thu thập thông tin theo yêu cầu hợp pháp của cơ quan chức năng. Canada và một số đối tác phương Tây sau đó cũng cảnh báo về các chiến dịch tương tự nhằm vào hạ tầng viễn thông.

Theo chuyên gia Collin Hogue-Spears, các vụ xâm nhập gắn với Salt Typhoon và UNC3886 cho thấy một xu hướng đáng lo ngại: những nhóm tấn công được nhiều hãng an ninh mạng phương Tây mô tả là có liên hệ với Trung Quốc đang âm thầm ghi lại và phân loại các mục tiêu viễn thông ở nhiều quốc gia. Đây không phải kiểu tấn công nhằm gây thiệt hại ngay lập tức. Đây là chiến lược thu thập tình báo dài hạn: lập bản đồ, giữ sẵn các lối vào bí mật, chuẩn bị năng lực can thiệp cho một thời điểm chưa ai biết trước.

Nếu các vụ Salt Typhoon tại Mỹ để lại nhiều tranh cãi về mức độ tổn thương và trách nhiệm ứng phó, cách Singapore xử lý Cyber Guardian lại được chú ý ở điểm khác: im lặng khi cần bảo vệ chiến dịch, nhưng công bố có kiểm soát khi mối đe dọa đã được khống chế.

cyberguardian3.jpg
Singtel, một trong bốn nhà mạng lớn của Singapore, nằm trong nhóm hạ tầng viễn thông bị UNC3886 nhắm đến.

Chiến dịch Cyber Guardian đặt ra một câu hỏi mang tính hệ thống mà nhiều quốc gia vẫn đang lúng túng: khi hạ tầng viễn thông thuộc sở hữu tư nhân nhưng an ninh quốc gia lại phụ thuộc vào nó, ai chịu trách nhiệm phòng thủ? Singapore chọn câu trả lời rõ ràng: nhà nước và tư nhân cùng chịu trách nhiệm, cùng chia sẻ thông tin tình báo, cùng triển khai lực lượng. Đây là mô hình nhiều quốc gia phương Tây kêu gọi trong nhiều năm nhưng hiếm khi thực hiện được vì rào cản pháp lý và văn hóa doanh nghiệp. Singapore làm được điều đó trong im lặng suốt hơn 11 tháng.

Tuy nhiên, chiến thắng này cũng đi kèm một cảnh báo mà CSA không che giấu: các vụ tấn công nghi do các nhóm APT thực hiện nhằm vào Singapore đã tăng gấp bốn lần trong giai đoạn 2021-2024. Và sau khi Chiến dịch Cyber Guardian đóng các điểm truy cập đã phát hiện của UNC3886, CSA khuyến cáo các nhà mạng phải “duy trì cảnh giác trước khả nắng UNC3886 tìm cách tái xâm nhập”. Đó không phải lời cảnh báo hình thức, mà là thừa nhận rằng kẻ tấn công chưa chắc đã từ bỏ mục tiêu. Bởi vì giá trị của mục tiêu không thay đổi, chỉ có lối vào là bị đổi khóa.

Trong kỷ nguyên mà chiến tranh không cần tuyên bố và không để lại dấu vết có thể nhìn thấy bằng mắt thường, Singapore vừa trải qua một cuộc đối đầu thực sự trên hạ tầng số và giành được một thắng lợi quan trọng. Không phải bằng cách bắn hạ máy bay hay phong tỏa cảng biển, mà bằng cách giữ im lặng đủ lâu, đủ kiên nhẫn và đủ kỷ luật để đánh bật kẻ xâm nhập khỏi mạng lưới quốc gia, trước khi dữ liệu bị thu thập có thể được dùng để gây sức ép trong một cuộc khủng hoảng tương lai.

Khổng Hà

Các tin khác

Gadi Eisenkot - người thách thức ông Netanyahu

Gadi Eisenkot - người thách thức ông Netanyahu

Cựu Tư lệnh quân đội Israel Gadi Eisenkot sẽ ra tranh cử Thủ tướng Israel trong kỳ bầu cử sắp tới, trở thành đối thủ tiềm năng nguy hiểm nhất thách thức quyền lực của đương kim Thủ tướng Benjamin Netanyahu. Với tính cách, quan điểm trái ngược với ông Netanyahu, ông Eisenkot được cho là sẽ thu hút khá đông cử tri để đương đầu với đối thủ.

Nút thắt trừng phạt Iran và bài toán ngoại giao hậu xung đột

Nút thắt trừng phạt Iran và bài toán ngoại giao hậu xung đột

Dù các kênh đối thoại giữa Mỹ và Iran có dấu hiệu khởi động trở lại, việc dỡ bỏ hệ thống trừng phạt được hình thành qua nhiều thập niên vẫn là thách thức kéo dài. Những ràng buộc pháp lý chồng chéo cùng lợi ích đan xen giữa các bên khiến tiến trình này tiếp tục trở thành phép thử lớn của ngoại giao hậu khủng hoảng.

Đừng để bữa ăn trở thành nỗi ám ảnh

Đừng để bữa ăn trở thành nỗi ám ảnh

Nhiều năm nay, thực phẩm bẩn trở thành mối lo, đe dọa sức khỏe cộng đồng, sinh mạng của mỗi người dân. Để phòng ngừa và ngăn chặn kịp thời tội ác tàn phá sức khỏe, kiếm lợi từ đồng tiền bất chính, các cơ quan chức năng đã chung tay quyết tâm vì sức khỏe lành mạnh, đời sống an toàn của người dân.

Châu Âu xem xét điều chỉnh tư duy an ninh mạng

Châu Âu xem xét điều chỉnh tư duy an ninh mạng

Trước áp lực gia tăng từ các mối đe dọa mạng xuyên biên giới, nhiều quốc gia châu Âu đang điều chỉnh tư duy an ninh, hướng tới mô hình phòng thủ chủ động. Đề xuất mở rộng quyền tình báo của Đức phản ánh rõ xu hướng can thiệp sớm, đồng thời đặt ra yêu cầu kiểm soát chặt chẽ nhằm bảo đảm cân bằng giữa an ninh và quyền cá nhân.

1001 chiêu trò cá độ mùa World Cup

1001 chiêu trò cá độ mùa World Cup

Mỗi kỳ World Cup, ngoài những ngôi sao trên sân cỏ, người hâm mộ lại háo hức chờ đợi sự xuất hiện của những “nhà tiên tri” đặc biệt đến từ thế giới động vật. Tuy nhiên, hiệu ứng “linh vật tiên tri” này đã biến tướng thành những trò cá cược tinh vi, khiến bao gia đình lâm cảnh tan cửa nát nhà...

Bát nháo thị trường kim cương

Bát nháo thị trường kim cương

Từ vụ triệt phá đường dây buôn lậu hơn 28.000 viên kim cương xuyên quốc gia, một góc khuất đáng lo ngại của thị trường đá quý Việt Nam đã lộ diện. Không chỉ là câu chuyện buôn lậu hay trốn thuế, vụ án còn gióng lên hồi chuông cảnh báo về nguy cơ "vàng thau lẫn lộn", khi những viên kim cương không rõ nguồn gốc hoàn toàn có thể được "hợp thức hóa" để bước vào thị trường như hàng chính hãng.

Kỳ I: Pháo đài “Mắt cáo” và “Tam giác vàng” hợp phì

Kỳ I: Pháo đài “Mắt cáo” và “Tam giác vàng” hợp phì

Trong thế giới lượng tử, luật chơi của các điệp viên truyền thống hoàn toàn bị phá sản. Hãy tưởng tượng một bức thư mật được viết bằng các hạt ánh sáng. Chỉ cần một cái nhìn lén lút của mật thám, bức thư sẽ ngay lập tức tự hủy và phát tín hiệu báo động về trung tâm đầu não. Đó không phải là phép thuật, đó là Phân phối khóa lượng tử (QKD) - thứ đang giúp Bắc Kinh xây dựng một hệ thống thông tin liên lạc quốc phòng mà không một siêu máy tính nào của phương Tây có thể giải mã.

Đại tá KGB giải mật những phi vụ đình đám…

Đại tá KGB giải mật những phi vụ đình đám…

Năm 1985 - Năm gián điệp (Year of the Spy) được truyền thông Mỹ dùng trong thời Chiến tranh Lạnh, sau khi FBI (Cục Điều tra Liên bang Mỹ) bắt giữ hàng loạt điệp viên hoạt động cho Liên Xô. Cuộc phỏng vấn dưới đây của cựu Đại tá tình báo KGB Viktor Cherkashin với tạp chí trực tuyến Lưu trữ lịch sử gián điệp Nga (EHA) đã “giải mật” phần nào những vụ scandal này.

Triệt phá đường dây sản xuất, mua bán vũ khí quân dụng quy mô lớn

Triệt phá đường dây sản xuất, mua bán vũ khí quân dụng quy mô lớn

Tối mắt vì tiền, đối tượng tìm cách móc nối đặt mua linh kiện súng các loại (trong đó có cả linh kiện súng quân dụng) mang về cất giấu, lên mạng học cách lắp ráp hoàn chỉnh rồi đăng tải hình ảnh lên mạng xã hội để rao bán. Khi có khách đặt mua, chỉ cần chuyển cọc, đối tượng ngụy trang trong thùng đựng máy tính hoặc kiện hàng gửi qua xe khách liên tỉnh, ở gần thì thuê shipper.

NATO siết chặt lá chắn phòng thủ tập thể

NATO siết chặt lá chắn phòng thủ tập thể

Trước những biến động an ninh toàn cầu, NATO tiếp tục củng cố cơ chế phòng thủ tập thể, đồng thời thúc đẩy chia sẻ trách nhiệm và nâng cao năng lực răn đe, nhằm bảo đảm sự gắn kết cũng như hiệu quả hoạt động của liên minh.

Những cuốn sổ tay chứa “bí mật quốc gia”

Những cuốn sổ tay chứa “bí mật quốc gia”

Không còn bó hẹp trong hệ thống hồ sơ chính thức, thông tin mật ngày nay có thể hiện diện ngay trong những ghi chép cá nhân tưởng như riêng tư. Vụ việc gần đây cho thấy, khi các “nhật ký công vụ” chứa nội dung nhạy cảm, việc lưu giữ, chia sẻ hoặc bảo quản không đúng quy định đều có thể trở thành nguồn phát sinh rủi ro rò rỉ thông tin.

Thiềng Liềng: Đời muối, đời người

Thiềng Liềng: Đời muối, đời người

Tôi trở lại đảo muối Thiềng Liềng vào một ngày nắng gắt tháng Sáu. Ấp đảo này nằm dọc theo một đường độc đạo hình oval dài 4 km uốn quanh ruộng muối, sông rạch và rừng ngập mặn. Trên chiếc xe đạp, tôi bắt đầu thả trôi chuyến hành trình về với vùng đất “vàng trắng” duy nhất của đại đô thị TP Hồ Chí Minh.

Công an xã và hành trình theo dấu tên trộm liên tỉnh

Công an xã và hành trình theo dấu tên trộm liên tỉnh

Từ miền Nam, đối tượng đón xe khách ra các tỉnh phía Bắc và khi đến tỉnh Quảng Trị do hết tiền nên đối tượng xuống xe. Tại đây, đối tượng lấy trộm tài sản của người dân, rồi tiếp tục bắt xe vào Huế. Sau khi vào Huế nắm tình hình, đối tượng bắt xe vào Đà Nẵng mua công cụ rồi quay lại ra Huế để đột nhập một cửa hàng trang sức bạc rồi lấy trộm số lượng lớn tài sản trong đêm khuya… Ngay sau khi tiếp nhận tin báo, Tổ công tác của Công an xã lần theo dấu đối tượng qua nhiều tỉnh thành trong hơn 120 giờ.

Khi nắng nóng có thể làm “bốc hơi” GDP

Khi nắng nóng có thể làm “bốc hơi” GDP

Những đợt nắng nóng cực đoan đang hoành hành tại châu Âu không chỉ là vấn đề thời tiết hay môi trường, mà ngày càng hiện rõ như một thách thức kinh tế, đe dọa tới tốc độ tăng trưởng GDP và gây ra khó khăn cho mọi mặt đời sống.

Hành trình thế kỷ của cựu chiến binh Semyon Lyulko

Hành trình thế kỷ của cựu chiến binh Semyon Lyulko

Lịch sử Chiến tranh Vệ quốc vĩ đại thường được ghi dấu bằng những trận đánh lớn và tên tuổi của các anh hùng. Nhưng phía sau những tấm bản đồ chiến dịch đồ sộ là sự cống hiến và chiến công của hàng triệu con người. Nhân kỷ niệm 85 năm ngày phát xít Đức tấn công Liên Xô (22/6/1941 - 22/6/2026), xin trân trọng giới thiệu câu chuyện về người lính cận vệ Semyon Lyulko - một mảnh ghép bình dị góp phần làm nên chiến thắng vĩ đại.